كيف استغل احتيال العملات الرقمية بقيمة $50 مليون دولار خللاً حرجًا في تصميم المحفظة

واجه مجتمع العملات الرقمية تذكيرًا صارخًا بضعف الأمان عندما تعرض متداول لخسارة مدمرة تقرب من 50 مليون USDT في 20 ديسمبر 2025. لم تكن هذه الحادثة الكبرى للاحتيال في العملات الرقمية نتيجة لاختراق متطور أو استغلال برمجي متقدم، بل كانت هجومًا بسيطًا بشكل ملحوظ استغل طريقة عرض المحافظ للعناوين وأنماط سلوك البشر. تؤكد الحادثة على مشكلة متزايدة حيث تخلق خيارات التصميم وسلوك المستخدمين عاصفة مثالية للاحتيالات في العملات الرقمية.

هجوم تسميم العنوان: خطة احتيال معقدة ولكنها بسيطة في نفس الوقت

يمثل تسميم العنوان فئة من الاحتيال في العملات الرقمية التي تبدو واضحة جدًا لدرجة أنها تكاد تكون غير قابلة للتصديق، ومع ذلك تنجح مرارًا وتكرارًا ضد المتداولين الذين يمتلكون كميات كبيرة من الأصول. يعمل الهجوم من خلال خدعة أساسية: إنشاء عنوان محفظة مزيف يبدو متطابقًا تقريبًا مع العنوان الحقيقي المستهدف. وفقًا لمحقق البلوكتشين Specter، حدثت الحادثة عندما قام المتداول بتنفيذ عملية اختبار صغيرة بقيمة 50 USDT للتحقق من أن عملية السحب من منصة تبادل إلى محفظته الشخصية كانت تعمل بشكل صحيح.

هذه الخطوة التحقق الحكيمة بشكل ظاهري كشفت عن ثغرة حرجة. بمجرد أن اكتشف المهاجم عملية الاختبار، قام فورًا بإنشاء عنوان مزيف مطابق للأربعة أحرف الأولى والأربعة الأخيرة من عنوان المحفظة الحقيقي للضحية. ثم أرسل مبلغًا صغيرًا من العملة المشفرة من هذا العنوان المزيف إلى حساب الضحية — مما أدى إلى تلوث سجل المعاملات الخاص بالضحية ببيانات عناوين احتيالية.

العناوين المختصرة: الثغرة في التصميم التي مكنت الهجوم

تقوم مستعرضات البلوكتشين الحديثة وواجهات محافظ العملات الرقمية بعرض خاصية تقصير سلاسل الأحرف الطويلة، عادةً بعرض بداية ونهاية العنوان مع وضع نقاط بينهما (مثل: 0xBAF4…F8B5). بينما كان الهدف من هذا التصميم هو تحسين وضوح واجهة المستخدم، إلا أنه أوجد الثغرة التي يستغلها الآن مجرمو الاحتيال في العملات الرقمية.

عندما استعد الضحية لنقل الـ49,999,950 USDT المتبقية، اتبع ممارسة شائعة وآمنة ظاهريًا: نسخ عنوان المستلم من سجل المعاملات الأخير بدلاً من إعادة إدخاله يدويًا. وللعين المجردة، بدا العنوان المسموم مطابقًا تمامًا للعنوان الحقيقي بسبب طريقة العرض المختصرة. نجح هذا الاحتيال بالضبط لأن المستخدمين يثقون بشكل طبيعي في العناوين التي يستخدمونها مؤخرًا — وهو افتراض معقول يعيقه المهاجمون عمدًا.

كيف نفذ المهاجم هجوم تسميم العنوان في العملات الرقمية

توقيت الهجوم بدقة يستحق الدراسة. أظهر المهاجم وعيًا عملياتيًا متقدمًا: أدرك أن عملية الاختبار بقيمة 50 USDT تمثل نافذة ثغرة، فأنشأ فورًا عنوانًا مزيفًا مطابقًا، ولوث سجل المعاملات، وانتظر حتى يكمل الضحية عملية التحويل الأكبر.

عندما بدأ الضحية في نقل 49,999,950 USDT، قادهم اختيار العنوان مباشرة إلى العنوان المسموم الموجود في سجل المعاملات الخاص بهم. تؤكد سجلات البلوكتشين أن الأموال أُرسلت إلى محفظة المهاجم خلال دقائق. سرعة التنفيذ تشير إلى أن المهاجم كان قد أعد بنية تحويل العملات مسبقًا — وهو سمة مميزة لعمليات الاحتيال الاحترافية في العملات الرقمية.

