Security ·

5 عمليات احتيال على العبارات الاسترجاعية وكيف تحمي نفسك

سرقة العبارات الاسترجاعية هي أكثر وسائل الهجوم فعالية في عالم العملات الرقمية. على عكس استغلال ثغرات العقود الذكية أو تنفيذ هجمات 51%، فإن سرقة عبارة استرجاعية بسيطة وقابلة للتوسع وتمنح المهاجم سيطرة كاملة لا رجعة فيها على أموال الضحية. عمليات الاحتيال الخمس الموصوفة هنا تمثل الغالبية العظمى من حوادث سرقة العبارات الاسترجاعية. فهم كل واحدة منها ومعرفة كيفية الدفاع ضدها ليس معرفة اختيارية لأي شخص يملك عملات رقمية.

كل واحدة من هذه الاحتيالات تستغل فجوة بين ما يعتقد المستخدمون أنه يحدث وما يحدث فعلاً. الدفاع في كل حالة هو التحقق: معرفة كيفية التأكد من أن الأدوات والمواقع والأشخاص الذين تتعامل معهم هم فعلاً ما يدّعون.

الاحتيال 1: مولّدات العبارات الاسترجاعية المزيفة

مولّدات العبارات الاسترجاعية المزيفة هي مواقع أو تطبيقات مصممة لتبدو كأدوات BIP39 مشروعة بينما تسجل سراً كل عبارة استرجاعية تنتجها. إما أن يبرمج المهاجم مجموعة من العبارات الاسترجاعية (فيحصل كل مستخدم على عبارة يعرفها المهاجم مسبقاً) أو ينقل العبارة المولّدة إلى خادم بعيد.

كيف يعمل

يُنشئ المهاجم موقعاً ذا مظهر احترافي يبدو أنه يولّد عبارات استرجاعية عشوائية. في أبسط نسخة، يختار الموقع من قائمة عبارات محسوبة مسبقاً يتحكم بها المهاجم. في النسخ الأكثر تعقيداً، تولّد الأداة عبارة تبدو حقيقية باستخدام Web Crypto API لكنها تُرسل في الوقت نفسه الإنتروبيا أو العبارة النهائية إلى خادم المهاجم عبر طلب شبكة مخفي.

يرى الضحية عبارة من 12 أو 24 كلمة تبدو صالحة، وينشئ محفظة، ويودع أموالاً. يراقب المهاجم العناوين المقابلة ويسحب الأموال، أحياناً فوراً وأحياناً ينتظر حتى يصل الرصيد إلى حد يستحق الجهد.

كيف تحمي نفسك

  • تحقق من أن الأداة تعمل من جانب العميل. حمّل الصفحة، اقطع الإنترنت، وولّد عبارة. إذا فشلت الأداة بدون اتصال، فهي تتطلب تواصلاً مع الخادم ولا ينبغي الوثوق بها. راجع هل استخدام مولّد عبارات استرجاعية عبر الإنترنت آمن؟ لخطوات التحقق المفصلة.
  • افحص حركة الشبكة. افتح علامة تبويب الشبكة في أدوات المطور بالمتصفح قبل التوليد. يجب ألا يُرسَل أي طلب أثناء التوليد.
  • استخدم أدوات مفتوحة المصدر. استخدم فقط المولّدات التي يمكن تدقيق شفرتها المصدرية علنياً. مولّد العبارة الاسترجاعية لـ Bitcoin ومولّد العبارة الاسترجاعية لـ Ethereum من SafeSeed مفتوحا المصدر بالكامل ويعملان من جانب العميل.
  • تحقق متبادل من النتائج. ولّد عبارة وتحقق ما إذا كانت تنتج نفس العنوان في أداتين مستقلتين أو أكثر. إذا كان المولّد ينتج دائماً نفس العبارة بغض النظر عن متى أو أين تستخدمه، فهو يستخدم قائمة ثابتة.

الاحتيال 2: مواقع التصيد التي تحاكي المحافظ الحقيقية

تنسخ مواقع التصيد واجهة المحافظ الشائعة مثل MetaMask أو Phantom أو واجهات محافظ الأجهزة عبر الويب لخداع المستخدمين لإدخال عباراتهم الاسترجاعية الموجودة. هدف المهاجم ليس توليد عبارة جديدة بل التقاط واحدة لديك بالفعل.

كيف يعمل

يسجل المهاجم نطاقاً يشبه موقع محفظة مشروع: metamask-wallet.io بدلاً من metamask.io، أو ledger-support.com بدلاً من ledger.com. ينسخون التصميم المرئي للموقع الحقيقي ويعرضون نافذة تطلب من المستخدمين "استعادة" أو "التحقق" من محفظتهم بإدخال عبارتهم الاسترجاعية.

