← العودة إلى المقالات

دليل هجمات تسميم عناوين العملات المشفرة: كيف تعمل، وكيف تكتشفها، وكيف تحمي محفظتك

16 يونيو 202615 دقائق قراءةالأمان
هجمات تسميم عناوين العملات المشفرة

سرقت هجمات تسميم العناوين ما يزيد على 500 مليون دولار من مستخدمي العملات المشفرة، وذلك باستغلال عادة بالغة البساطة: نسخ عناوين المحافظ من سجل المعاملات بدلاً من مصادر موثوقة ومُحققة. يشرح هذا الدليل بالتفصيل آلية عمل هذه الهجمات، وما تكشفه البيانات عن حجمها وانتشارها، وما يجب عليك فعله لحماية كل تحويل تُجريه.

ما هو تسميم العناوين؟

تسميم العناوين - ويُعرف أيضاً بانتحال العناوين - هو هجوم هندسة اجتماعية يُرسل فيه المجرم معاملة صغيرة عديمة القيمة إلى محفظتك من عنوان يُشبه إلى حد بعيد عنواناً استخدمته من قبل. الهدف هو تلويث سجل معاملاتك بحيث تقوم في المرة القادمة التي تحتاج فيها إلى إرسال أموال إلى طرف مألوف بنسخ عنوان المهاجم عن طريق الخطأ بدلاً من العنوان الشرعي [1].

مصدر التسمية هو "تسميم" سجلك على السلسلة - تماماً كتسميم بئر ماء. يزرع المهاجم عنواناً مزيفاً في العلن وينتظر. على كثير من سلاسل الكتل الشائعة، لا يستلزم إرسال معاملة أي إذن من المُستلِم. تلك البنية المفتوحة تُتيح التمويل اللامركزي؛ غير أنها تُشكّل في الوقت ذاته ثغرة الهجوم التي يستغلها تسميم العناوين [1][6].

تُعرّفه Chainalysis بأنه: "يحدث تسميم العناوين عندما يُرسل محتال معاملة صغيرة من عنوان محفظة مُزيّف إلى محفظة الضحية، آملاً أن تستخدم الضحية عنوانه عن طريق الخطأ في المرة التالية التي ترسل فيها عملة مشفرة." [1] وقد أكد بحث USENIX Security 2025 الصادر عن Tsuchiya وChristin أنه يُمثّل تهديداً منهجياً ذا تأثير مالي واسع النطاق [6].

كيف يُنصب الفخ

أنت ترسل 100 USDT إلى عنوان السحب في بورصتك. بعد دقائق، يُرسل بوت المهاجم 0 USDT إليك من عنوان يبدأ وينتهي بالأحرف ذاتها التي تبدأ وتنتهي بها عنوان بورصتك. يتربع هذا العنوان المُسمَّم الآن مباشرةً أسفل العنوان الشرعي في سجل محفظتك. في المرة القادمة التي تبدأ فيها عملية سحب، تتحرك للأعلى صفاً واحداً بالخطأ وتُقرّ التحويل إلى المهاجم.

لا يستلزم الهجوم أي برمجيات خبيثة، ولا صفحة تصيد احتيالي، ولا اختراقاً للعبارة الأولية. يعمل لأن معظم المحافظ تعرض أول أربعة وآخر أربعة أحرف فقط من العنوان. حين يصنع المهاجم عنواناً يطابق تلك الأحرف الثمانية ذاتها، تنهار الاختصارات كلياً [1][13].

يختلف تسميم العناوين عن اختطاف الحافظة والتصيد الاحتيالي؛ فهو يجري على السلسلة بالكامل [6].

كيف يبني المهاجمون عناوين مزيفة مشابهة

توليد عنوان محفظة يبدأ وينتهي بأحرف محددة عملية مُكلفة حسابياً، لكنها بعيدة كل البعد عن الاستحالة. تُعرف هذه التقنية بتوليد عناوين الغرور. يمكن لبرامج مُعجَّلة بوحدات معالجة الرسومات أن تُولّد مليارات أزواج المفاتيح المرشحة في الثانية الواحدة [6].

