← العودة إلى المقالات

كيف تعمل ثغرات DeFi: أنماط الهجوم ومخاطر البلوكتشين وما يمكن للضحايا فعله

23 يونيو 202616 دقيقة للقراءةاستخبارات التهديدات
كيف تعمل ثغرات DeFi: أنماط الهجوم ومخاطر البلوكتشين وما يمكن للضحايا فعله

تكبّدت بروتوكولات DeFi مجتمعةً خسائر بمليارات الدولارات جراء الاستغلال منذ عام 2020. كان الربع الثاني من عام 2026 الأسوأ في السجلات، إذ نفّذ المهاجمون أكثر من 70 هجوماً منفصلاً استنزفوا خلالها ما يقارب 746 مليون دولار في ثلاثة أشهر فقط. معظم المتضررين لم يكونوا يعلمون أنهم في مرمى الخطر، فقد أودعوا أموالهم في ما بدا بروتوكولاً مشروعاً، وجنوا عوائد لأشهر، ثم استيقظوا ذات يوم ليجدوا أرصدتهم صفراً. فهم آلية عمل هذه الهجمات، وكيفية تقليص تعرضك على السلسلة، والخطوات العملية التي ينبغي اتخاذها إذا تعرّض بروتوكول استخدمته للاستغلال، ليس ترفاً معرفياً لأحد يشارك في منظومة DeFi، بل ضرورة لا غنى عنها.

1. لماذا يعتبر DeFi عرضة للثغرات بشكل خاص

يقوم التمويل اللامركزي على ثلاث خصائص تجعله في آنٍ واحد قوياً وخطيراً: الكود مفتوح المصدر، والتركيبية (Composability)، وعدم قابلية العكس. كل عقد ذكي يُنشر على بلوكتشين عام قابل للقراءة من قِبل أي شخص، بمن فيهم المهاجمون. تقوم شركات التدقيق بمراجعة الكود قبل الإطلاق، لكن نطاق التدقيق محدود ولا يستطيع التنبؤ بكيفية تفاعل العقود مع بعضها بعد انتشارها في بيئة منظومة معقدة.

كثيراً ما توصف التركيبية بأنها "مكعبات ليغو المالية" لأنه يمكن تكديس البروتوكولات فوق بعضها. يخلق هذا كفاءةً هائلة لكنه يُضاعف سطح الهجوم أيضاً. ثغرة في مجمع سيولة واحد يمكن دمجها مع قروض سريعة من بروتوكول إقراض منفصل، والتوجيه عبر جسر، لإنتاج هجوم لا يمكن لأي تدقيق منفرد توقّعه.

الخاصية الثالثة هي عدم قابلية العكس. حين تستنزف ثغرة أموالاً على السلسلة، لا يوجد استرداد للرسوم، ولا فريق للاحتيال يمكن الاتصال به، ولا إلغاء للمعاملة. حذّر مكتب التحقيقات الفيدرالي (FBI) من ذلك صراحةً في أغسطس 2022، مشيراً إلى أن 97% من جميع العملات المشفرة المسروقة بين يناير ومارس 2022 جاءت من منصات DeFi. [1]

حجم المشكلة في عام 2026

كان الربع الثاني من عام 2026 الأكثر نشاطاً لثغرات الكريبتو على الإطلاق. استنزفت أكثر من 70 حادثة منفصلة ما يقارب 746 مليون دولار من بروتوكولات DeFi بين أبريل ويونيو 2026. [10][15] وشكّلت هجمات الجسور بين السلاسل ما يقارب 351 مليون دولار من هذا الإجمالي. وكان الرقم القياسي السنوي السابق 3.8 مليار دولار مسروقاً على مدار عام 2022 بأكمله. [4] سطح هجوم DeFi لم يتقلّص، بل اتّسع. أفادت Chainalysis بسرقة 2.2 مليار دولار من منصات الكريبتو في عام 2024. [2] وأكّد تقرير TRM Labs للجرائم الكريبتو لعام 2026 أن هجمات البنية التحتية التي تستهدف المفاتيح الخاصة مثّلت 76% من إجمالي قيمة العملات المشفرة المسروقة في عام 2025. [6]

2. هجمات الجسور بين السلاسل: ناقل الخسائر الأكبر

تتيح جسور السلاسل المتقاطعة للمستخدمين نقل الأصول من بلوكتشين إلى آخر عبر قفل الرموز على السلسلة المصدر وسك رموز مكافئة على السلسلة الوجهة. تجلس مليارات الدولارات من السيولة داخل عقود الجسور الذكية في أي وقت معطى.

