ماذا تفعل إذا سرقت امتداد متصفح خبيث عملاتك المشفرة: دليل الاسترداد الكامل
إجابة سريعة
إذا أفرغ امتداد متصفح خبيث محفظتك المشفرة:
اذهب فورًا إلى وضع عدم الاتصال، وأزل الامتداد، وألغِ جميع موافقات العقود الذكية من جهاز نظيف، وانقل الأصول المتبقية إلى محفظة جديدة أنشأتها على جهاز غير مخترق. ثم وثّق كل تجزئة معاملة وأودِع بلاغًا لدى مركز IC3 التابع لمكتب التحقيقات الفيدرالي (ic3.gov) وسلطة الجرائم الإلكترونية الوطنية في غضون 24 ساعة. عكس المعاملات مباشرةً على البلوكشين أمر مستحيل، لكن إذا وصلت الأموال المسروقة إلى منصة تبادل مركزية، فقد يتمكن طلب تجميد سريع من جهات إنفاذ القانون - أو محقق بلوكشين محترف ينوب عنك - من اعتراضها قبل غسيلها. السرعة هي أهم متغير في مقدار ما يمكن استرداده.
كيف يبدو هذا الاحتيال
تعد امتدادات المتصفح الخبيثة من أخطر وسائل سرقة العملات المشفرة في الوقت الحالي. على عكس رسائل التصيد الإلكتروني التي تتطلب النقر على رابط خادع، يجلس الامتداد الخبيث بصمت داخل متصفحك مع وصول متميز إلى كل صفحة تزورها - بما في ذلك واجهة محفظتك ولوحة تحكم المنصة ومنطقة الحافظة.
حدّد تقرير Chainalysis للمصارف الخبيثة 2025 الامتدادات المستندة إلى المتصفح مكوّنًا محوريًا في منظومة السرقة الاحترافية، التي كانت قد استخرجت أكثر من 2.17 مليار دولار في النصف الأول من عام 2025 وحده. وأشار تقرير IOCTA 2025 الصادر عن يوروبول إلى برامج سرقة المعلومات المنتشرة عبر الامتدادات الخبيثة باعتبارها الطريقة الرئيسية لاختراق حسابات العملات المشفرة، مستشهدًا بعائلة برامج ضارة StealC.
طرق التوزيع الشائعة
- امتدادات محافظ مزيفة: يظهر منتحلو هوية MetaMask وTrust Wallet وPhantom وLedger Live في متاجر المتصفح بأيقونات شبه متطابقة. في يوليو 2025، رصدت أكثر من 40 إضافة مزيفة لمحافظ العملات المشفرة في متجر Firefox ضمن حملة أُطلق عليها FoxyWallet. وأعلنت Mozilla إزالة أكثر من 40 امتدادًا ضارًا استخدمت تقنية "Extension Hollowing" للتحايل على الفحص التلقائي.
- اختراق سلسلة التوريد: في ديسمبر 2025، تعرّض امتداد Chrome الشرعي لـ Trust Wallet للاختراق على مستوى التوزيع. أسفر الهجوم عن سرقة 8.5 مليون دولار من أكثر من 2500 محفظة.
- أحصنة طروادة في أدوات الإنتاجية: تحتوي امتدادات مسجّلات الشاشة ومحوّلات PDF وتتبّع الأسعار وخدمات VPN أحيانًا على وحدات سرقة خفية.
- اختطاف ملفات الارتباط والجلسات: كشفت عملية السرقة البالغة مليون دولار الموثّقة من SlowMist عبر امتداد AGGR (يونيو 2024) كيف يمكن لامتداد خبيث سرقة ملفات ارتباط المتصفح والتحايل الكامل على المصادقة الثنائية.
ما يفعله الامتداد فعليًا
بمجرد تفعيله، يستطيع الامتداد الخبيث: اعتراض نوافذ توقيع المحفظة وإحلال عناوين المهاجم محلها، وقراءة محتوى الحافظة والكتابة فوقه، وحصد رموز الجلسة لانتحال هويتك على المنصات، والتقاط ضغطات لوحة المفاتيح، وحقن JavaScript في أي صفحة.