بالنسبة لعنوان Ethereum القياسي المؤلف من 42 حرفاً سداسياً عشرياً، فإن مطابقة ثمانية أحرف بعينها تستلزم نحو 4.3 مليار محاولة. بعنقود حديث من وحدات معالجة الرسومات، يستغرق ذلك ثوانٍ إلى دقائق لكل عنوان مستهدف [6][1].

على شبكة TRON، تتسع مساحة الهجوم أكثر. وثّقت TRM Labs أن نموذج رسوم TRON يجعل المعاملات ذات القيمة شبه الصفرية رخيصة للغاية [4].

اقتصاديات عناوين الغرور

يمكن للمهاجم المتطور توليد عنوان مطابق في أقل من دقيقة. قد تبلغ تكلفة كل محاولة تسميم أجزاء من سنت واحد. أما العائد المتوقع، إن وقع ضحية واحدة من بين الآلاف في الفخ، فقد يبلغ الملايين من الدولارات.

يعتمد بعض المهاجمين على الخطوط التي تبدو فيها أحرف معينة متطابقة تقريباً - "0" مقابل "O"، و"1" مقابل "l" - ويصنعون عناوين تبدو متطابقة حتى حين يُمعن المستخدمون النظر في عدد أكبر من الأحرف [6][13].

وجد باحثو CMU أن كثيراً من الحملات تستهدف المحافظ عالية القيمة تحديداً. تراقب البوتات الآلية مجموعة المعاملات المعلقة وتستجيب في الكتلة ذاتها [6][7]. يعتمد بعض المهاجمين على ملاحظة مفادها أن معظم المستخدمين لا يتحققون من العنوان كاملاً أصلاً - فالعنوان الجزئي المطابق يكفي [1][4].

كيف ينتشر تسميم العناوين على نطاق صناعي

ما بدأ هجمات فردية انتهى بتحوله إلى عمليات آلية ميكنة ومصنّعة. تعمل الحملات الحديثة كبوتات مستمرة تفحص مجمعة المعاملات عبر سلاسل كتل متعددة في آن واحد [6][7].

تُظهر بيانات جرائم Chainalysis 2025 أن تسميم العناوين يمثل حصة متنامية من الخسائر. تستخدم مجموعات مرتبطة بتنظيمات إجرامية من جنوب شرق آسيا وأوروبا الشرقية بنية تحتية مشتركة [1][2][3].

وجدت TRM Labs أن شبكة TRON أصبحت ملعباً مفضلاً للحملات الواسعة النطاق بسبب رسوم المعاملات شبه المعدومة. أرسلت مجموعات المحافظ آلاف معاملات تسميم يومياً [4].

خط أنابيب التسميم

(1) تراقب البوت مجمعة المعاملات بحثاً عن المعاملات الصادرة التي تتجاوز حداً معيناً. (2) استخراج عنوان الوجهة. (3) يُولّد مولد عناوين الغرور عنواناً مشابهاً. (4) إرسال معاملة التسميم ضمن الكتلة ذاتها إن أمكن. (5) تأرشيف عنوان الضحية للرصد. (6) إن أرسلت الضحية أموالاً إلى العنوان المُسمَّم، تُنقل الأموال فوراً عبر خدمات الخلط.

بالنسبة للمستخدمين العاديين: افترض أن سجل محفظتك قد تعرّض للتسميم. إن كنت قد أجريت معاملة واحدة تجاوزت فيها بضع مئات الدولارات، فثمة احتمال حقيقي بأن مهاجماً قد وضع بالفعل عنواناً مطابقاً في سجلك [1][4][6].

لاحظ تقرير TRM 2025 لجرائم العملات المشفرة أن مهاجمي التسميم تكيفوا بتدوير العناوين بشكل أكثر تواتراً [5]. ووجد CMU CyLab أن الأرباح تُغسل عبر البورصات اللامركزية وجسور عبور السلاسل، مما يجعل الاسترداد بالغ الصعوبة [7][6].

خسائر حقيقية: حالات بارزة وبيانات

الخسائر المالية موثّقة وجوهرية.

خسارة 50 مليون دولار من USDT

في مايو 2024، خسر متداول 50 مليون دولار من USDT في واحدة من أكبر حوادث تسميم عنوان مدوّنة على الإطلاق. كشفت بوت المهاجم النمط، ولدّ عنواناً مطابقاً، وحقن معاملة تسميم. نسخ الضحية العنوان من السجل بدلاً من مصدر موثوق. عرض الضحية لاحقاً مكافأة قدرها مليون دولار مقابل استرداد الأموال [10].