لا تعتمد الجسور على كود العقود الذكية فحسب، بل تعتمد أيضاً على شبكات التحقق غير المتسلسلة، وعمليات التوقيع بالتوقيع المتعدد، وفي بعض الحالات مشغّلين مركزيين يحتفظون بالمفاتيح الخاصة.

استغل هجوم جسر Wormhole في فبراير 2022 ثغرة في التحقق من التوقيع. زوّر المهاجم توقيعاً صالحاً من الحارس، مقنعاً العقد بوجود إيداع على جانب Ethereum دون أن يكون ذلك صحيحاً. إجمالي الخسارة: 320 مليون دولار. [4][11]

اختراق جسر Ronin في مارس 2022: اخترق قراصنة لازاروس المدعومة من كوريا الشمالية خمسة مفاتيح تحقق من خلال التصيد الاحتيالي الموجّه ضد موظفي Sky Mavis. وقد منحت لهم السلطة لسحب 173,600 إيثير و 25.5 مليون USDC. إجمالي الخسارة: 625 مليون دولار. [2][6]

لماذا يصعب تأمين الجسور

كل جسر ينطوي على فرضية ثقة في مكان ما. تجري معظم الجسور تنازلات عملية مدروسة: مجموعات تحقق أصغر، ونهايية أسرع، وتكاليف غاز أقل. هذه التنازلات تخلق سطح هجوم. [11] في الربع الثاني من 2026، شكّلت هجمات الجسور ما يقارب 351 مليون دولار من إجمالي خسائر ذلك الربع. [10]

3. أخطاء العقود الذكية: إعادة الدخول والأخطاء المنطقية وثغرات التحكم في الوصول

تنشأ ثغرات العقود الذكية من تفاعلات دقيقة بين العقود، أو من بيئة تنفيذ EVM الفريدة.

إعادة الدخول (Reentrancy) هي أقدم ثغرات العقود الذكية وأكثرها سمعةً. تحدث حين يجري عقد اتصالاً خارجياً قبل تحديث حالته الداخلية. استخدمت ثغرة إعادة الدخول في اختراق DAO عام 2016 لاستنزاف 60 مليون دولار. [1] وسُرب من بروتوكول Penpie 27 مليون دولار في سبتمبر 2024 عبر ثغرة إعادة دخول.

الأخطاء المنطقية غالباً ما تكون أصعب اكتشافاً. عانت Qubit Finance من خسارة بقيمة 80 مليون دولار في يناير 2022 حين قبلت دالة إيداعاً برمز متقادم وأضافت أصولاً ملفوفة على السلسلة الوجهة رغم عدم حدوث أي إيداع فعلي. [4][11]

ثغرات التحكم في الوصول تحدث حين لا تكون الدوال المميّزة محميةً بشكل صحيح أو حين تكون محميةً بمفتاح مخترق. أشار بيان FBI صراحةً إلى التحكم في الوصول بوصفه فئة ثغرات رئيسية. [1]

تساعد عمليات التدقيق ولكنها لا تضمن الأمان

كل بروتوكول DeFi رئيسي يخضع للتدقيق قبل الإطلاق. تقلّل عمليات التدقيق المخاطر بشكل كبير لكنها لا تلغيها. [11] بروتوكول اجتاز عملية تدقيق في يناير قد يصبح عرضةً للثغرات في يونيو حين يتم تحديث بروتوكول آخر يتفاعل معه. النهج الوحيد صفري المخاطر هو عدم إيداع الأموال.

4. التلاعب بالأوراكل وهجمات القروض السريعة

لا تستطيع العقود الذكية الوصول إلى بيانات خارجية بمفردها. يجب على بروتوكول الإقراض الاعتماد على مصدر سعر خارجي يُعرف باسم "أوراكل". التلاعب في مصدر السعر يعني التلاعب في البروتوكول كله.

