آیا می‌توان کریپتو را هک کرد؟ بلاکچین، کیف پول‌ها و هک‌ها

خب، آیا می‌توان ارزهای دیجیتال را هک کرد؟ تا حدودی، و البته نه خیلی. بگذارید توضیح دهم.

خود دفتر کل بلاکچین، زنجیره واقعی که شبکه بلاکچین تأیید می‌کند، هرگز هک نشده است. حتی یک بار در ۱۷ سال. هر تیتر بزرگی که در مورد هک ارزهای دیجیتال خوانده‌اید؟ جای دیگری اتفاق افتاده است. صرافی. بریج. قرارداد هوشمند. برنامه کیف پول شخصی. قسمت‌های امن و قسمت‌های خطرناک کنار هم روی صفحه نمایش شما قرار دارند و اکثر مردم تا زمانی که پول از دست ندهند، نمی‌توانند آنها را از هم تشخیص دهند.

سال ۲۰۲۵ این موضوع را برای بسیاری از افراد شخصی کرد. طبق به‌روزرسانی دسامبر Chainalysis در مورد خطرات فناوری بلاکچین، مهاجمان تنها در سال گذشته ۳.۴ میلیارد دلار از خدمات رمزنگاری را به سرقت بردند. CertiK مبلغ ۳.۳۵ میلیارد دلار را در ۶۳۰ حادثه جداگانه شمارش کرد. TRM Labs مبلغ ۲.۸۷ میلیارد دلار را گزارش کرد. سه شرکت، سه روش، پاسخ یکسان. بدترین سال ثبت شده. و تقریباً هیچ‌کدام از این سرقت‌ها به خود زنجیره‌ها آسیبی نرساند.

بگذارید برایتان توضیح دهم که سرقت واقعاً کجا اتفاق می‌افتد، ریسک واقعی شما کجاست و واقعاً چه کاری می‌توانید در مورد آن انجام دهید.

آیا می‌توان ارز دیجیتال را هک کرد؟ ابتدا یک پاسخ مستقیم

بنابراین، آیا می‌توان ارزهای دیجیتال را به معنای واقعی کلمه هک کرد؟ ارزهای دیجیتال قطعاً قابل سرقت هستند. دفتر کل بلاکچین که آن را در خود نگه می‌دارد، تقریباً هرگز.

به نظر می‌رسد یک بازی با کلمات است، اما اینطور نیست. وقتی مردم می‌گویند «بیت‌کوین هک شده است»، معمولاً منظورشان یکی از این سه چیز است: سکه‌های کسی از یک صرافی دزدیده شده، کلید خصوصی یک کیف پول به خطر افتاده، یا یک قرارداد هوشمند که روی یک زنجیره اجرا می‌شود، خالی شده است. هیچ‌کدام از این‌ها حمله به خود بیت‌کوین یا اتریوم نیستند. هیچ‌کدام از لایه‌های پایه هرگز قوانین اجماع خود را نقض نکرده‌اند و هر دو بیش از یک دهه است که با میلیاردها ارزش زنده در دسترس هر کسی که به اندازه کافی باهوش باشد، در حال اجرا هستند. برچسب «بلاکچین غیرقابل هک» فقط نیمی از حقیقت است: خود زنجیره امن و مقاوم است، سطح اطراف آن پر از اهداف است.

با این تمایز شروع کنید زیرا نحوه تفکر شما در مورد دفاع را تغییر می‌دهد. اگر زنجیره حلقه ضعیف بود، هیچ چیز شما را نجات نمی‌داد. از آنجایی که حلقه‌های ضعیف بالای زنجیره پیچ شده‌اند (نگهداری، مدیریت کلید، رفتار کاربر، کد قرارداد هوشمند)، شما در واقع در بیشتر آنها حق اظهار نظر دارید.

آشنایی با امنیت بلاکچین و نحوه عملکرد تراکنش‌ها

قبل از اینکه به بررسی عوامل خرابی بپردازیم، اجازه دهید توضیحی مختصر در مورد عوامل اصلی پایداری آن ارائه دهم. درک امنیت بلاکچین به سه مکانیسم که با هم همپوشانی دارند، خلاصه می‌شود و اکثر مردم یکی از آنها را می‌دانند و از دو مورد دیگر صرف نظر می‌کنند.

