1.5 مليار دولار. اختفت في فترة بعد الظهر. كان هذا في Bybit في فبراير 2025. مجموعة Lazarus الكورية الشمالية لم تحاول اختراق شبكة Ethereum نفسها. بدلاً من ذلك ذهبوا إلى الأشخاص — حقنوا كود JavaScript ضار في واجهة المحفظة التي يستخدمها فريق Bybit، وسرقوا رمز جلسة AWS، تجاوزوا المصادقة متعددة العوامل، وهربوا بـ 401,347 ETH. أكدت FBI نسبة الهجوم في غضون أسابيع.
الرقم صادم لأنه أكبر من كل خسائر DeFi في 2025 مجتمعة. خطأ واحد في بورصة واحدة، و1.5 مليار دولار اختفت. عددت Chainalysis 3.4 مليار دولار في سرقات البلوكتشين خلال 2025، بزيادة 55٪ عن 2.2 مليار دولار في العام السابق. البلوكتشين ذاته كان آمناً. الأشخاص الذين يديرون الأشياء فوقه لم يكونوا كذلك.
كيف يحافظ البلوكتشين على أمان المعاملات#
البلوكتشين هو دفتر موزع — قاعدة بيانات مكررة على آلاف الحواسيب حول العالم. عندما تُرسل Bitcoin أو تتفاعل مع عقد ذكي على Ethereum، تتحقق الشبكة من تلك المعاملة قبل تسجيلها بشكل دائم. ثلاثة أشياء تجعل التلاعب بها صعباً جداً.
التجزئة التشفيرية تربط كل كتلة بالسابقة. كل كتلة تحتوي على بصمة رياضية لبيانات الكتلة السابقة. لتغيير معاملة واحدة، ستحتاج إلى إعادة حساب كل البصمات بعدها في السلسلة. على Bitcoin، مع ملايين عمال التعدين الذين يجرون حسابات SHA-256، هذا يتطلب قوة حسابية أكثر مما تملكه معظم الدول.
اللامركزية توزع الدفتر على آلاف العقد. قاعدة بيانات البنك التقليدية تعيش على خوادم في موقع واحد. اخترقها وأنت تمتلك البيانات. شبكة البلوكتشين ليس لها نقطة فشل واحدة. الدفتر موجود في كل مكان في نفس الوقت. إفسادها يعني اختراق غالبية تلك العقد في نفس الوقت، عبر دول وشبكات مختلفة وعاملين منفصلين.
آليات الإجماع تفرض على الشبكة الموافقة قبل تسجيل أي معاملة. عمال تعدين Bitcoin ينفقون الكهرباء لحل ألغاز تشفيرية لكسب حق التحقق من المعاملات. مدققو Ethereum يراهنون بـ ETH خاصهم كضمان — إذا وافقوا على معاملة احتيالية يفقدون رهانهم. كلا الأسلوبين يجعل الغش مكلفاً. الهجوم على نظام Proof of Work في Bitcoin سيكلف مليارات في الأجهزة والكهرباء. الهجوم على Proof of Stake في Ethereum يعني شراء ومخاطرة بمليارات من ETH.
هذه الطبقات الثلاث معاً هي السبب في أن لا أحد اخترق بلوكتشين Bitcoin أو Ethereum ذاتهما. لكن البنية التحتية التي بناها الناس فوقه؟ قصة مختلفة.
أنواع البلوكتشين المختلفة لها مستويات أمان مختلفة#
يقول الناس "blockchain" كما لو أنها كلمة واحدة. ليست كذلك. هناك أنواع مختلفة من البلوكتشين مع افتراضات أمان مختلفة تماماً.
| النوع | من ينضم | من يتحقق | الأمان يعتمد على | الأمثلة |
|---|---|---|---|---|
| عام | أي شخص | جميع العقد | التكلفة الاقتصادية للهجوم | Bitcoin, Ethereum |
| خاص | بدعوة فقط | عقد مختارة | التحكم في الوصول والثقة | Hyperledger Fabric |
| مرخص | أعضاء معتمدون | مدققون محددون | الحوكمة والهوية | Ripple, Corda |
| هجين | عام وخاص معاً | يختلف | مزيج من الأساليب | Dragonchain |
شبكات البلوكتشين العامة بها آلاف المدققين يراقبون بعضهم. للهجوم على Bitcoin تحتاج إلى إنفاق أكثر مما تنفقه صناعة التعدين كاملة. لم يحاول أحد. السعر هو أن كل هذا التحقق الموزع بطيء.