أفادت TRM Labs بأن 76% من الأموال المسروقة في الهجمات الكبرى تدفقت عبر اختراقات على مستوى البنية التحتية. وثّق تقرير IC3 للمكتب الفيدرالي للتحقيقات 2024 خسائر احتيال العملات المشفرة بـ 9.3 مليار دولار، ورفع تقرير IC3 2025 هذا الرقم إلى أكثر من 11 مليار.
لماذا يقع الناس ضحية له
يستخدم كل من Chrome Web Store وFirefox Add-ons Store مراجعة آلية، لكن هذه العمليات ليست معصومة من الخطأ. يستثمر المهاجمون في إدراجات مقنعة: تقييمات خمس نجوم مزروعة، ولقطات شاشة احترافية، وأوصاف منقولة من امتدادات شرعية. أزال فريق أمان Mozilla أكثر من 40 امتدادًا ضارًا في 2025 بعد اكتشاف تقنية "Extension Hollowing".
تتجاوز هجمات سلسلة التوريد يقظة المستخدم تمامًا. أثّر اختراق Chrome لـ Trust Wallet في ديسمبر 2025 على مستخدمين ثبّتوا الامتداد الأصلي قبل أشهر. تتحدث امتدادات المتصفح تحديثًا صامتًا.
لاحظ التحديث المستهدف للـ FATF لعام 2025 بشأن الأصول الافتراضية أن ارتفاع الاحتيال يعود جزئيًا إلى الفجوة بين تعقيد التكنولوجيا ومستوى الأمان المتوسط للمستخدم. يوقّت المهاجمون حملاتهم مع أحداث السوق - إطلاقات الرمز، وسك NFT، ونوافذ الإسقاط الجوي - عندما تقمع الاستعجالية التفكير النقدي.
أول 24 ساعة: ما يجب فعله فوراً
الوقت حاسم.
يُمرّر المهاجمون عادةً الأموال المسروقة عبر بروتوكولات التبادل اللامركزية والخلاطات في غضون دقائق. كل ساعة تأخير تقلل احتمال التجميد في منصة تبادل مستقبِلة.
- افصل متصفحك عن الإنترنت فورًا: اذهب إلى وضع عدم الاتصال بتعطيل Wi-Fi وفصل كابل الإنترنت. يوقف هذا أي اختطاف جلسة أو تسرّب بيانات جارٍ.
- أزل الامتداد الخبيث وأجرِ فحصًا كاملاً للبرامج الضارة: افتح مدير الامتدادات في متصفحك (chrome://extensions أو about:addons)، حدّد الامتداد الضار وأزله. ثم أجرِ فحصًا كاملاً باستخدام أداة أمان موثوقة.
- ألغِ جميع موافقات المحفظة من جهاز نظيف: استخدم جهازًا منفصلاً غير مخترق للاتصال بأدوات الإلغاء مثل Revoke.cash أو أداة فحص الموافقة على الرموز في Etherscan.
- انقل الأصول المتبقية إلى محفظة جديدة تمامًا: أنشئ محفظة جديدة تمامًا على جهاز نظيف - يُفضَل محفظة أجهزة. عامل المحفظة المخترقة باعتبارها محروقة نهائيًا.
- وثّق كل شيء قبل تغيير أي شيء آخر: التقط صور شاشة لقائمة الامتدادات كاملةً قبل الإزالة، وصفحة أذونات الامتداد، وأي رسائل تأكيد تثبيت، وجميع تجزئات معاملات السرقة.
- تقدّم ببلاغ رسمي لجهات إنفاذ القانون: أودِع شكوى لدى مركز شكاوى جرائم الإنترنت التابع لمكتب التحقيقات الفيدرالي (ic3.gov) ووحدة الجرائم الإلكترونية الوطنية.
- أخطِر أي منصة تبادل وصلت إليها الأموال المسروقة: استخدم مستكشف بلوكشين لتتبع وجهة الأموال. إن وصلت إلى منصة تبادل مركزية، تواصل فورًا مع فريق مكافحة الاحتيال.