با رمزگذاری و رمزنگاری شروع کنید. هر تراکنش بلاکچین با یک کلید خصوصی امضا و با کلید عمومی منطبق تأیید می‌شود. اگر می‌خواهید کلید را بشکنید، باید یک عدد ۲۵۶ بیتی را به طور کامل جستجو کنید. اعدادی مانند این بین "طولانی‌تر از مرگ گرمایی جهان" و کاملاً غیرممکن در هر کامپیوتر کلاسیکی هستند که ما می‌شناسیم چگونه بسازیم. زنجیره‌هایی مانند بیت‌کوین امضای هر تراکنش را به این روش رمزگذاری می‌کنند. ساتوشی در سال ۲۰۰۸ ECDSA را برای رمزگذاری کلیدها انتخاب کرد و از آن زمان تاکنون پابرجا مانده است.

سپس هشینگ. هر بلوک از تراکنش‌های ارز دیجیتال از طریق الگوریتمی مانند SHA-256 تغذیه می‌شود. هر بلوک جدید، هش بلوک قبل از خود را در خود جای می‌دهد. تغییر یک تراکنش واحد که در جایی از تاریخچه پنهان شده است، باعث می‌شود هر هش بعدی از کار بیفتد. به همین دلیل است که بلاکچین‌ها تغییرناپذیر نامیده می‌شوند. نه به این دلیل که هیچ کس نمی‌خواهد آنها را ویرایش کند. زیرا شما نمی‌توانید آنها را بدون اینکه کل زنجیره فریاد بزند، ویرایش کنید.

بخش سوم، که مردم بیشترین اشتباه را در آن می‌کنند، اجماع است. هزاران گره مستقل را در شبکه بلاکچین تصور کنید که همگی قوانین یکسانی را اجرا می‌کنند و یکدیگر را بررسی می‌کنند. هیچ حساب کاربری مدیریتی وجود ندارد. هیچ دکمه مکثی وجود ندارد. هیچ دفتر مرکزی وجود ندارد که کسی بتواند به آن حمله کند. برای بازنویسی تاریخ، باید از اکثریت صادق، محاسبات یا ریسک بیشتری داشته باشید. منظور مردم از اینکه می‌گویند بلاکچین‌ها اعتماد را غیرمتمرکز می‌کنند، همین است. یک شبکه بلاکچین غیرمتمرکز هیچ طرف واحدی برای رشوه دادن، احضار یا حملات DDoS آفلاین ندارد.

اگر این سه مورد را کنار هم بگذارید، به نتیجه‌ی بسیار قابل توجهی می‌رسید: تراکنش‌های تأیید شده توسط بلاکچین اساساً دائمی هستند و تکنیک‌های رمزنگاری و مکانیسم‌های اجماع در کنار هم، نیاز به بانک مرکزی را از بین می‌برند، تنها تفاوت این است که نیازی به بانک نیست. این بخش امن است. بخشی که امن نیست، هر انسانی، هر صرافی، هر اپلیکیشن کیف پول و هر قرارداد هوشمندی است که روی آن قرار دارد.

آیا بیت کوین تا به حال هک شده است؟ لایه پایه هنوز پابرجاست

نسخه کوتاه؟ خیر.

لایه اول بیت کوین هرگز مورد حمله موفقیت‌آمیز قرار نگرفته است. حتی یک بار در ۱۷ سال. باگ؟ بله، وصله شده. فورک‌های نامرتب؟ فراوان. جنجال‌های بی‌پایان در توییتر در مورد اندازه بلاک؟ بله. اما دفتر کل اصلی هرگز بازنویسی نشده است. هر تراکنش جدید تنها پس از عبور از همان قوانینی که از اولین بلاک در ژانویه ۲۰۰۹ از بلاک چین بیت کوین محافظت کرده‌اند، به بلاک چین اضافه می‌شود.

