ماذا تفعل إذا وقعت ضحية لعملية سرقة محفظة أو التصيد الاحتيالي للموافقة: الدليل الشامل للاسترداد
لقد ربطت محفظتك بما بدا موقعاً شرعياً، ووقّعت معاملةً، وفي غضون ثوانٍ اختفت رموزك المميزة (tokens). تُعدّ هجمات أدوات سرقة المحافظ (wallet drainer) والتصيد الاحتيالي للموافقة (approval phishing) من أشد عمليات الاحتيال في مجال العملات المشفرة تطوراً من الناحية التقنية. في عام 2024، سرقت هذه الهجمات ما يقارب 494 مليون دولار من أكثر من 332,000 محفظة. وحتى مع تحسّن وسائل الحماية وانخفاض الخسائر في عام 2025 انخفاضاً ملحوظاً، لا يزال ما يزيد على 83 مليون دولار قد سُرق من أكثر من 106,000 ضحية. يشرح هذا الدليل بالتفصيل ما الذي جرى، وما الذي ينبغي فعله الآن، وكيف يبدو الاسترداد الواقعي. سواء كنت قد وقعت ضحية منذ دقائق أو أسابيع، فهذا الدليل يُرشدك خطوةً بخطوة نحو أفضل مسار للعمل.
١. الاستجابة السريعة: الخطوة الأولى الأكثر أهمية
⚠️ إذا جرى سرقة محفظتك للتو
افتح فوراً أداة فحص موافقات الرموز المميزة كـ revoke.cash أو Etherscan Approvals، وصل بمحفظتك المتضررة، وأَلغِ كل موافقة (approve) لعناوين مجهولة. هذا لن يسترد الأموال المسروقة فعلاً، لكنه يوقف أداة السرقة النشطة (wallet drainer) من استنزاف الرموز المتبقية. افعل ذلك خلال دقائق.
بعد إلغاء الموافقات، توقَّف عن استخدام المحفظة المخترقة لأي غرض سوى التوثيق. لا توقِّع أي معاملات جديدة حتى تفهم ما حدث بالضبط.
تذكَّر أن إلغاء الموافقات لا يوقف أدوات السرقة التي تعمل على أساس التوقيعات (permit signatures) خارج السلسلة — هذه لا تظهر في قائمة الموافقات القياسية. إذا وقَّعت توقيع Permit أو Permit2، فإن الإلغاء لا ينطبق بالطريقة ذاتها؛ التركيز هنا ينصبُّ على تأمين الأصول المتبقية في محفظة جديدة فوراً.
٢. كيف يبدو هذا الاحتيال
تستغل هجمات أداة سرقة المحفظة (wallet drainer) وظيفة approve المدمجة في إيثيريوم والبلوكتشين المتوافقة معها. تشمل نقاط الدخول الشائعة: مواقع سك NFT المزيفة ونسخ DeFi المقلَّدة، وتوقيعات Permit وPermit2 (التي مثّلت 38% من الخسائر في حوادث 2025 التي تجاوزت مليون دولار)، فضلاً عن حسابات Discord وTwitter المخترقة، وصفحات المطالبة بالإنزال الجوي (airdrop)، وتفويضات EIP-7702 الخبيثة (ما بعد أغسطس 2025).
في جميع الأشكال، تُوقِّع الضحية على إذنٍ. وثّقت Chainalysis سرقة 374 مليون دولار في عام 2023، و494 مليون دولار من 332,000 محفظة في 2024. وسجّل Scam Sniffer في 2025 خسائر بلغت 83.85 مليون دولار من 106,106 ضحية.
تعمل هذه الأدوات بصورة آلية: بمجرد توقيعك، ينفِّذ عقد ذكي (smart contract) خبيث عمليات النقل في ثوانٍ، قبل أن يتسنَّى لك إدراك ما حدث. وغالباً ما تُرسَل الأموال المسروقة فوراً عبر سلسلة من المحافظ الوسيطة لطمس مسارها قبل إيداعها في بورصة لتحويلها إلى عملات ورقية.