- احتفظ بجميع الأجهزة - لا تمسح أي شيء الآن: احتفظ بنسخ احتياطية على محرك أقراص خارجي مشفّر ضعها جانبًا.
ما يجب عدم فعله
تجنّب هذه الأخطاء - فهي شائعة وتزيد الأمور سوءًا.
- ✕ لا تبحث عن "خدمات استرداد العملات المشفرة" عبر الإنترنت. الغالبية العظمى منها عمليات احتيال ثانوية.
- ✕ لا تمسح جهازك فورًا. ستدمّر الأدلة الجنائية.
- ✕ لا تعيد تثبيت الامتداد ذاته من رابط آخر. يضع المهاجمون نسخًا مستنسخة متعددة.
- ✕ لا تعيد استخدام عنوان المحفظة المخترقة.
- ✕ لا تدفع رسومًا مسبقة لأي شخص يعد باسترداد الأموال. لا توجد رسوم تعكس معاملة بلوكشين.
- ✕ لا تشارك أبدًا عبارة البذور أو المفتاح الخاص مع أي أحد. لا يحتاج إليهما أي محقق شرعي.
كيف يبدو الاسترداد الحقيقي
معاملات البلوكشين لا رجعة فيها. لا يوجد زر تراجع. لكن الاسترداد موجود على طيف من الاحتمالات.
إذا وصلت الأموال إلى منصة تبادل مركزية - أعلى مسارات الاحتمالية - تمتلك تلك المنصة بيانات KYC عن الحساب المستقبِل. يمكن لطلب تجميد من جهات إنفاذ القانون، مدعومًا بتتبع بلوكشين احترافي، أن يفضي إلى تجميد الأصول قبل السحب.
إذا مرّت الأموال عبر منصة تبادل لامركزية أو جسر، يصعب الاسترداد لكنه ليس مستحيلاً. يمكن للمحققين المحترفين الذين يمتلكون وصولاً إلى منصات التحليل التجارية (Chainalysis Reactor وTRM Forensics وElliptic Navigator) تتبع التدفقات غير المرئية على المستكشفات المجانية.
إذا مرّت الأموال عبر خلاط أو بروتوكول خصوصية، تنخفض احتمالية الاسترداد بشكل ملحوظ.
وثّقت Security Week سرقات بقيمة 494 مليون دولار من 332,000 ضحية في 2024. الاسترداد الكامل لجميع الأصول ليس القاعدة.
متى تستعين بمحقق محترف
في كثير من حالات السرقة عبر امتدادات المتصفح، يكون إشراك محقق بلوكشين محترف خلال أول 48 ساعة هو الفارق بين أثر قابل للتتبع وأموال مرّت عبر مخرجات الخلاطات. استعن بمحقق محترف إذا:
- مقدار المسروق مهم بالنسبة لك.
- تحرّكت الأموال عبر سلاسل أو بروتوكولات متعددة.
- تحتاج إلى أدلة رسمية لمنصة تبادل أو محكمة.
- جاء الامتداد من متجر رسمي. قد تُنشئ هجمات سلسلة التوريد مسؤولية قانونية.
يبدأ المحقق الجنائي بتتبع بلوكشين جنائي - يرسم خريطة للأموال المسروقة عبر كل عنوان وسيط، ويُصنّف الكيانات المعروفة، ويحدّد نقاط الخروج المحتملة. تتخصص Recoveris في هذا الإجراء لحالات سرقة العملات المشفرة عبر الولايات القضائية.
علامات تحذيرية لعمليات احتيال الاسترداد
عملية الاحتيال الثانية غالبًا ما تكون أكبر من الأولى.
تُستهدف ضحايا سرقة العملات المشفرة تحديدًا لأنه من المعروف أنهم يحتفظون بعملات مشفرة وهم في حالة يأس ومشاعر محبطة.