قضية الـ 71 مليون دولار والاسترداد الجزئي

في مايو 2024 أيضاً، خسرت ضحية أخرى ما يقارب 71 مليون دولار من WBTC. أعاد المهاجم في نهاية المطاف نحو 90% من الأموال في أعقاب المفاوضات - استثناء بالغ لأن حجم الخسارة استقطب انتباهاً تحقيقياً فورياً [11]. بالنسبة للخسائر العادية بين 50،000 و500،000 دولار، لا يتولد ذلك المستوى من الضغط.

بيانات مكتب التحقيقات الفيدرالية والنطاق الإجمالي

وثّق تقرير FBI 2025 لجرائم الإنترنت خسائر عملات مشفرة تجاوزت 9.3 مليار دولار في 2024 [8]. حددت البيانات الصادرة عن المكتب "انتحال عنوان المحفظة" بوصفه من أسرع أساليب احتيال العملات المشفرة نمواً [9].

وثّقت Chainalysis أنه في الربع الأول من 2024 وحده، أفرزت عمليات احتيال تسميم العناوين مئات خسائر مؤكدة تقترب من 100 مليون دولار [1][2].

لماذا تهمّ قيمة 500 مليون دولار

توصلت كل من Chainalysis وTRM Labs والباحثين الأكاديميين إلى تقديرات تراكمية تتجاوز 500 مليون دولار في خسائر تسميم العناوين عبر شبكات Ethereum وTRON وBNB Chain وغيرها [1][4][5][6]. هذه الأرقام على الأرجح تُقلّل الخسائر الفعلية بشكل كبير.

وجد باحثو CMU أن هجمات تسميم العناوين ليست عشوائية التوزيع - فالمتداولون كثيفو التردد ومتقدمو DeFi هم الأكثر عرضة للاستهداف [6][7].

لماذا يقع حتى المستخدمون ذوو الخبرة في الفخ

من أكثر جوانب هذه الهجمات التي تدعو للدهشة هو من يقع فيها. لقد وقع ضحيةً لها متداولون متمرسون ومشاركون في DeFi وأطراف مؤسسية [6][7].

مشكلة الاقتطاع

تعرض تقريباً كل محفظة رئيسية العناوين بصيغة مختصرة: أول أربعة إلى ستة أحرف، ثلاث نقاط، ثم آخر أربعة إلى ستة أحرف. هذا يخلق ثغرة بنيوية: فبالضبط الجزء المعروض هو ما يُحسن المهاجم مطابقته [13][12].

منهجية الاقتطاع تدرّب المستخدمين على الاعتماد على التحقق الجزئي - والهجوم يستغل تلك التدريبات بالضبط [6][1].

العادات والحمل المعرفي

وجد باحثو CMU أن تكرار المعاملات يرتبط إيجابياً بالوقوع ضحيةً لتسميم العناوين. فالمتداولون كثيفو التردد الذين يُحركون أموالاً مرات عدة يومياً هم أكثر عرضةً من المستخدمين العرضيين [6][7].

فخ الألفة

من المفارقة، استخدام العناوين ذاتها بشكل متكرّر يخلق ثغرة أمنية. ففي كل مرة تُرسل فيها بسلامة، تزداد ثقتك بالنفس. حين يُسمّم المهاجم سجلك، فهو يدرج نفسه في خط راسخ مألوف. دماغك يقول "هذا يبدو صحيحاً" لأنه تعلّم البحث عن نمط بعينه أعاد المهاجم إنتاجه.

ثغرات في تصميم الواجهة

حتى وقت قريب، كانت قلة من المحافظ ترفع علماً تحذيرياً بشأن المعاملات ذات القيمة الشبه صفرية بوصفها مشبوهة. حددت ورقة USENIX تصميم واجهة المحفظة بوصفه عاملاً حاسماً يُيسّر الهجمات [6][12][13].

يؤدّي ضغط الوقت دوراً كذلك. حين تتحرك الأسواق، تُتجاوز خطوات التحقق. قد يتزامن المهاجمون حملاتهم مع فترات النشاط المرتفع [6][7].