٣. لماذا يقع الناس في الفخ
لا تنجح هذه الهجمات لأن الضحايا مهملون، بل لأنها مصمَّمة لتجاوز الدفاعات الاعتيادية. تتضافر أربعة عوامل في آنٍ واحد: تبدو نافذة الموافقة (approve) مطابقة لتفاعلات DeFi المشروعة؛ والإلحاح المُصطنع عبر عدادات العدّ التنازلي وادعاءات الندرة؛ والحسابات الموثوقة المخترقة (حسابات Discord وTwitter المؤشَّر عليها بعلامة التحقق)؛ وتوقيعات Permit (permit) التي تبدو وكأنها مجرد تسجيل دخول — بلا رسوم غاز، ومطابقة تماماً لعمليات تسجيل الدخول الاعتيادية. ويوثِّق تقرير Europol IOCTA 2025 كيف تستخدم البنية التحتية للتصيد الاحتيالي نطاقات مرئية احترافية مطابقة للنطاقات الأصلية.
من المهم إدراك أن هذه الهجمات لا تستهدف المستخدمين الجدد فحسب؛ فقد وقع فيها مستثمرون متمرِّسون ومطوِّرون خبراء. يعتمد المحتالون على توقيت الهجوم بدقة، إذ ينشطون خلال إطلاق NFT الجديدة أو الاهتمام المتصاعد بمشاريع DeFi، حين يكون المستخدمون أكثر استعداداً للتوقيع على معاملات بسرعة. الدرس الوقائي للمستقبل بسيط: تحقَّق دائماً من عنوان الموقع قبل التوقيع، وراجع تفاصيل أي طلب موافقة بعناية، واستخدم أدوات محاكاة المعاملات حيث أمكن.
٤. أول ٢٤ ساعة: ما يجب فعله فوراً
السرعة عامل حاسم. اتَّبع هذه الخطوات بالترتيب:
- ألغِ جميع موافقات الرموز فوراً. انتقل إلى revoke.cash أو Etherscan. تستلزم العملية رسم غاز بسيط. لن يسترد ذلك الأموال المسروقة لكنه يوقف عمليات السرقة المستمرة.
- احتفظ بجميع الأدلة. خذ لقطة شاشة لعنوان موقع الاحتيال، ومعاملات المحفظة، والمراسلات. سجِّل التواقيت بدقة. لا تمسح سجل تصفح المتصفح.
- انسخ عنوان محفظة المهاجم وتجزئة المعاملات من مستكشف الكتل (block explorer).
- توقَّف عن استخدام المحفظة المخترقة. عاملها باعتبارها مخترقة بصفة دائمة. انقل الأصول المتبقية إلى محفظة جديدة مُنشأة حديثاً.
- قدِّم بلاغ جريمة إلكترونية لدى الجهات المحلية. احتفظ برقم مرجعية بلاغك.
- أخطِر البورصات ذات الصلة. إذا أظهر مسار السلسلة وجود أموال في بورصة مركزية، أبلغ فريق الامتثال فوراً.
- تواصل مع محقق بلوكتشين محترف للمبالغ الكبيرة. التدخُّل المبكِّر — خلال 24-48 ساعة — يحافظ على خيارات التتبُّع.
⏱ لا تنتظر
لا تنتظر لترى إن كان المهاجم سيُعيد الأموال. مشغِلو أدوات السرقة لا يُعيدون الأموال أبداً. كل ساعة تأخير تُقلِّص فرصة نجاح عملية تجميد البورصة.
من الناحية العملية، تُقاس نافذة التجميد الفعّالة بساعات لا بأيام. البورصات المركزية الكبرى لديها فرق امتثال تستجيب لطلبات الطوارئ الموثَّقة، لكن ذلك يتطلَّب توثيقاً واضحاً: عنوان محفظة المهاجم، وتجزئة المعاملة، وتوقيت الحادثة، وإثبات الملكية. كلما كانت وثائقك أكثر تنظيماً وشمولاً، زادت احتمالية استجابة فريق الامتثال بصورة إيجابية.