سلّط تقرير IC3 للمكتب الفيدرالي 2025 الضوء على احتيال الاسترداد باعتباره من أسرع الفئات الفرعية نموًا في جرائم العملات المشفرة.
علامات تحذيرية يجب رصدها فورًا
- ⚠ التواصل غير المرغوب فيه بعد خسارتك. إن تواصل معك أحد عبر Telegram أو Discord أو بريد إلكتروني مدّعيًا أنه متخصص في الاسترداد بُعيد عملية سرقة، فعامله كمحتال.
- ⚠ وعود باسترداد مضمون. لا يضمن أي محترف أمين النتائج.
- ⚠ رسوم مسبقة تُقدّم على أنها "رسوم إصدار" أو "فتح محفظة". لا توجد رسوم تعكس معاملة بلوكشين.
- ⚠ طلبات تثبيت برامج الوصول عن بُعد. أي خدمة تطلب TeamViewer أو AnyDesk تريد الوصول إلى ما تبقّى.
- ⚠ انتحال هوية حكومية. الجهات الرسمية لا تفرض رسوم استرداد.
- ⚠ طلبات للحصول على عبارة البذور أو المفتاح الخاص. لا يحتاج أي محقق شرعي إليهما أبدًا.
كيفية التحقق من شركة شرعية
اطلب تفاصيل تسجيل الشركة وتحقّق منها في السجل الوطني. ابحث عن المسؤولين الرئيسيين بشكل مستقل. تنشر شركات مثل Recoveris منهجيتها ويمكن التحقّق منها عبر سجلات الشركات العامة في سويسرا.
هل أفرغ امتداد متصفح محفظتك؟
محققونا يتتبعون العملات المشفرة المسروقة عبر السلاسل، ويعدون حزمًا لجهات إنفاذ القانون، وينسقون طلبات التجميد في منصات التبادل. احصل على تقييم مجاني لحالتك.
احصل على مساعدة في حالتكلست متأكداً من كونك استُهدفت؟
أجرِ تقييم أمان العملات المشفرة المجاني المدته دقيقتان لتحديد المخاطر في إعداداتك الحالية قبل أن تتحول إلى مشكلة.
أجرِ التقييم المجانيالمراجع
- 1 مكتب التحقيقات الفيدرالي / IC3 - تقرير جرائم الإنترنت 2024. https://ic3.gov/AnnualReport/Reports/2024_ic3report.pdf
- 2 مكتب التحقيقات الفيدرالي / IC3 - تقرير جرائم الإنترنت 2025. https://ic3.gov/AnnualReport/Reports/2025_IC3Report.pdf
- 3 Chainalysis - تقرير مصارف العملات المشفرة الخبيثة. https://chainalysis.com/blog/crypto-drainers/
- 4 TRM Labs - Drainware: للأسف آتٍ إلى محفظة عملات مشفرة قريبة منك. https://trmlabs.com/resources/blog/drainware-unfortunately-coming-to-a-cryptocurrency-wallet-near-you
- 5 يوروبول - IOCTA 2025: اسرق، تداول، أعِد. https://europol.europa.eu/cms/sites/default/files/documents/Steal-deal-repeat-IOCTA_2025.pdf
- 6 مجموعة العمل المالي FATF - التحديث المستهدف السادس للأصول الافتراضية ومزودي خدمات الأصول الافتراضية (2025). https://fatf-gafi.org/en/publications/Fatfrecommendations/targeted-update-virtual-assets-vasps-2025.html
- 7 Mozilla - عمليات احتيال محافظ العملات المشفرة: التصدي لتهديد جديد (مايو 2025). https://blog.mozilla.org/addons/2025/05/30/crypto-wallet-scams-thwarting-a-new-threat/
- 8 The Hacker News - اختراق امتداد Chrome لـ Trust Wallet (ديسمبر 2025). https://thehackernews.com/2025/12/trust-wallet-chrome-extension-hack.html
- 9 SlowMist - كيف سرق امتداد خبيث مليون دولار (يونيو 2024). https://slowmist.medium.com/unraveling-how-a-malicious-extension-stole-a-million-dollars-e847a83cc50e