كيفية التحقق الصحيح من عنوان العملة المشفرة

التحقّق من العناوين هو الدفاع الأكثر فعاليةً. يتطلب عادةً واحدة فقط: لا تُقرّر أي تحويل دون التحقّق من عنوان الوجهة الكامل من مصدر موثوق [13][1].

القاعدة الأولى: لا تنسخ أبداً من سجل المعاملات

سجل معاملاتك ساحة قتال محتملة للتسميم. لا تعامله بوصفه سجل عناوين. احتفظ بدفتر عناوين خاص مملوء من مصادر موثوقة [13][1].

القاعدة الثانية: التحقّق من العنوان الكامل، ليس فقط معاينته

قبل تأكيد أي تحويل، وسّع عنوان الوجهة الكامل. قارن كل حرف بمصدرك الموثوق. بالنسبة للمحافظ المادية، تحقّق دائماً من شاشة الجهاز نفسه [13].

قاعدة الخمس ثوان للتحويلات عالية القيمة

لأي تحويل يتجاوز حدك الأعلى، خصّص خمس ثوان إضافية ل: (1) توسيع العنوان كاملاً، (2) مقارنة أول وآخر ستة أحرف بمصدرك الموثوق، (3) فحص القسم الوسط بحثاً عن شذوذات، (4) التأكد على شاشة المحفظة المادية إن وجدت.

القاعدة الثالثة: استخدام رموز QR للتحويلات المحلية

استخدم مسح رموز QR بدلاً من إدخال العنوان يدوياً أو من الحافظة. تُشفّر رموز QR العنوان كاملاً وتتجاوز اختطاف الحافظة وتسميم سجل المعاملات في آن واحد [13].

القاعدة الرابعة: استخدام ENS أو خدمات التسمية الأخرى بحذر

قبل الإرسال إلى اسم ENS، تحقّق دائماً من أن العنوان المحلول يطابق ما تتوقعه [13][1].

القاعدة الخامسة: الاختبار بمبلغ صغير أولاً

بالنسبة لأي عنوان جديد، أرسل مبلغاً اختبارياً صغيراً أولاً. تحقّق من الاستلام قبل إرسال المبلغ الكامل [13][1].

إعدادات أمان المحفظة التي تحجب التسميم

يمكن لميزات المحفظة أن تُقلّل التعرّض بشكل كبير. تتفاوت جودة الحماية تفاوتاً كبيراً، ولا تكون جميع ميزات الحماية مُفعّلة افتراضياً [12][13].

حماية Trust Wallet من تسميم العناوين

قدّمت Trust Wallet ميزة مخصصة تُحلّل المعاملات الواردة وتـُشير إلى تلك ذات الخصائص المطابقة للتسميم. عند اكتشافها، تضع علامة بصرية على المعاملات المشبوهة في عرض السجل [12].

للتحقّق: انتقل إلى الإعدادات ثم الأمان ثم حماية تسميم العناوين [12].

المحافظ المادية والتحقّق المستقل من العنوان

تعرض المحافظ المادية كـTrezor وLedger العنوان الكامل للوجهة على شاشة الجهاز بشكل مستقل عن الحاسوب المتصل [13].

تؤكد تعليمات Trezor أن على المستخدمين مقارنة العنوان الظاهر على شاشة Trezor بالوجهة المقصودة فعلاً - ليس بما يظهر على الحاسوب. إن عرضت الشاشة عنواناً لا تعرفه، ارفض المعاملة فوراً [13].

التحقّق من المحفظة المادية ليس اختيارياً

إن كنت تمتلك محفظة مادية لكنك تتجاوز خطوة التحقّق على شاشة الجهاز للمعاملات الروتينية، فأنت لا تستفيد من ميزة الأمان. استخدم شاشة التأكيد في كل مرة، خصوصاً للتحويلات الكبيرة.

ميزات دفتر العناوين والجهات المحفوظة

حين تحفظ عنواناً متحقّقاً منه تحت اسم معروف، وتختاره من دفتر العناوين بدلاً من سجل المعاملات، تُلغي الناقل الرئيسي الذي تستغله هجمات التسميم [13][12].