٥. ما يجب تجنبه
ثمة ردود فعل غريزية تزيد الأمور سوءاً:
- لا تُرسل ETH لإنقاذ الرموز المتبقية.
- لا تَنشُر عنوان محفظتك علناً.
- لا تُشارك أي شخص اتصل بك أولاً.
- لا تدفع أي رسوم استرداد مسبقة.
- لا تتفاعل مع رموز أُرسلت إلى محفظتك بعد عملية السرقة.
- لا تَفترض أنه لا يمكن فعل شيء — كل تحرك للأموال المسروقة مُسجَّل بصورة دائمة.
خطأ شائع آخر هو تأخير الإبلاغ بحجة أن المبلغ صغير أو أن الاسترداد مستحيل. في الواقع، الإبلاغ المبكِّر يخدم هدفَين: أولاً، يُنشئ سجلاً رسمياً يمكن الاحتجاج به لاحقاً إذا تصاعدت الأمور؛ وثانياً، تستخدم جهات إنفاذ القانون كتلة البيانات من الشكاوى المتعددة لتحديد أنماط المهاجمين ومحافظهم وتسهيل الملاحقات القضائية الأوسع. كل بلاغ، مهما كان صغيراً، يُسهم في الصورة الإجمالية التي تعتمدها الجهات التنظيمية لتتبُّع شبكات الاحتيال.
٦. كيف يبدو الاسترداد في الواقع
معاملات البلوكتشين لا رجعة فيها. ما هو ممكن هو التتبع الجنائي مقترناً بتعاون البورصات والتنسيق مع جهات إنفاذ القانون.
التتبع الجنائي (Forensic Tracing)
جميع معاملات البلوكتشين مسجَّلة في سجل عام غير قابل للتغيير. تشير إرشادات FATF لنوفمبر 2025 إلى أن سجلات البلوكتشين توفر إمكانية تتبع فوري. يرسم المحقق المحترف خريطة مجموعة محافظ المهاجم، ويحدد عناوين إيداع البورصات، ويوثِّق سلسلة الحيازة. على عكس التحقيق في الجرائم التقليدية، تُتيح التكنولوجيا اللامركزية تتبُّع الأموال عبر الحدود الدولية دون الحاجة إلى الاعتماد على سلطة مركزية واحدة.
تعاون المنصات وتجميد الأصول (Exchange Cooperation and Asset Freezes)
عند تقديم تقرير جنائي موثَّق، تُجمِّد كثير من البورصات عمليات السحب المعلَّقة. تمتد نافذة التجميد عادةً من 24 إلى 72 ساعة. تتعاون البورصات الخاضعة للتنظيم مع طلبات التجميد لأن لوائح مكافحة غسل الأموال (AML) تُلزمها بذلك عند الاشتباه في نشاط إجرامي. البورصات غير الخاضعة للتنظيم أو منصات التبادل اللامركزي (DEX) لا تستجيب لطلبات التجميد عادةً، إذ لا جهة مركزية تملك صلاحية التدخل.
إنفاذ القانون والتقاضي المدني (Law Enforcement and Civil Litigation)
جمَّدت عملية Spincaster أموالاً في ولايات قضائية متعددة. يُظهر إقرار وزارة العدل الأمريكية بالذنب في ديسمبر 2025 في مخطط بقيمة 263 مليون دولار أن الملاحقة القضائية الدولية نشطة. بالنسبة للخسائر التي تتجاوز 50,000 دولار، يُعدّ التقاضي المدني لاسترداد الأصول خياراً قابلاً للتطبيق. تتطلَّب هذه المسارات القانونية في الغالب تقريراً جنائياً موثَّقاً كأساس، لذا يكون التحقيق الجنائي المبكِّر استثماراً تمهيدياً لأي إجراءات قانونية لاحقة.