تُوزع مواقع التصيد هذه عبر:

  • إعلانات Google ووسائل التواصل الاجتماعي التي تظهر لاستعلامات البحث المتعلقة بالمحافظ
  • قنوات دعم مزيفة على Telegram وDiscord وX (Twitter)
  • رسائل بريد إلكتروني تدّعي أن محفظتك تحتاج "تحقق" أو "تحديثات أمنية"
  • صفحات محسّنة لمحركات البحث تتصدر نتائج استعلامات مثل "استعادة محفظة MetaMask"

بمجرد إدخال الضحية لعبارته الاسترجاعية على صفحة التصيد، تُنقل إلى خادم المهاجم. يستورد المهاجم العبارة في محفظته الخاصة ويسحب كل الأموال، عادة في غضون دقائق.

كيف تحمي نفسك

  • لا تدخل عبارتك الاسترجاعية أبداً في أي موقع. لن يطلب منك برنامج محفظة مشروع أبداً إدخال عبارتك الاسترجاعية في متصفح. استعادة المحفظة تتم داخل تطبيق المحفظة نفسه، وليس على موقع.
  • احفظ المواقع الرسمية في المفضلة. الوصول إلى واجهات المحافظ فقط عبر إشارات مرجعية حددتها بنفسك، وليس عبر نتائج البحث أو روابط في الرسائل.
  • تحقق من عنوان URL حرفاً بحرف. تستخدم نطاقات التصيد استبدال الأحرف (الحرف الصغير l مقابل 1، rn مقابل m) وكلمات إضافية للخداع.
  • استخدم محفظة أجهزة للاسترداد. إذا احتجت لاستعادة محفظة، افعل ذلك على جهاز الأجهزة نفسه أو في التطبيق الرسمي المُنزّل من الموقع الموثق للشركة المصنعة.

الاحتيال 3: بطاقات المحافظ المولّدة مسبقاً

يستهدف هذا الاحتيال الوافدين الجدد إلى العملات الرقمية الذين لا يفهمون بعد كيفية عمل المفاتيح الخاصة. يبيع أو يوزع المهاجم بطاقات مادية، غالباً مطبوعة ومعبأة بشكل جميل، تحتوي على عبارة استرجاعية أو مفتاح خاص مولّد مسبقاً. تبدو البطاقة كـ محفظة ورقية مشروعة، مكتملة برمز QR وعنوان عام.

كيف يعمل

يولّد المهاجم آلاف العبارات الاسترجاعية، ويسجلها جميعاً، ويطبعها على بطاقات ذات مظهر احترافي. تُباع في الأسواق، أو تُوزع في مؤتمرات العملات الرقمية، أو تُضمن كـ "هدايا" في الطلبات عبر الإنترنت. تُوجّه البطاقة المستلم لإيداع العملات الرقمية إلى العنوان المطبوع.

الضحية، معتقداً أن لديه محفظة ورقية آمنة، يرسل أموالاً إلى العنوان. المهاجم، الذي يملك نسخة من نفس العبارة الاسترجاعية، يسحب الأموال متى أراد.

نسخة أخرى من هذا الاحتيال تتضمن محافظ "محمّلة مسبقاً" تُباع في الأسواق الثانوية. يدّعي البائع أن المحفظة تحتوي على مبلغ معين من العملات الرقمية ويبيعها بسعر مخفض. يتلقى المشتري محفظة أجهزة أو ورقية، لكن البائع يحتفظ بنسخة من العبارة الاسترجاعية ويسحب الأموال بعد البيع.

كيف تحمي نفسك

  • ولّد مفاتيحك بنفسك دائماً. لا تستخدم أبداً عبارة استرجاعية أو مفتاحاً خاصاً أنشأه شخص آخر. المفتاح الآمن الوحيد هو المفتاح الذي ولّدته بنفسك على جهاز تتحكم فيه.
  • افهم أن المفاتيح أسرار. إذا رأى أي شخص آخر عبارتك الاسترجاعية، يجب أن تفترض أن لديه نسخة. لا توجد طريقة للتحقق من أن شخصاً حذف عبارة عرفها سابقاً.
  • ولّد دون اتصال. استخدم أدوات SafeSeed من جانب العميل أو مولّداً موثوقاً آخر على جهاز معزول لإنشاء مفاتيحك من الصفر.

الاحتيال 4: برمجيات الحافظة الخبيثة

برمجيات الحافظة الخبيثة، المعروفة أيضاً بـ "clipper"، هي نوع من البرمجيات الخبيثة التي تراقب حافظتك بحثاً عن بيانات متعلقة بالعملات الرقمية وتستبدلها سراً ببيانات المهاجم.