- 10 مدونة TRM Labs - عام قياسي للجرائم الإلكترونية. https://trmlabs.com/resources/blog/a-record-breaking-year-for-cybercrime-key-findings-from-the-fbis-2024-ic3-report
- 11 Security Week - برامج ضارة لاستنزاف المحافظ تُستخدم لسرقة 500 مليون دولار. https://securityweek.com/wallet-drainer-malware-used-to-steal-500-million-in-cryptocurrency-in-2024/
- 12 Bleeping Computer - عشرات الامتدادات المزيفة تغزو متجر Firefox (يوليو 2025). https://bleepingcomputer.com/news/security/dozens-of-fake-wallet-add-ons-flood-firefox-store-to-drain-crypto/
الأسئلة الشائعة
هل يمكن لامتداد متصفح خبيث سرقة العملات المشفرة دون أن أنقر على أي شيء؟
نعم. بمجرد تثبيته، يعمل الامتداد الخبيث بامتيازات خلفية دائمة. يمكنه بصمت استبدال عناوين المحفظة في الحافظة، واعتراض نوافذ توقيع المحفظة، وقراءة ملفات ارتباط الجلسة النشطة للمنصات التي أنت مسجّل فيها، وحقن كود في الصفحات التي تزورها - كل ذلك دون أي تفاعل مرئي. كشف تحقيق SlowMist في امتداد AGGR أن وحدة اختطاف ملفات الارتباط عملت كليًا في الخلفية، مما أتاح سحب مليون دولار دون أن توافق الضحية على معاملة مشبوهة.
الامتداد جاء من متجر Chrome Web Store: هل هذا ممكن فعلاً؟
نعم، وحدث ذلك مرات عدة. في ديسمبر 2025، تعرّض امتداد Chrome الشرعي لـ Trust Wallet للاختراق عبر بنيته التحتية للتوزيع. جاء التحديث الذي سرق 8.5 مليون دولار من 2520 محفظة عبر آلية التحديث الرسمية للمتجر. أزالت Mozilla أيضًا أكثر من 40 امتدادًا ضارًا في 2025. التثبيت من متجر رسمي لا يضمن الأمان.
لم أدخل عبارة البذور في المتصفح قط: هل يمكن للامتداد إفراغ محفظتي؟
نعم. سرقة ملفات ارتباط الجلسة تتيح للمهاجم انتحال هويتك على المنصات التي أنت مسجّل فيها بالفعل. اختطاف الحافظة يُعيد توجيه المعاملات الصادرة. حقن المعاملات يُعدّل عناوين الوجهة في نوافذ التوقيع. كون عبارة البذور غير موجودة في المتصفح لا يحميك إذا كان امتداد خبيث مثبّتًا.
كم من الوقت لدي للتصرف قبل أن تصبح الأموال غير قابلة للاسترداد؟
النافذة الواقعية للتدخل على مستوى المنصة هي ساعات لا أيام. تُرسِّل عمليات الصرف الخبيثة الاحترافية الأموال وتجسرها عادةً خلال 15 إلى 30 دقيقة من السرقة الأولية. ومع ذلك، تظل بعض الحسابات المستقبِلة خاملة لأيام قبل أن يسحب المهاجم. تسجيل بلاغ رسمي فورًا يُنشئ سجلًا قد يُطلق تجميدًا حتى بعد أيام إذا لم تُنقل الأموال بعد.
هل هناك طريقة لاسترداد العملات المشفرة المسروقة بواسطة امتداد متصفح؟
الاسترداد الجزئي أو الكامل ممكن في ظروف بعينها. أفضل الحالات هي أموال انتقلت إلى عنوان إيداع منصة تبادل مركزية - يمكن لجهات إنفاذ القانون أو محقق محترف لديه علاقات مع المنصات طلب تجميدها قبل سحب المهاجم. للأموال التي مرّت عبر بروتوكولات لامركزية أو خلاطات، تنخفض احتمالية الاسترداد، لكن الجنائيات على البلوكشين تستطيع بناء قضية موثّقة.