21 مليار دولار مسروقة!
التسرب البالغ 21 مليار دولار
في أوائل يونيو 2025، أصدرت شركة TRM Labs تقريرًا أثار هلع مجتمع ديفي: تم سرقة أكثر من 2.1 مليار دولار من الأصول الرقمية خلال ستة أشهر فقط. هذا ليس مجرد رقم — بل إنذار أحمر ينبعث من كل مستكشف كتل. والجدير بالذكر أن أكثر من 80% من هذه الخسائر جاءت من هجمات على البنية الأساسية — وليس ثغرات في العقود الذكية أو عمليات الاحتيال التقليدية، بل اختراقات خفية للمفاتيح الخاصة والواجهات الأمامية. أعترف أنني حين رأيت هذه البيانات، فكّرت: هل ما زلنا نكرر هذا الخطأ؟ بعد سنوات من الترويج لللامركزية وامتلاك المفاتيح الشخصية، نفقد مليارات بسبب شخصٍ نسى حفظ كلمته السرية أو مطوّرٍ نسي تنظيف الحقول المدخلة؟ نعم. والأمر أسوأ: فإن متوسط الهجوم على البنية الأساسية يسرق عشر مرات أكثر مما يسرق الهجمات الأخرى.
لماذا تبقى المفاتيح الخاصة هي ضعفنا الرئيسي؟
لتكن صريحًا: مفتاحك الخاص هو مثل كلمة المرور الرئيسية لخزانتك البنك — لكنك مطالب بحفظها سريًا والاستخدام اليومي لها. الهجمات على الواجهة تستغل حقيقة بسيطة: المستخدمون لا يتواصلون مع البلوكشين مباشرة. بل يستخدمون محافظ عبر مواقع أو تطبيقات. وإذا استُغل هذا الواجهة (مثلاً بحقن JavaScript خبيث)، يمكن للهجوم إعادة توجيه الأموال قبل أن تضغط حتى على “إرسال”. هذا ليس خيالاً علمياً. الشهر الماضي، تم استهداف ثلاث واجهات رئيسية لـ DEX عبر حقن كود مشابه لسلسلة التوريد — وكل ذلك بسبب استخدام باكتج معطّل في npm. أما تسريب المفاتيح؟ لا يزال شائعاً جدًا. فكر في حالتك التي تكتب فيها الجملة السرية على ملاحظة لاصقة أو تعتمد على النسخ الاحتياطي السحابي. لا عجب أن 67% من سرقات الصغيرة تنبع منها.
التكلفة الحقيقية ليست المال فقط
بeyond الأموال المفقودة، التأثير النفسي كبير جدًا. كل مرة يخدع فيها المستخدم عبر واجهة محول احتيالية أو يفقد أمواله بسبب كلمة مرور تسربت، تتآكل الثقة. وهذا مهم — لأن الويب الثالث لم يكن بناءً للراحة فقط؛ بل كان بناءً على نظام غير قائم على الثقة حيث أنت تحكم بمفاتيحك. لكن إذا كانت كل هجمة تقريبًا ناجمة عن خطأ بشري أو واجهة غير آمنة… فمن يملك النظام حقاً؟ نحتاج إلى أدوات أفضل: فحوصات إلزامية للواجهات الأمامية (نعم، حتى للمشاريع الصغيرة)، ومكونات متصفح يمكنها كشف المحاولات الاستدراج (مثل ما يمكن لميتاماسк فعله)، وحملات تعليم لكل المستخدمين غير التقنيين — وليس فقط المطورين.
ما يمكنك فعله اليوم (بخلاف الفزع)
إليك قائمة عملية بدون لف ولا دوران:
- استخدم محافظ هاردوير لأي شيء بقيمة أكثر من 500 دولار أمريكي.
- لا تنسخ كلمتك السرية إلى أي مكان — ولا حتى إلى Notepad مع تمكين إعادة التعبئة التلقائية.
- تحقق دائمًا من عنوان الموقع الإلكتروني قبل ربط المحافظ (خطيئة صغيرة قد تتطلب دفعًا كبيرًا).
- استخدم أدوات مثل OpenZeppelin Defender لمراقبة عمليات النشر والكشف عن الشذوذ مبكرًا.
- إذا كنت تقوم ببناء تطبيق: اعتَبر كل جزء واجهة أمامية كما لو كان قد تم اختراقه بالفعل. افترض الاختراق عند نقطة الدخول.
فكرة ختامية: البنية الأساسية هي الملك (وإننا نفشل فيها)
The most dangerous vulnerabilities aren’t in smart contracts anymore — they’re in how we expose them to real people through flawed interfaces and poor security hygiene. The next wave of crypto innovation won’t come from faster L1s or new tokenomics models… it’ll come from systems so secure at the foundation level that even a careless user can’t break them by accident.
BlockchainSheriff
التعليق الشائع (4)
Chỉ cần copy-paste mật khẩu vào Notepad là bạn đã mất cả chục triệu rồi! Người ta nghĩ dùng ví phần mềm là an toàn, nhưng ai ngờ rằng… cái seed phrase lại bị dính vào cái màn hình điện thoại của người yêu thích cà phê sáng sớm! Đừng tin vào cloud backup — hãy dùng ví phần cứng đi! Có ai dám click “Send” sau khi thấy URL sai không? Cứ thử một lần là mất cả tài sản luôn!
Ay naku! Ang dami kong nakita sa TRM report — $21 bilyon nawala dahil sa mga ‘sticky note’ na seed phrase? 😱 Seryoso ba talaga? Parang sinabi mo lang: ‘Ano ba ang pangalan ng aso mo?’ tapos biglang nawala ang lahat.
Pero totoo naman: 80% ng hack ay galing sa frontend at private keys. Hindi bug, hindi rug pull… puro “Ahh, ako lang ang nag-verify”.
Kaya nga sabihin ko: Hardware wallet ka na, o maghahanap ka ng sarili mong palengke para mabuhay?
Ano po ang ginawa mo nung nabasa mo yung ‘I’ll just save it in Google Drive’? Comment mo na! 🤣
کیفیت کلید؟ نہیں، میرا سیڈ فریز بھی گھوم گیا! حضرت والے نے اپنا سینٹ پھرے کو نوٹ پیڈ میں کاپئ کر دے دتا… اب تو خدا کو بھول بنا دے؟ تیرا وائلٹ تو صرف اک علامت نہیں، بلکہ تیرا خوابِش جنّتِ! اس لئے زندہ رکھو، اور آن لائن پر ‘اسلامِ فنانس’ کو قابلِ بنائو — ورنہ تمہارا رُبَّڑ پول صرف تمہارے سینٹ سے شروع ہوگا۔