كيف يعمل

أكثر الأشكال شيوعاً يراقب عناوين Bitcoin أو Ethereum على الحافظة. عندما تنسخ عنواناً لإرسال دفعة، تستبدله البرمجية بعنوان المهاجم. إذا لصقت دون تحقق، تذهب أموالك مباشرة إلى المهاجم.

شكل أخطر يستهدف العبارات الاسترجاعية. إذا نسخت عبارتك الاسترجاعية (مثلاً عند نقلها بين التطبيقات أثناء إعداد المحفظة)، يلتقطها البرنامج وينقلها إلى المهاجم. بعض الأشكال تستبدل العبارة الاسترجاعية على الحافظة بعبارة مختلفة يتحكم بها المهاجم، مما يجعلك تنسخ احتياطياً عبارة مخترقة.

تُوزع برمجيات الحافظة الخبيثة عبر:

  • البرامج المقرصنة والتطبيقات المكسورة
  • تطبيقات محافظ مزيفة على متاجر تطبيقات غير رسمية
  • إضافات متصفح تطلب أذونات الحافظة
  • نسخ مُصابة من أدوات عملات رقمية مشروعة

كيف تحمي نفسك

  • لا تنسخ عبارتك الاسترجاعية أبداً إلى الحافظة. اكتبها بخط اليد. إذا اضطررت لنقلها رقمياً، استخدم طريقة لا تتضمن حافظة النظام.
  • تحقق دائماً من العناوين الملصقة. قبل تأكيد أي معاملة، قارن الأحرف الأولى والأخيرة من العنوان الملصق مع العنوان المقصود. استخدم مُحقق عناوين للتأكد من صحة التنسيق.
  • استخدم برامج موثوقة فقط. نزّل تطبيقات المحافظ والأدوات فقط من مصادر رسمية. تجنب البرامج المقرصنة تماماً، خاصة على الأجهزة المستخدمة للعملات الرقمية.
  • شغّل برنامج مكافحة فيروسات محدّث. رغم أنه ليس مضموناً، فإن برامج مكافحة الفيروسات الحديثة تكتشف العديد من برمجيات الحافظة المعروفة.
  • تحقق من محتويات الحافظة. بعد نسخ عنوان، الصقه في محرر نصوص عادي للتأكد من مطابقته قبل استخدامه في معاملة.

الاحتيال 5: هجمات الهندسة الاجتماعية

الهندسة الاجتماعية هي أقدم أشكال السرقة، مُكيّفة لعصر العملات الرقمية. يتلاعب المهاجم بك لتكشف طوعاً عن عبارتك الاسترجاعية أو تنفذ إجراءً يعرّض مفاتيحك للخطر.

كيف يعمل

تأخذ الهندسة الاجتماعية في مجال العملات الرقمية أشكالاً عديدة:

الدعم التقني المزيف. يتظاهر المهاجم بأنه موظف دعم لمزود محفظة أو بورصة أو مشروع بلوكتشين. يتواصلون عبر Telegram أو Discord أو X رداً على شكوى عامة للمستخدم. يدّعون أنهم بحاجة لعبارتك الاسترجاعية لـ "تشخيص" المشكلة أو "التحقق" من هويتك. لن يطلب أي فريق دعم مشروع عبارتك الاسترجاعية أبداً.

طُعم "الأموال المحتجزة". ينشر المهاجم عبارة استرجاعية علنياً (على وسائل التواصل الاجتماعي أو المنتديات أو مجموعات الدردشة) مدّعياً أنه "شاركها بالخطأ". المحفظة المرتبطة تحتوي على أموال مرئية. عندما يستورد شخص ما العبارة للمطالبة بالأموال، يكتشف أن الرموز على شبكة تتطلب رسوم gas. عندما يودع رموز gas، يسحب بوت المهاجم الرموز المودعة فوراً.

مرشد الاستثمار. يبني المحتال علاقة (غالباً على مدى أسابيع) عبر وسائل التواصل الاجتماعي أو تطبيقات المواعدة، ثم يوجّه الضحية في النهاية نحو "فرصة استثمارية خاصة" تتطلب مشاركة الوصول إلى المحفظة أو استخدام أداة محددة (خبيثة).

المطالبة بالتوزيع المجاني. رسائل تعرض توزيع رموز مجانية تتطلب "ربط محفظتك" بتطبيق لامركزي خبيث، يطلب بعد ذلك إذناً لنقل أموالك أو يطلب إدخال عبارتك الاسترجاعية.