يتضمّن هجوم التلاعب الأكثر شيوعاً التلاعب في سعر البقعة على صانع سوق آلي (AMM). بإمكان المهاجم تحريف هذا السعر مؤقتاً لاقتراض أكثر بكثير مما ينبغي، أو استنزاف الضمانات، أو تصفية المراكز بتقييمات متحرّفة.

تمنح القروض السريعة قوةً هائلة لتلاعب الأوراكل. تتيح القروض السريعة اقتراض عشرات أو مئات الملايين من الدولارات في معاملة واحدة غير مضمونة. إذا فشل الاستغلال، تتراجع المعاملة بأكملها ولا يخسر المهاجم سوى تكلفة الغاز. [12][13]

جُرّد Mango Markets من 110 مليون دولار في أكتوبر 2022. [5] وجُرّد Euler Finance من 197 مليون دولار في مارس 2023. [13]

هجمات الأوراكل بالأرقام

وثّقت TRM Labs أن هجمات التلاعب بالأوراكل تسبّبت في خسائر بقيمة 52 مليون دولار عبر 37 حادثة منفصلة في عام 2024 وحده. [6] الدفاع هو استخدام أوراكل السعر المتوسط الزمني (TWAP)، غير أن لا تصميم أوراكل يلغي المخاطرة كلياً.

5. اختراق المفاتيح الخاصة ومفاتيح المشرف

تمتلك كثير من بروتوكولات DeFi مفاتيح تحديث أو مفاتيح إيقاف أو مفاتيح خزينة يحتفظ بها عدد صغير من الأفراد. عندما تُخترق هذه المفاتيح، يكتسب المهاجم سيطرةً فعليةً على البروتوكول.

أفادت Chainalysis بأن اختراق المفاتيح الخاصة كان مسؤولاً عن 43.8% من إجمالي العملات المشفرة المسروقة بالقيمة في 2024. [2] وأكّد تقرير TRM Labs لعام 2026 أن هجمات البنية التحتية مثّلت 76% من إجمالي القيمة المسروقة في 2025. [6]

في اختراق جسر Ronin، سُرقت خمسة من تسعة مفاتيح تحقق عبر تصيد احتيالي موجّه ضد موظفي Sky Mavis. أمضى المهاجمون (مجموعة لازاروس) شهوراً يبنون فيها علاقات عروض عمل مزيّفة قبل تسليم وثائق محملة بالبرمجيات الخبيثة. [3][6]

في اختراق Bybit في فبراير 2025: سُرق ما يقارب 1.5 مليار دولار من بنية التوقيع على محفظة Bybit الباردة. تضمّن الهجوم اختراق واجهة Safe multisig، وحقن معاملة خبيثة بدت شرعية ولكنها أعادت توجيه الأموال إلى عناوين يتحكّم فيها المهاجم. [3]

كوريا الشمالية كجهة تهديد منهجية

أشار تقرير Chainalysis لعام 2026 إلى أن المجموعات المرتبطة بكوريا الشمالية سرقت ما يقدّر ب 1.34 مليار دولار في 2024 عبر 47 حادثة. [3] هذه وحدات تعمل برعاية دولة وتمتلك بنية تشغيلية متخصصة ومسارات راسخة لغسيل الأصول المسروقة. [16]

6. هجمات الواجهة الأمامية واختطاف النطاق

قد تكون عقود بروتوكول DeFi آمنةً تماماً على السلسلة، ومع ذلك يظل المستخدمون عرضةً لخسارة أموالهم من خلال هجوم لا يلمس كود العقد أبداً.

عانى BadgerDAO من اختراق واجهته الأمامية بقيمة 120 مليون دولار في نوفمبر 2021. حصل مهاجم على مفتاح API لِ Cloudflare، وحقن سكريبت خبيثاً في JavaScript الواجهة الأمامية لاعترض معاملات موافقة الرموز وأضاف موافقة غير محدودة لعنوان يتحكّم فيه المهاجم. [1][9]

اختطاف النطاق: عام 2022، تعرّض DNS الواجهة الأمامية لـ Curve Finance للاختطاف. المستخدمون الذين زاروا الموقع ووافقوا على المعاملات كانوا يرسلون أموالهم إلى مهاجم. [9]