للبورصات المركزية، فعّل قائمة العناوين المسموح بها مع تأكيد بالبريد الإلكتروني أو المصادقة الثنائية (2FA). هذا من أكثر إعدادات الأمان المهملة في العملات المشفرة [13].

إعدادات مستكشف الكتل وتصنيف المخاطر

قبل الإرسال إلى عنوان غير مألوف، الصقه في Etherscan أو مستكشف الكتل المناسب وتحقّق مما إذا كان قد أُشير إليه بوصفه جزءاً من حملات تسميم [1][4].

إذا أرسلت أموالاً إلى عنوان مسموم: الخطوات الفورية

هذا وضع خطير وحرج وقتي. معاملات سلسلة الكتل لا يمكن عكسها - لا يوجد زر إلغاء، ولا قسم احتيال، ولا رد مبالغ. طريقة استجابتك خلال الساعات الأولى يمكن أن تؤثّر تأثيراً ملموساً فيما يمكن استرداده [11][8].

الخطوة الأولى: توثيق كل شيء فوراً

التقط لقطات شاشة ل: المعاملة التي تُظهر عنوان الوجهة، والتجزئة الخاصة بالمعاملة، والتوقيت، والمبلغ. هذا التوثيق ضروري لأي تقرير لجهات إنفاذ القانون أو تحليل سلسلة الكتل [8][9].

الخطوة الثانية: تتبّع الأموال على السلسلة فوراً

استخدم مستكشف الكتل (Etherscan أو Tronscan أو BscScan) لتتبّع وجهة الأموال فور استلامها من قبل المهاجم. إن استقرت الأموال في بورصة مركزية، تواصل مع فريق الامتثال فوراً مع تجزئة المعاملة [11][8].

نافذة تجميد البورصة

إن تحقّقت من توجّه الأموال المسروقة نحو بورصة كبرى كـBinance أو Coinbase أو Kraken أو OKX، تواصل مع فريق الأمان أو الامتثال فوراً. أدرج: عنوان المرسل، وعنوان المستلم، وتجزئة المعاملة، والتوقيت، والمبلغ، وشرحاً موجزاً. كل دقيقة تهم.

الخطوة الثالثة: التواصل مع شركات تحليل سلسلة الكتل

للخسائر التي تتجاوز 50،000 دولار، قد يكون من المجدي التواصل مباشرةً مع Chainalysis أو TRM Labs أو Elliptic لتتبّع الأموال وإنتاج تقرير إسناد [1][4][5].

الخطوة الرابعة: تقديم بلاغات إلى جهات إنفاذ القانون

في الولايات المتحدة، قدّم شكوى لدى FBI IC3 على ic3.gov [8][9]. في الاتحاد الأوروبي، قدّم بلاغاً لدى وحدة جرائم الإنترنت في بلدك. تُنسّق Europol EC3 التحقيقات العابرة للحدود [8].

الخطوة الخامسة: الاستعانة بمستشار قانوني للخسائر الكبيرة

للخسائر التي تتجاوز 100،000 دولار، ضع في اعتبارك التواصل مع محامٍ يتمتع بخبرة في استرداد الأصول الرقمية. تتوفّر خيارات قانونية وينبغي استكشافها بسرعة [11][8].

ضع توقعاتك في مستوى واقعي: فالغالبية العظمى من الضحايا لا يستردّون شيئاً يُذكر. الاستجابة السريعة والمنهجية تمنحك أفضل فرصة متاحة [11].

هل تعرضت محفظتك للاستهداف؟

تقدم شركة Recoveris خدمات التحقيق على السلسلة واسترداد الأصول الرقمية لضحايا تسميم العناوين وعمليات الاحتيال المرتبطة بالعملات المشفرة.

طلب تقييم الحالة

كم خسرت؟ اكتشف ذلك مع أداة التقييم

استخدم أداة التقييم الذاتي لفهم خيارات الاسترداد المتاحة لك.