ℹ تقييم مسار الأموال
تعتمد معدلات الاسترداد على وجهة الأموال. الأموال المُوجَّهة إلى بورصات خاضعة للتنظيم هي أكثر الحالات قابلية للمعالجة. تقييم مسار التمويل الاحترافي هو الطريقة الوحيدة الموثوقة لمعرفة ذلك.
٧. متى تستعين بمحقق محترف
لا يستوجب كل استنزاف محفظة تدخُّلاً جنائياً كاملاً:
- فوق 10,000 دولار: يُرجَّح أن التقرير الجنائي مجدٍ من حيث التكلفة.
- فوق 50,000 دولار: يُنصح بشدة بالتحقيق الاحترافي.
- أي خسارة يقود فيها المسار إلى بورصة مركزية: التدخل المبكر قد يُشغِّل عملية التجميد.
- أي خسارة مؤسسية أو تجارية: قد تُلزم الالتزامات التنظيمية بتقديم تقرير رسمي.
يجري المحقق الشرعي تتبعاً على السلسلة، ويُصدر تقريراً جنائياً موثَّقاً، ويُقدِّم طلبات تجميد إلى البورصات، وينسِّق مع جهات إنفاذ القانون. يتقاضى أتعابه مقابل العمل الموثَّق.
التقرير الجنائي الجيد يتضمَّن: خريطة تدفق الأموال الكاملة من محفظة الضحية إلى وجهتها النهائية، وتحليلاً لمجموعة محافظ المهاجم لتحديد الأنماط والروابط، وتحديد عناوين الإيداع في البورصات مع الطوابع الزمنية، وسلسلة حيازة موثَّقة صالحة للاستخدام في الإجراءات القانونية. هذه الوثائق ضرورية سواء لطلبات التجميد الطارئة أو للملاحقة القضائية المدنية لاحقاً. احرص على الاستفسار عن منهجية الشركة وخبرتها مع حالات مماثلة وسجلها في التعامل مع البورصات الكبرى قبل التعاقد معها.
٨. علامات التحذير من عمليات الاسترداد الاحتيالية
الاحتيال المضاعف على الضحايا (second-victimisation) شائع جداً في مجال العملات المشفرة. يستهدف المحتالون الضحايا السابقين لأنهم يعلمون أن هؤلاء الأشخاص يبحثون بيأس عن حلول. علامات التحذير التي يجب الانتباه إليها:
- اتصلوا بك أولاً.
- يضمنون الاسترداد.
- يطلبون رسوماً مسبقة.
- طلبوا عبارة الاسترداد الأولية (seed phrase) أو مفاتيحك الخاصة (private keys).
- يدّعون علاقات خاصة مع البورصات أو الحكومة.
- موقعهم الإلكتروني مسجَّل حديثاً دون بيانات اعتماد قابلة للتحقق.
⚠ إذا اشتبهت بخدمة استرداد احتيالية
أبلغ عنها لنفس الجهة التي قدَّمت إليها بلاغ عملية الاحتيال الأصلية. يُحقِّق مكتب التحقيقات الفيدرالي (FBI) وEuropol بنشاط في الاحتيال في مجال الاسترداد.
تستغل عمليات الاحتيال في الاسترداد الضعفَ العاطفي للضحايا. المُحتالون يعلمون أنك خسرت أموالاً ويائس للاسترداد. يتواصلون في الغالب عبر منصات التواصل الاجتماعي أو البريد الإلكتروني أو تيليغرام أو واتساب. قاعدة بسيطة: الشركة الشرعية لا تبحث عن ضحايا — الضحايا هم من يبحثون عن شركات شرعية. قبل الانخراط مع أي خدمة، ابحث عن اسمها في مجتمعات التشفير المعروفة وتحقَّق من مراجعات مستقلة موثَّقة.
هل خسرت أموالاً في هجوم سرقة محفظة أو تصيد احتيالي للموافقة؟
تجري Recoveris تحقيقات جنائية على السلسلة لتتبع الأصول المشفرة المسروقة، ورسم خرائط محافظ المهاجمين، والتنسيق مع البورصات وجهات إنفاذ القانون للاسترداد المحتمل.