دفاعات عملية ضد هجمات الواجهة الأمامية

استخدم إشارات المتصفح للوصول إلى المواقع، وليس نتائج محركات البحث. قبل التوقيع على أي موافقة، تحقّق من عنوان العقد. استخدم أداة محاكاة المعاملات مثل Tenderly أو Fire أو محاكي Rabby Wallet. تعرض محافظ الأجهزة بيانات المعاملة كاملةً قبل طلب التوقيع الفيزيائي، فاقرأها دائماً. ألغِ الموافقات بانتظام عبر revoke.cash. [1]

7. كيفية تقليل تعرضك قبل حدوث الثغرة

لا يمكن القضاء على مخاطر DeFi، لكن يمكن إدارتها بصورة فعالة.

ابحث عن تاريخ التدقيق قبل الإيداع. تشمل شركات التدقيق الموثوقة: Certik، وHalborn، وOpenZeppelin، وTrail of Bits، وPeckshield، وConsensys Diligence. بروتوكول بلا تدقيقات هو خيار عالي المخاطر. [12]

لا تمنح أبداً موافقات غير محدودة على الرموز. بعد كل معاملة، ألغِ الموافقة عبر revoke.cash. أوصى FBI صراحةً بتحديد الموافقات. [1]

استخدم محفظة أجهزة للحيازات الكبيرة. حتى لو تعرّض جهازك للاختراق كلياً، ستعرض محفظة الأجهزة تفاصيل المعاملة كاملةً قبل طلب موافقتك الفيزيائية. [8]

قلّل من التعرّض للجسور. عند الحاجة إلى الجسر، استخدم جسوراً تم تدقيقها مع مجموعات تحقق لامركزية وآليات تأخير زمني. [11]

كن متشككاً في العوائد المرتفعة بشكل غير عادي. هجمات التلاعب بالأوراكل هي الأكثر فعاليةً ضد البروتوكولات التي تقدّم عوائد مرتفعةً غير عادية من تجمعات سيولة ضحيلة. [5][12]

ابحث عن هيكل الحوكمة. تحقّق مما إذا كانت مفاتيح المشرف محميةً بتوقيع متعدد وما إذا كانت هناك آليات تأخير زمني على التحديثات. أشارت إرشادات FATF لعام 2024 إلى أن شفافية الحوكمة هي مؤشر مخاطرة رئيسي. [8]

فكّر في تأمين DeFi. توفّر بروتوكولات مثل Nexus Mutual وInsurAce غطاءً للعقود الذكية. عادةً لا يشمل الغطاء هجمات الواجهة الأمامية أو اختراق المفاتيح الخاصة. [8]

8. ما يجب فعله فوراً بعد استغلال بروتوكول DeFi الذي كنت تستخدمه

تتحرك ثغرات البروتوكولات بسرعة. الفارق الزمني بين بدء المهاجم في استنزاف الأموال وقدرة فريق البروتوكول على إيقاف العقود غالباً ما يُقاس بالدقائق.

الخطوة 1: أرجع جميع موافقات الرموز فوراً

اذهب إلى revoke.cash أو واجهة موافقات الرموز في Etherscan وأرجع كل موافقة نشطة مرتبطة بالبروتوكول المتأثر. [1]

الخطوة 2: انقل الأصول المتبقية إلى التخزين البارد

انقل أي أصول لم تُستنزف بعد إلى محفظة أجهزة لم تتفاعل قط مع البروتوكول المستغَل. [3]

الخطوة 3: وثّق كل شيء فوراً

اجمع كل هاش معاملة، وعناوين العقود، وعناوين المحافظ، والمبالغ بالدولار وقت الخسارة، والصور الملتقطة. يؤكد تقرير FBI للاحتيال بالعملات المشفرة لعام 2023 أن التوثيق المبكر يُحسّن آفاق الاسترداد بشكل كبير. [7]

الخطوة 4: قدّم بلاغاً إلى جهات إنفاذ القانون

قدّم شكوى إلى مركز شكاوى جرائم الإنترنت التابع لـ FBI على ic3.gov. إذا كنت خارج الولايات المتحدة، قدّم بلاغاً إلى جهة الجرائم الإلكترونية الوطنية لديك. تلتزم الدول الأعضاء في FATF بتوفير آليات استقبال الشكاوى المتعلقة بالاحتيال بالأصول الافتراضية. [7][8]