JPMorgan تدير بلوكتشين خاص لأنها تحتاج سيطرة على من يشارك. منطقي لبنك. لكن بلوكتشين مؤسسي به 20 مدقق هو شيء مختلف تماماً عن واحد به 20,000. اخترق حفنة من العقد وأنت تمتلك الشبكة. هذا هو الثمن الذي تدفعه عندما تختار الخصوصية على حساب اللامركزية.
البلوكتشين الهجين تحاول جني فوائد الاثنين. في الواقع، تحصل على سطح الهجوم لكليهما.
أكبر هجمات البلوكتشين وما الذي حدث بالفعل#
انظر إلى الأرقام وستلاحظ شيئاً ما. لم يكن أي من هذه الهجمات موجهاً ضد بروتوكول البلوكتشين نفسه. كانت جميعها أخطاء تشغيلية. شخص ما أعاد استخدام كلمة مرور. شخص ما ترك مفتاح خاص على خادم. شخص ما نشر عقداً ذكياً دون التحقق منه.
| الهجوم | المبلغ | السنة | السبب الجذري |
|---|---|---|---|
| Bybit | 1.5 مليار دولار | 2025 | JavaScript ضار في واجهة المحفظة، رموز AWS المختطفة |
| DMM Bitcoin | 305 مليون دولار | 2024 | اختراق المفتاح الخاص في البورصة اليابانية |
| PlayDapp | 290 مليون دولار | 2024 | ثغرة في المفتاح الخاص، منصة الألعاب |
| WazirX | 230 مليون دولار | 2024 | استغلال محفظة التوقيع المتعدد عبر واجهة الحراسة |
| Cetus DEX | 223 مليون دولار | 2025 | فشل في التحقق من overflow في كود الصرافة |
| Balancer | 128 مليون دولار | 2025 | خطأ في اتجاه التقريب |
| Orbit Chain | 80 مليون دولار | 2024 | جسر السلسلة المتقاطعة تم استنزافه |
اختراق المحافظ وسرقة المفاتيح الخاصة تسبب في 69% من القيمة المسروقة في النصف الأول من 2025. اختراق حسابات الموظفين أدى إلى 55.6% من الحوادث في 2024. لم يقم أحد بفك أي تشفير. نقر الناس على الروابط الخاطئة، أو أعادوا استخدام كلمات المرور، أو تركوا المفاتيح في أماكن لم يكن يجب تركها فيها. أخطاء بسيطة يمكن تجنبها، لكن كل واحدة تكلف مئات الملايين.
ثغرات البلوكتشين الشائعة التي يجب أن تعرفها#
منذ خمسة عشر سنة، لم يقم أحد بفك تشفير البلوكتشين الأساسي. لكن كل ما يرتبط به ينهار باستمرار.
العقود الذكية هي المشكلة الأكبر. هذه برامج تعمل تلقائياً على السلسلة، وبمجرد نشرها لا يمكنك إصلاحها. خطأ واحد يعني أن أي شخص في العالم يمكنه استغلاله. DAO تعلمت هذا في 2016 عندما كلفت ثغرة reentrancy 60 مليون دولار. بعد تسع سنوات المشكلة ما زالت موجودة. في 2024 كانت 8.5% من السرقات بسبب ثغرات العقود الذكية. عندما فحص Halborn أفضل 100 هجوم DeFi، وجد أن 34.6% منها حدث بسبب التحقق السيء من المدخلات.