تتبع الأموال: من USDT إلى Tornado Cash

بعد النقل، تمكن المحققون من تتبع حركة الأصول المسروقة، وكشفوا عن استراتيجية غسيل أموال متعمدة. خلال 30 دقيقة من استلام USDT، بدأ المهاجم سلسلة من التحويلات السريعة: تم تبادل الـ49,999,950 USDT أولاً مقابل DAI (عملة مستقرة أخرى)، ثم تم تحويلها إلى حوالي 16,690 ETH. وأخيرًا، تم نقل الإيثيريوم عبر Tornado Cash — خدمة خلط تركز على الخصوصية تُخفي مصادر ووجهات المعاملات عمدًا.

تُظهر هذه السلسلة من التحويلات كيف أن مجرمي الاحتيال في العملات الرقمية قد تكيفوا تقنياتهم لتعظيم مستوى عدم الكشف عن هويتهم. استخدام عدة عملات مستقرة وتحويلات سريعة عبر شبكات بلوكتشين مختلفة يضيف طبقات من التشويش التي تعقد جهود استرداد الأصول.

النداء اليائس ووجهة نظر الخبراء حول هذا الاحتيال في العملات الرقمية

عند إدراك الخطأ الكارثي، حاول الضحية استرداد أصوله باستخدام استراتيجية يائسة: أطلق رسالة على الشبكة تعرض مكافأة بقيمة مليون دولار مقابل إعادة 98% من الأموال المسروقة. حتى 21 ديسمبر، لم يحدث أي استرداد، وأشار خبراء الأمان إلى أن استرداد الأصول بعد غسيل Tornado Cash يكاد يكون مستحيلاً عبر القنوات التقليدية.

عبّر محقق البلوكتشين Specter عن استيائه الواضح من إمكانية منع الحادث، ردًا على تعليقات زميله المحقق ZachXBT المتعاطفة. وأكد Specter: “هذا هو السبب في أن الوضع محبط جدًا — فقد تم فقدان مبلغ هائل بسبب إهمال بسيط. بضع ثوانٍ من نسخ العنوان من المصدر الصحيح، وتجاوز سجل المعاملات تمامًا، كان ليمنع هذه الكارثة بأكملها. إن إمكانية الوقاية تجعل الأمر أسوأ.” تعكس هذه الرؤية جوهر نجاح الاحتيال في العملات الرقمية الحديثة: ليس من خلال تكنولوجيا متقدمة، بل من خلال استغلال أنماط اتخاذ القرارات البشرية الروتينية.

كيف تحمي نفسك من تسميم العنوان وأنواع الاحتيال المشابهة في العملات الرقمية

يؤكد خبراء الأمان الآن أنه مع استمرار قيمة الأصول الرقمية في الوصول إلى أرقام قياسية جديدة، فإن هجمات تسميم العنوان والاحتيالات ذات الصلة تصبح أكثر انتشارًا. إن الحاجز الفني المنخفض مقابل العوائد المالية الكبيرة يجعلها هدفًا جذابًا للمجرمين.

للدفاع ضد هجمات تسميم العنوان وأساليب الاحتيال المشابهة، يوصي خبراء الأمان باتخاذ تدابير حماية ملموسة، منها:

• الحصول على العناوين من مصادر موثوقة: دائمًا احصل على عناوين المحافظ المستلمة مباشرة من علامة “استلام” في محفظتك، بدلًا من سجل المعاملات. كانت هذه الممارسة ستمنع الحادثة هنا.

• قائمة العناوين الموثوقة: تسمح معظم المحافظ المتقدمة للمستخدمين بتحديد وإضافة عناوين مستلمة موثوقة، مما يخلق حاجز حماية ضد التحويلات العرضية لعناوين مزيفة.

• استخدام التحقق متعدد التوقيعات: فكر في استخدام محافظ أجهزة أو أجهزة تتطلب تأكيدًا فعليًا كاملًا للعناوين قبل الموافقة على المعاملة، مما يوفر طبقة تحقق ثانوية لا يمكن أن تتأثر بتقصير العنوان.

• التحقق من عناوين سجل المعاملات: عند استرجاع العناوين من معاملات سابقة، أضف خطوة تحقق. قارن العنوان مع واجهة توليد العنوان في المحفظة للتأكد من أصالته.

تُعد حادثة 20 ديسمبر تذكيرًا بأن الاحتيال في العملات الرقمية تطور ليشمل استغلال سلوك المستخدمين وتصميم الواجهات، وليس فقط استغلال الثغرات التقنية. إن الأمان في عالم العملات الرقمية يعتمد بشكل متزايد على ممارسات انضباطية لمواجهة الهجمات البسيطة ذات معدلات النجاح العالية. مع استمرار ارتفاع قيمة الأصول المشفرة، فإن إعطاء الأولوية لهذه التدابير الدفاعية يتحول من ممارسات اختيارية إلى ضرورية للأمن التشغيلي.