طرح ابتکاری ارز دیجیتال دانشگاه MIT، تمام حملات ۵۱٪ شناخته‌شده به شبکه‌های اثبات کار را ثبت می‌کند. ردیف بیت‌کوین خالی است. ردیف شبکه اصلی اتریوم نیز خالی است. هک معروف DAO در سال ۲۰۱۶؟ آن یک باگ در یک قرارداد هوشمند واحد بود که روی اتریوم اجرا می‌شد، نه خود زنجیره. پیامد این اتفاق این است که چرا اتریوم و اتریوم کلاسیک امروزه به عنوان دو شبکه‌ای وجود دارند که نمی‌توانند در مورد چگونگی برخورد با آن به توافق برسند.

حالا به سراغ اقتصاد می‌رویم که تقریباً از محاسبات ریاضی قانع‌کننده‌تر است. رسانه‌های خبری کریپتو اعداد و ارقام را در سال ۲۰۲۴ بررسی کردند و هزینه حمله ۵۱٪ به بیت‌کوین را تقریباً ۶ میلیارد دلار اعلام کردند. سخت‌افزار، برق، اشتراک مکانی، کارها. بعد چه؟ به محض اینکه حمله موفقیت‌آمیز باشد، قیمت بیت‌کوین سقوط می‌کند. سکه‌های دزدیده شده شما ارزش بسیار کمی خواهند داشت. مزرعه ASIC شما تبدیل به یک بخاری می‌شود. مهاجمان عمداً گران می‌خرند و ارزان می‌فروشند. یکی از گران‌ترین راه‌ها برای از دست دادن پول که تاکنون طراحی شده است.

بنابراین اتفاقات واقعی هیچ‌وقت آن پایین رخ نمی‌دهد. همیشه یک لایه بالاتر است.

جایی که ارزهای دیجیتال واقعاً دزدیده می‌شوند

پشته ارزهای دیجیتال را به عنوان یک ساختمان تصور کنید. بلاکچین پایه و اساس آن است. بالای آن قراردادهای هوشمند، پل‌ها، صرافی‌ها، متولیان و در بالا، کاربرانی با کیف پول‌هایشان قرار دارند. تقریباً هر هکی که در مورد آن می‌خوانید در یکی از طبقات بالا اتفاق می‌افتد. بسیاری از آنها از طریق سایت‌ها، افزونه‌ها و ابزارهای شخص ثالث انجام می‌شود که بی‌سروصدا کنترل وجوه شما را در دست می‌گیرند.

چینالیسیس (Chainalysis) تجزیه و تحلیل خود در سال ۲۰۲۴ را بررسی کرد و دریافت که افشای کلید خصوصی به تنهایی ۴۳.۸٪ از کل سرقت‌ها را تشکیل می‌دهد. افشای کلید خصوصی. نه اشکالات قرارداد هوشمند. کلیدها. کیف پول‌های شخصی (نه صرافی‌ها، نه دیفای) به ۴۴٪ از ارزش سرقت شده افزایش یافتند، که نسبت به ۷.۳٪ در سال ۲۰۲۲ افزایش یافته است. سپس در سال ۲۰۲۵، TRM Labs اعلام کرد که ۷۶٪ از ضررها ناشی از چیزی است که آنها حملات زیرساختی می‌نامند. امضاکنندگان در معرض خطر. ارائه دهندگان ابر. لپ‌تاپ‌های توسعه‌دهندگان. مهندسی اجتماعی با هدف کارکنان پشتیبانی. آیا سوءاستفاده از قراردادهای هوشمند هنوز اتفاق می‌افتد؟ بله. آیا هکرها هنوز از آسیب‌پذیری‌های پروتکل‌های جدید سوءاستفاده می‌کنند؟ همیشه. اما آنها دیگر رویداد اصلی نیستند.

هکرها اغلب پول را دنبال می‌کنند و اهدافشان جابجا می‌شوند. دیفای در سال‌های ۲۰۲۱ تا ۲۰۲۳ غالب بود. سرویس‌های متمرکز و کیف پول‌های شخصی در سال‌های ۲۰۲۴ و ۲۰۲۵ جای آنها را گرفتند. این الگو اقتصادی است، به طرز خسته‌کننده‌ای. یک امضاکننده‌ی هک‌شده در یک شرکت مناسب می‌تواند پول بسیار بیشتری را نسبت به هر فرد دیگری جابجا کند. بنابراین اهداف اصلی هکرها امروزه دارندگان معمولی نیستند. آنها مهندسان، کارکنان پشتیبانی و توسعه‌دهندگانی هستند که کلید مالکیت ارز دیجیتال شخص دیگری را در دست دارند.