| الثغرة | ما الذي يحدث | الأثر |
|---|---|---|
| هجوم 51% | كيان واحد يستحوذ على السيطرة على التحقق من الشبكة | Ethereum Classic تعرضت لعدة ضربات في 2020 |
| هجوم Sybil | عُقد مزيفة تغمر الشبكة لتعطيل الإجماع | شائع على البلوكتشين الصغير التي لديها عدد قليل من المدققين |
| Phishing | خداع المستخدمين للتوقيع على معاملات ضارة أو الكشف عن المفاتيح | 410 ملايين دولار ضاعت في النصف الأول من 2025 عبر 132 حادثة |
| استغلال القرض الفوري | الأموال المقترضة تتلاعب بأسعار الرموز في معاملة واحدة | Euler Finance — 197 مليون دولار، الأكبر |
| اختراق الجسر | ثغرات في الجسور تسمح بطباعة رموز غير مدعومة | الخسائر انخفضت من 338 مليون دولار (2023) إلى 114 مليون دولار (2024) |
| سحب السجادة | مطورون يروجون لرمز ثم يستنزفون السيولة | 1.9% من إجمالي الخسائر في 2024 |
Halborn وجدوا إحصائية غريبة: من البروتوكولات التي تعرضت للاختراق في الحوادث الكبرى، كان لدى 19% فقط محافظ بتوقيعات متعددة. و2.4% فقط استخدموا التخزين البارد. أي بنك يعمل هكذا سيُغلق من المنظمين. لكن معظم مشاريع العملات المشفرة شحنت بدون أي من هذين الشيء.
أفضل الممارسات الأمنية للبلوكتشين التي تمنع الاختراقات فعلاً#
ما الفرق بين المشاريع التي تنجو والمشاريع التي تظهر على قائمة "أكبر الاختراقات"؟ عدة أشياء عادية، لا شيء براق.
تدقيقات العقود الذكية تأتي أولاً. تدفع شركة أمان مستقلة لتفكيك الكود قبل نشره. يبحثون عن أخطاء إعادة الدخول والفيض والتحكم بالوصول التي تكلف 200 مليون دولار. نعم، الأمر يكلف المال.
| نوع المشروع | تكلفة التدقيق |
|---|---|
| رمز أساسي أو NFT | 5,000 - 15,000 دولار |
| بروتوكول الرهن أو الحوكمة | 15,000 - 40,000 دولار |
| بروتوكول DeFi كامل | 40,000 - 100,000 دولار |
| نظام متعدد السلاسل للمؤسسات | 100,000 - 200,000 دولار فما فوق |
CertiK و Hacken و OpenZeppelin و Trail of Bits يقومون بهذا العمل. ملاحظة مهمة: العقود المُدقّقة تم استغلالها أيضاً. لكن العقود غير المُدقّقة تنهار بمعدل أعلى بكثير.
محافظ التوقيع المتعدد معيار لأي شيء يحتفظ بأموال حقيقية. مفتاحان أو ثلاثة مطلوبان للتوقيع يعني أن مفتاحاً واحداً معرضاً للخطر لن يفقدك كل شيء. Bybit لديها توقيع متعدد لكن تعرضت للضربة لأن المهاجمين استهدفوا واجهة التوقيع بدلاً من المفاتيح. التوقيع المتعدد طبقة واحدة، وليس الجدار كله.
التخزين البارد أفضل دفاع للأموال التي لا تحركها الآن. إذا لم تكن المحفظة متصلة بالإنترنت، فلا يمكن اختراقها عبر الإنترنت. كل بورصة نجت من 2024 و 2025 احتفظت بغالبية أموال العملاء بدون اتصال.
المراقبة الحية تصبح مثيرة للاهتمام. لاحظ بروتوكول Venus نظام مراقبتهم استدعاءات عقود مريبة قبل 18 ساعة من الهجوم. تم إيقاف كل شيء. كل دولار محفوظ. المهاجم خسر الأموال على رسوم الغاز. Chainalysis Hexagate و Forta Network و OpenZeppelin Defender تراقب البلوكتشين 24/7 وتمسك بالأنماط التي قد يفتقدها البشر.
بعدها الأشياء الممل التي لا تزال مهمة: أجهزة الأمان للمفاتيح الخاصة، الوصول المبني على الأدوار بحيث لا يمكن لشخص واحد الموافقة على تحويل كبير، تدوير بيانات الاعتماد بانتظام، وخطة الاستجابة للحوادث مكتوبة قبل حدوث أي شيء.