الخطوة 5: أبلغ البورصات المركزية

تواصل مع البورصات التي ربما أودع فيها المهاجم أمواله. قدّم هاشات المعاملات التي تُظهر مسار الأموال المسروقة. [7]

الخطوة 6: استعن بالتحليل الجنائي للبلوكتشين إذا كانت الخسائر كبيرة

للخسائر التي تتجاوز ~50,000 دولار، يهمّ التحرك المبكر مع شركة جنائية للبلوكتشين. تُغسل الأموال المسروقة بشكل نشط خلال ساعات من الاستغلال. [3][16]

الخطوة 7: تابع الاستجابة الرسمية للبروتوكول

أسفرت كثير من ثغرات DeFi عن استرداد جزئي من خلال مفاوضات القبعة البيضاء، أو مدفوعات صندوق التأمين، أو تعويض بقرار من الحوكمة. [7][8]

توقعات واقعية بشأن الاسترداد

الاسترداد ليس مستحيلاً. تُظهر بيانات Chainalysis لعام 2026 أن مصادرات الأجهزة الأمنية والعوائد الطوعية كلاهما في ازدياد. [3] وثّق تقرير FBI للاحتيال بالعملات المشفرة لعام 2023 خسائر بقيمة 5.6 مليار دولار من الاحتيال بالعملات المشفرة المبلّغ عنه لـ IC3 في 2023. [7]

النقاط الرئيسية

المراجع

  1. [1]FBI PSA: Cyber Criminals Increasingly Exploit Vulnerabilities in DeFi Platforms (2022). ic3.gov/PSA/2022/PSA220829
  2. [2]Chainalysis: $2.2 Billion Stolen from Crypto Platforms in 2024. chainalysis.com/blog/crypto-hacking-stolen-funds-2025/
  3. [3]Chainalysis: North Korea Drives Record $2 Billion Crypto Theft Year (2026). chainalysis.com/blog/crypto-hacking-stolen-funds-2026/
  4. [4]Chainalysis: Hackers Are Stealing More Cryptocurrency From DeFi Than Ever Before (2022). chainalysis.com/blog/2022-defi-hacks/
  5. [5]Chainalysis: Oracle Manipulation Attacks Are Rising (2023). chainalysis.com/blog/oracle-manipulation-attacks-rising/
  6. [6]TRM Labs: 2026 Crypto Crime Report. trmlabs.com/reports-and-whitepapers/2026-crypto-crime-report
  7. [7]FBI IC3: 2023 Cryptocurrency Fraud Report (2024). ic3.gov/annualreport/reports/2023_ic3cryptocurrencyreport.pdf
  8. [8]FATF: Targeted Update on Virtual Assets and VASPs 2024. fatf-gafi.org/en/publications/Fatfrecommendations/targeted-update-virtual-assets-vasps-2024.html
  9. [9]SecurityWeek: FBI Warns of Surge in Attacks Targeting DeFi Platforms (2022). securityweek.com/fbi-warns-surge-attacks-targeting-defi-platforms/
  10. [10]The Defiant: Q2 2026 Most Hacked Quarter -- DeFi 70 Exploits $746M (2026). thedefiant.io/news/hacks/q2-2026-most-hacked-quarter-defi-70-exploits-746m
  11. [11]Certik: Cross-Chain Bridge Attacks Explained (2023). certik.com/blog/cross-chain-bridge-attacks-explained
  12. [12]Halborn: What Are Price Oracle Manipulation Attacks in DeFi (2023). halborn.com/blog/post/what-are-price-oracle-manipulation-attacks-in-defi
  13. [13]Chainalysis: Euler Finance Flash Loan Attack (2023). chainalysis.com/blog/euler-finance-flash-loan-attack/
  14. [14]TRM Labs: 2025 Crypto Crime Report. trmlabs.com/reports-and-whitepapers/2025-crypto-crime-report
  15. [15]Cryptobriefing: Q2 2026 Sees Record 70 Crypto Hacks Totaling $746M in Losses (2026). cryptobriefing.com/q2-2026-sees-record-70-crypto-hacks-totaling-746m-in-losses/
  16. [16]Chainalysis: 2024 Crypto Money Laundering (2025). chainalysis.com/blog/2024-crypto-money-laundering/

هل تأثرت بثغرة DeFi أو سرقة عملات مشفرة؟

تتخصص Recoveris في التحليل الجنائي للبلوكتشين واسترداد الأصول الرقمية. يرسم فريقنا تدفقات الأموال على السلسلة، ويجمع الأدلة للسلطات، وينسق مع البورصات لتجميد العائدات المسروقة.