طلب استشارة أولية مجانيةغير متأكد من أنك كنت هدفاً؟
أجرِ اختبار التقييم الذاتي المجاني لتقييم وضعك وفهم الخطوات التالية.
المراجع
- 1Chainalysis. انتشار عمليات التصيد الاحتيالي للموافقة. 2023. رابط
- 2Chainalysis. تحديث منتصف عام 2024 للجرائم المشفرة. 2024. رابط
- 3مكتب التحقيقات الفيدرالي (FBI). تقرير جرائم الإنترنت 2025. 2025. رابط
- 4TRM Labs. عام قياسي لجرائم الإنترنت. 2025. رابط
- 5FATF. التحديث المستهدف 2025 بشأن الأصول الافتراضية. نوفمبر 2025. رابط
- 6Europol. تقييم تهديد الجرائم المنظمة عبر الإنترنت 2025. 2025. رابط
- 7Scam Sniffer. خسائر التصيد الاحتيالي 2025 تنخفض 83%. 2026. رابط
- 8Infosecurity Magazine. محتالون يسرقون 500 مليون دولار من محافظ العملات المشفرة. 2025. رابط
- 9وزارة العدل الأمريكية. إقرار بالذنب في مخطط احتيال بـ263 مليون دولار. ديسمبر 2025. رابط
٩. الأسئلة الشائعة
هل يمكنني استرداد العملات المشفرة المسروقة في هجوم التصيد الاحتيالي للموافقة؟
في بعض الحالات، نعم — لكن الاسترداد يعتمد على وجهة الأموال وسرعة تصرُّفك. إذا وصلت الأموال المسروقة إلى بورصة مركزية خاضعة للتنظيم قبل إبلاغك، فثمة فرصة واقعية للتجميد. أما إذا حوَّلها المهاجم عبر بروتوكولات الخصوصية أو البورصات اللامركزية فقط، فإن فرص الاسترداد المباشر تنخفض بصورة ملحوظة، وإن كان التتبُّع الجنائي لا يزال ممكناً. التحقيق الجنائي هو الخطوة الأولى التي تحدد الإمكانيات الفعلية.
هل إلغاء موافقة الرمز المميز يسترد أموالي؟
لا. إلغاء الموافقة (approve) يوقف عمليات النقل المستقبلية ولا يؤثر على عمليات النقل المكتملة مسبقاً. ومع ذلك يظل الخطوة الفورية الصحيحة لحماية الرموز المتبقية.
لقد وقّعت توقيع Permit، وليس معاملة approve — هل هناك فرق؟
النتيجة النهائية واحدة لكن الآلية مختلفة. توقيع Permit (permit) هو رسالة موقَّعة خارج السلسلة غير مرئية في سجل محفظتك حتى تُقدَّم على السلسلة. في عام 2025، مثَّلت توقيعات Permit وPermit2 نسبة 38% من الخسائر في الحوادث التي تجاوزت مليون دولار.
هل يجب الإبلاغ للشرطة إذا كان المبلغ صغيراً؟
نعم. حتى للمبالغ الصغيرة، يُسهم بلاغك في التحقيقات الإجمالية. يستخدم مكتب التحقيقات الفيدرالي IC3 وYEuropol بيانات الشكاوى لرسم خرائط مجموعات محافظ المهاجمين.
كيف أعرف إذا كانت خدمة الاسترداد شرعية؟
شركات الجنائيات البلوكتشين الشرعية لا تتواصل مع الضحايا دون طلب، ولا تضمن الاسترداد، وتتقاضى أتعابها مقابل العمل الموثَّق. تحقَّق من بيانات الاعتماد، وابحث عن اسم الشركة مقروناً بكلمات "احتيال" أو "شكوى"، واستشر جهات إنفاذ القانون قبل دفع أي مبلغ لطرف ثالث.