حملات کیف پول: کلاهبرداری با کلیدهای خصوصی و آدرس کیف پول

یک کیف پول ارز دیجیتال در واقع سکه‌ها را نگه نمی‌دارد. بلکه کلیدهای خصوصی را نگه می‌دارد که کنترل می‌کنند آن سکه‌ها کجا می‌توانند در بلاکچین جابجا شوند. کلید را گم کنید، سکه‌ها را گم می‌کنید. کلید را فاش کنید، شخص دیگری سکه‌های شما را می‌گیرد. این مدل است.

کیف پول‌ها به دو گروه کلی تقسیم می‌شوند. کیف پول‌های گرم روی دستگاهی که به اینترنت متصل است، قرار می‌گیرند. برنامه‌های تلفن، افزونه‌های مرورگر، موجودی صرافی‌ها. آن‌ها راحت و در معرض دید هستند، زیرا هرگونه بدافزار روی دستگاه یا مرورگر آلوده، مسیری است که هکرها می‌توانند برای تخلیه کیف پول به آن دسترسی پیدا کنند. کیف پول‌های سرد، از جمله کیف پول‌های سخت‌افزاری و تنظیمات ایزوله، کلیدهای شما را به صورت آفلاین ذخیره می‌کنند. در کیف پول‌های سرد، کلیدهای خصوصی در داخل تراشه‌ای ذخیره می‌شوند که هرگز به اینترنت دسترسی ندارد. کیف پول سرد هدف بسیار سخت‌تری است، به همین دلیل است که اکثر دارندگان جدی از آن‌ها برای هر چیزی که قصد معامله در این هفته را ندارند، استفاده می‌کنند.

تله آدرس کیف پول، مقوله‌ای کاملاً مستقل است. «مسموم کردن آدرس» زمانی است که یک مهاجم یک تراکنش کوچک را از یک آدرس کیف پول ارسال می‌کند که تقریباً مشابه آدرسی است که شما مرتباً به آن ارسال می‌کنید. چهار کاراکتر اول یکسان، چهار کاراکتر آخر یکسان، و وسط متفاوت. بعداً، وقتی از تاریخچه خود کپی می‌کنید، آدرس مسموم را به اشتباه جایگذاری می‌کنید. محققان کارنگی ملون دریافتند که ۲۷۰ میلیون از این تلاش‌ها در بلاکچین‌های عمومی ثبت شده است که ضررهای تأیید شده حدود ۸۳.۸ میلیون دلار را به همراه داشته است. در دسامبر ۲۰۲۵، یک معامله‌گر ۵۰ میلیون دلار USDT را در یکی از این حملات مسموم کردن آدرس از دست داد.

نکته‌ی ناراحت‌کننده اینجاست: بلاکچین دقیقاً همانطور که طراحی شده بود، رفتار کرد. تراکنش تأیید شد. هیچ نقض امنیتی، هیچ آسیب‌پذیری یا باگی وجود نداشت. کاربر فقط رشته‌ی اشتباهی را وارد کرده بود.

نقض‌های امنیتی صرافی‌ها و بزرگترین هک‌های ارزهای دیجیتال در سال‌های ۲۰۲۴-۲۰۲۵

صرافی‌ها جایی هستند که بیشتر دارایی‌های امانتی این صنعت در آنها نگهداری می‌شوند و همچنان اهداف اصلی هستند. بزرگترین هک‌های کریپتو در دو سال گذشته از یک الگوی مشخص پیروی می‌کنند: مهاجمان کلیدها را هدف قرار می‌دهند، نه کد را.