DeFi يصبح أكثر أماناً، CeFi يصبح أسوأ#
تقسيم DeFi مقابل CeFi من 2024 مفاجئ حقاً.
| خسائر 2024 | عدد الحوادث | السنة على السنة | |
|---|---|---|---|
| DeFi | 769 مليون دولار | 221 | انخفاض 44.8% |
| CeFi | 726 مليون دولار | 11 | ارتفاع 77.5% |
اقرأ ذلك مرة أخرى. كان لدى CeFi 11 حادثة فقط. وفقدوا تقريباً نفس مقدار ما فقده DeFi عبر 221 حادثة. يوم واحد سيء في بورصة مركزية يسبب ضرراً أكثر من أشهر من استغلالات DeFi مجتمعة.
DeFi يحصل على تصرفاته معاً. خسائر الجسور انخفضت. أكثر المشاريع تتدقيق قبل الإطلاق. برامج مكافآت الأخطاء في Immunefi تدفع للقراصنة ذوي القبعات البيضاء لإيجاد المشاكل أولاً، وهذا يعمل.
CeFi يستمر في أن يصبح أسوأ. البورصات تحتفظ بملايين دولارات من عملات العملاء خلف عدد صغير من حسابات الموظفين. رسالة تصيد واحدة يقع فيها مطور واحد، وفجأة تقرأ عن خسارة أخرى بالملايين. اضطرت Bybit استبدال 1.5 مليار دولار من احتياطيات العملاء في ثلاثة أيام بعد خرقها في فبراير 2025. تمكنوا، بصعوبة. لن يتمكن الجميع.
سوق أمان البلوكتشين ينمو بسرعة#
قدّرت Fortune Business Insights سوق أمان البلوكتشين بـ 5 مليارات دولار في 2025 وتتوقع 8.4 مليارات بحلول 2026. Coherent Market Insights ترى أنه سيصل إلى 128 مليار دولار بحلول 2032، بنمو معدل سنوي مركب 57%.
هناك سببان لذلك. أولاً، يتزايد حجم الأموال في البلوكتشين كل عام، وبالتالي تزداد الخسائر المحتملة. ثانياً، المنظمون لم يعودوا متساهلين. قانون MiCA في الاتحاد الأوروبي يفرض معايير أمان محددة على شركات العملات المشفرة. لجنة تداول السلع الأمريكية بدأت برنامج تجريبي يقبل الضمانات لكن فقط من الشركات التي لديها ضوابط أمان قوية. تريد رأس مال مؤسسي؟ عليك بأمان بمستوى مؤسسي. كان هذا بيعاً تسويقياً في السابق. الآن هو شرط قانوني.
التكنولوجيا تتطور أيضاً. عندما أجرت Anthropic اختباراً أمنياً، وجدت أخطاء بقيمة 4.6 مليون دولار في العقود الذكية باستخدام الذكاء الاصطناعي — أشياء كان ستستغرق المدققين البشريين أسابيع للعثور عليها. إثباتات المعرفة الصفرية تتيح للمعاملات البقاء سرية مع الحفاظ على إمكانية التحقق منها. تُستخدم البرامج متعددة الأطراف الآن لإدارة المفاتيح على البلوكتشين كبديل للتوقيعات المتعددة التقليدية.
ما يعنيه هذا بالنسبة لك#
إذا كنت تملك عملات مشفرة، فالأساسيات مهمة: محفظة أجهزة، عبارة البذرة مكتوبة على ورق وفي مكان آمن، المصادقة الثنائية عبر تطبيق (وليس رسالة نصية)، وعدم الثقة بأي رابط يقول أنه من البورصة. معظم الناس يخسرون العملات لأنهم قعوا لرسائل احتيالية أو خزنوا مفاتيحهم بطريقة سيئة، لا لأن البروتوكول نفسه كسره.
إذا كنت تطور على السلسلة، فالأمور أعقد لكن محددة: افحص الكود قبل الإطلاق، استخدم توقيعات متعددة للتحكم بأموالك، راقب عقودك باستمرار، وجهز خطة لما ستفعله عندما يحدث خطأ ما — قبل الساعة الثالثة صباح السبت. البلوكتشين نفسه سليم. خمسة عشر سنة من البيتكوين أثبتت ذلك. لكن العقود الذكية والجسور والمحافظ والعمليات الأمنية المبنية فوقه جيدة فقط بقدر من يديرونها. وحالياً، خسائر تبلغ 3.4 مليار دولار سنوياً تقول لنا أننا لا نديرها بشكل جيد.