ابدأ التقييم المجاني

المراجع

  1. 1.Address Poisoning Scam — Chainalysis, 2024. رابط
  2. 2.2025 Crypto Crime Report — Chainalysis, 2025. رابط
  3. 3.2025 Crypto Crime Mid-Year Update — Chainalysis, 2025. رابط
  4. 4.Understanding Address Poisoning on the TRON Blockchain — TRM Labs, 2024. رابط
  5. 5.2025 Crypto Crime Report — TRM Labs, 2025. رابط
  6. 6.USENIX Security 25: Address Poisoning Research (Tsuchiya & Christin, CMU) — USENIX Security Symposium, 2025. رابط
  7. 7.CyLab Crypto Phishing Research — CMU CyLab, 2026. رابط
  8. 8.2025 Internet Crime Report — FBI IC3, 2025. رابط
  9. 9.Cryptocurrency and AI Scams Bilk Americans of Billions — FBI, 2025. رابط
  10. 10.Crypto Trader Loses $50 Million in Address Poisoning Attack — The Block, 2024. رابط
  11. 11.Victim of $71 Million Address Poisoning Attack Recovers Funds — The Block, 2024. رابط
  12. 12.Introducing Address Poisoning Protection on Trust Wallet — Trust Wallet, 2024. رابط
  13. 13.What Are Address Poisoning Attacks and How to Avoid Them — Trezor, 2024. رابط

الأسئلة الشائعة

كيف أعرف إذا كانت محفظتي قد تعرضت بالفعل لتسميم العناوين؟

ابحث عن معاملات صغيرة في سجلك - مبالغ بقيمة صفر دولار، أو أجزاء من سنت، أو مبالغ ضئيلة - من عناوين غير مألوفة. إن كان أي منها يشابه إلى حد كبير عنواناً تُرسل إليه بانتظام، فمحفظتك تعرضت للاستهداف. الصق كل عنوان مشبوه في Etherscan وتحقّق من وجود علامات خطر. وجود محاولة تسميم لا يعني بالضرورة خسارتك أموالاً.

هل يمكن أن يعمل تسميم العناوين على بيتكوين؟

نعم. يمكن أيضاً استهداف عناوين بيتكوين بتقنية توليد عناوين الغرور، وإن كان هذا الهجوم أقل شيوعاً نسبياً. هيكل رسوم بيتكوين يجعل معاملات البريد المزعجم أكثر تكلفة. مستخدمو بيتكوين ليسوا في منأى من الخطر، خصوصاً أولئك الذين يُجرون معاملات كبيرة بانتظام.

هل تحميني المحفظة المادية بالكامل من تسميم العناوين؟

توفّر المحفظة المادية طبقة حماية بالغة الأهمية بعرض عنوان الوجهة كاملاً على شاشة الجهاز مستقلاً. ولكن هذا يعمل فقط إن قارنت فعلياً العنوان الظاهر على شاشة المحفظة المادية بالوجهة المقصودة فعلاً قبل التأكيد. إن ضغطت زر التأكيد دون التحقّق، فلا تتمتع بأي حماية إضافية من المحفظة المادية.

هل هناك طريقة لاسترداد الأموال المفقودة بسبب تسميم العناوين؟

الاسترداد ممكن لكنه نادر. تضيق فرص الاسترداد بسرعة إن مرّت الأموال المسروقة بعمليات خلط أو جسر خلال الساعة الأولى. أكثر المسارات واقعية: (1) استقرار الأموال في بورصة مركزية وتجميدها، (2) تدخل جهات إنفاذ القانون بناءً على بلاغات IC3، (3) تحديد شركات تحليل سلسلة الكتل هوية المهاجم. تصرّف بسرعة في حالة الخسائر التي تتجاوز 50،000 دولار.

هل مستخدمو DEX أكثر عرضة للخطر من مستخدمي البورصات المركزية؟

يميل مستخدمو DeFi والبورصات اللامركزية إلى إجراء معاملات أكثر تواتراً والتفاعل مع مجموعة واسعة من العناوين، مما يرفع درجة التعرّض. الثغرة الجوهرية واحدة: إن نسخت عنواناً من سجل المعاملات دون التحقّق منه، فأنت معرّض للخطر سواء كنت تستخدم DEX أم بورصة مركزية.

موارد ذات صلة

الأمان

الدليل الشامل لأمان محفظة العملات المشفرة: الأجهزة والبرامج وأفضل الممارسات

الأمان

هجمات التصيد الاحتيالي على العملات المشفرة: كيف تتعرف عليها وتتجنبها

دليل الاسترداد

ماذا تفعل إذا سُرقت عملاتك المشفرة: دليل استجابة خطوة بخطوة