التدخل المبكر أمر بالغ الأهمية: تتضيق نوافذ التتبع بسرعة مع غسيل الأموال.

طلب استشارة

لست متأكداً هل يمكن استرداد حالتك؟

أجرِ تقييمنا الذي يستغرق دقيقتين لفهم خياراتك

تقييم مجاني بدون التزام نتائج في دقيقتين
ابدأ التقييم المجاني

الأسئلة الشائعة

هل يمكن استرداد أموال DeFi المسروقة؟

الاسترداد ممكن لكنه يعتمد بشكل كبير على نوع الثغرة وسرعة التصرف وقدرة المحققين على تتبع الأموال قبل غسلها عبر خلاطات العملات أو سحبها من بورصات بدون KYC. شهدت استغلالات البروتوكولات الكبيرة عمليات استرداد جزئية من خلال مفاوضات القبعات البيضاء (أعادت Euler Finance ما يقارب 177 مليون دولار)، ومصادرات الأجهزة الأمنية (Ronin: 30 مليون دولار صادرتها السلطات الأمريكية)، وصناديق تعويض البروتوكولات.

ما هي الطريقة الأكثر شيوعاً لاختراق بروتوكولات DeFi؟

اختراق المفاتيح الخاصة هو الآن ناقل الهجوم الرئيسي بالقيمة، إذ يمثل 43.8% من جميع العملات المشفرة المسروقة في عام 2024 (Chainalysis) و76% من القيمة المسروقة في عام 2025 (TRM Labs). هجمات جسور السلاسل المتقاطعة هي الأكثر ضرراً من حيث حجم الحادث المفرد. أخطاء العقود الذكية والتلاعب بالأوراكل واختطاف الواجهة الأمامية هي أيضاً ناقلات مهمة ومستمرة.

ما هو هجوم القرض السريع (Flash Loan)؟

هجوم القرض السريع يقترض مبلغاً كبيراً من العملات المشفرة دون ضمانات في معاملة ذرية واحدة، ويستخدم ذلك الرأسمال للتلاعب في ظروف السوق أو استغلال ثغرة البروتوكول، ويستخرج الربح ويسدد القرض في نفس المعاملة. إذا فشلت أي خطوة، يتم التراجع عن المعاملة بأكملها ولا يخسر المهاجم سوى تكلفة الغاز. اختراق Euler Finance في مارس 2023 الذي استنزف 197 مليون دولار هو أحد أكبر الأمثلة الموثقة.

كيف أعرف إذا كان بروتوكول DeFi الذي أستخدمه قد تعرض للاختراق؟

تابع الحسابات الرسمية للبروتوكول على قنوات متعددة (Discord، Telegram). أدوات مراقبة البلوكتشين مثل متتبع TVL في DeFiLlama (الانخفاضات المفاجئة في TVL هي إشارة) وrekt.news تنشر تحذيرات الاستغلال بسرعة. بالنسبة للبروتوكولات التي تستخدمها بانتظام، فكر في إعداد تنبيهات رصيد الرموز على عناوين محفظتك عبر أدوات مثل Webacy أو خدمة إشعارات Etherscan.

أدلة ذات صلة

الأمان

تدقيق سطح هجوم محفظة العملات المشفرة: دليل خطوة بخطوة لتأمين بصمتك على السلسلة

دليل الاسترداد

ماذا تفعل إذا تم استنزاف محفظة العملات المشفرة الخاصة بك: خطوات فورية وخيارات الاسترداد

دليل الاسترداد

كيفية الإبلاغ عن سرقة العملات المشفرة: FBI وإنتربول ودليل التقديم حسب الولاية القضائية