كيف تحمي نفسك

  • تعامل مع عبارتك الاسترجاعية كرمز إطلاق نووي. لا تحتاج أي خدمة أو فريق دعم أو صديق أو فرد من العائلة إلى عبارتك الاسترجاعية مشروعاً. أبداً. لأي سبب.
  • كن متشككاً في المساعدة غير المطلوبة. إذا تواصل معك شخص يعرض مساعدة في العملات الرقمية، خاصة على وسائل التواصل الاجتماعي أو منصات المراسلة، افترض أنه احتيال حتى يثبت العكس.
  • تحقق من الهويات عبر القنوات الرسمية. إذا احتجت دعماً من مزود محفظة أو بورصة، انتقل إلى موقعهم الرسمي واستخدم نموذج الدعم أو الدردشة المدرجة هناك.
  • افهم حيلة "الأموال المحتجزة". إذا وجدت عبارة استرجاعية مشاركة علنياً بها أموال، فهي طُعم. الرموز المرئية لا يمكن نقلها بدون إيداع رموز أخرى، والتي ستُسرق فوراً.
  • راجع أذونات العقود الذكية. إذا طلب تطبيق لامركزي موافقة غير محدودة على الرموز أو أذونات لا تتوافق مع غرضه المعلن، ارفض المعاملة.

كيف تتحقق من أي أداة تستخدمها

الدفاع ضد كل الاحتيالات أعلاه يتلاقى في مهارة واحدة: التحقق. إليك نهجاً موحداً لتقييم أي أداة عملات رقمية.

شفافية الشفرة المصدرية

إذا لم تكن الأداة مفتوحة المصدر، فلا يمكنك التحقق مما تفعله. الشفرة المفتوحة ليست ضماناً للأمان، لكن الأدوات مغلقة المصدر تتطلب ثقة غير مشروطة. أعطِ الأولوية للأدوات مفتوحة المصدر لأي عملية تتضمن مفاتيح أو عبارات استرجاعية.

العمل من جانب العميل

لأدوات توليد المفاتيح، تحقق من العمل من جانب العميل بقطع الإنترنت بعد تحميل الصفحة. إذا عملت الأداة دون اتصال، فإن عملياتها التشفيرية تعمل في متصفحك عبر Web Crypto API. هذا هو المعيار المستخدم من SafeSeed والمولّدات الموثوقة الأخرى. اقرأ ما هي الإنتروبيا في العملات الرقمية؟ لفهم أهمية مصدر الإنتروبيا.

سلوك الشبكة

استخدم أدوات المطور في متصفحك لمراقبة جميع طلبات الشبكة. أثناء العمليات الحساسة (توليد المفاتيح، عرض العبارة الاسترجاعية، توقيع المعاملات)، يجب ألا يكون هناك أي طلبات صادرة. أي طلب، حتى لخدمة تحليلات، هو متجه محتمل لتسريب البيانات.

التحقق من النطاق والشهادة

قبل إدخال أي معلومات على موقع، تحقق من اسم النطاق بالضبط وتأكد من نشاط HTTPS. استخدم الإشارات المرجعية لأدوات العملات الرقمية المستخدمة بشكل متكرر. قارن النطاق مع حسابات التواصل الاجتماعي الرسمية للمشروع أو مستودع GitHub.

سمعة المجتمع

تحقق ما إذا كانت الأداة قد راجعها باحثون أمنيون مستقلون. ابحث عن تقارير التدقيق والنقاشات في منتديات العملات الرقمية الموثوقة والإشارات في المنشورات المتخصصة بالأمان. أداة بلا مراجعة خارجية ولا حضور مجتمعي تحمل مخاطر أعلى.

التحقق المتبادل من النتائج

عند استخدام مولّد عبارات استرجاعية، تحقق من المخرجات باشتقاق نفس العنوان باستخدام أداة مختلفة وموثوقة. يمكن لـ مولّد عناوين Bitcoin أو مولّد عناوين Ethereum على SafeSeed أن يكونا نقطة مرجعية. إذا أنتجت أداتان مستقلتان نفس العنوان من نفس العبارة الاسترجاعية، فمن المرجح أن كلتيهما تطبقان المعيار بشكل صحيح.

أعظم قوة في منظومة العملات الرقمية، الحفظ الذاتي، هي أيضاً أكبر نقطة ضعفها. لا يوجد قسم احتيال للاتصال به، ولا استرداد مدفوعات، ولا عملية استرداد بمجرد سرقة الأموال. فهم هذه الاحتيالات الخمس وبناء عادات التحقق هو أثمن استثمار يمكنك تقديمه في أمان عملاتك الرقمية. لمزيد من القراءة حول مفاهيم أمان المفاتيح الأساسية، راجع أفضل ممارسات أمان المفتاح الخاص والعبارة الاسترجاعية مقابل المفتاح الخاص.