دوباره به عدد بای بیت نگاه کنید. ۱.۴ میلیارد دلار از یک نفوذ امنیتی. بیشتر از مجموع تمام کمپین‌های فیشینگ خرده‌فروشی در سال ۲۰۲۵. طبق اعلامیه خدمات عمومی IC3 اف‌بی‌آی، مهاجمان به دستگاه توسعه‌دهندگان در Safe{Wallet}، زیرساخت چندامضایی که بای بیت از آن استفاده می‌کرد، نفوذ کردند. آنها کد مخرب را جایگزین کردند. امضاکنندگان تراکنشی را دیدند که به نظر قانونی می‌رسید، روی تأیید کلیک کردند و ۴۰۱,۳۴۷ اتریوم از دست رفت.

حالا بخش آرام ماجرا اینجاست. برترین مکان‌های تحت نظارت ایالات متحده در سال‌های ۲۰۲۴ و ۲۰۲۵ به طرز عجیبی پیروز شدند. نه اینکه هیچ حادثه‌ای رخ داده باشد. فقط هیچ سرقت مالی واقعی رخ نداده است.

کوین‌بیس در ماه مه ۲۰۲۵ مورد نفوذ قرار گرفت. مهاجمان به پیمانکاران پشتیبانی در یک فروشنده به نام TaskUs رشوه دادند و با اطلاعات ۶۹۴۶۱ مشتری متواری شدند. آنها ۲۰ میلیون دلار درخواست کردند. کوین‌بیس به آنها گفت که به جای آن، سهام خود را در بورس عرضه کنند. حتی یک مشتری هم ارز دیجیتال خود را از دست نداد.

کراکن در فوریه ۲۰۲۵ از یک حادثه داخلی پرده برداشت که حدود ۲۰۰۰ حساب (تقریباً ۰.۰۲٪ از کاربران آن) را تحت تأثیر قرار داد. طبق گزارش‌ها، بایننس در ماه مه ۲۰۲۵ تلاش مشابهی برای مهندسی اجتماعی را نادیده گرفت. هیچ یک از این موارد به سرقت دارایی‌های مشتریان منجر نشد. این یک سابقه معنادار است و یکی از دلایل بهتر برای استفاده از پلتفرم‌های تحت نظارت و دارای بیمه خوب در صورت خرید منظم ارزهای دیجیتال است.

قراردادهای هوشمند، دیفای و تاکتیک‌های هکرهای پل

قرارداد هوشمند یک کد است. همین. کدی که روی بلاکچین اجرا می‌شود. اگر کد باگی داشته باشد، کسی آن را بررسی می‌کند و زنجیره با خوشحالی هر انتقال را تأیید می‌کند، زیرا تا آنجا که به زنجیره مربوط می‌شود، قرارداد کاری را که به آن گفته شده بود انجام داده است. هیچ خطایی شناسایی نشده است. هک‌های قرارداد هوشمند، عرصه کلاسیک هکرها هستند. باگ‌های بازگشت به سیستم. محاسبات ناقص. دستکاری اوراکل. خطاهای منطقی که در پروتکل‌های وام‌دهی پنهان شده‌اند. اگر کمی دقت کنید، چیزهای زیبایی از نظر فنی هستند. اما همانطور که دیدیم، دیگر بخش عمده‌ای از ضررها وجود ندارد.

پل‌ها خودشان دردسر خودشان را دارند. کم و بیش نحوه کارشان این است. شما می‌خواهید توکن‌ها را از اتریوم به مثلاً آربیتروم منتقل کنید. پل، توکن‌های شما را روی اتریوم قفل می‌کند و کپی‌های «پیچیده» را در طرف دیگر ضرب می‌کند. این یعنی پل باید جایی روی توده‌ای عظیم از توکن‌های واقعی قرار بگیرد که توسط تعداد انگشت‌شماری از امضاکنندگان چندامضایی یا بخشی از منطق قرارداد هوشمند محافظت می‌شود. هر دو طرف را بشکنید. پل خالی می‌شود. تحقیقات چین‌لینک، ضررهای تجمعی پل را تقریباً ۲.۸ میلیارد دلار تخمین می‌زند. این حدود ۴۰ سنت از هر دلاری است که تاکنون در وب ۳ هک شده است. آخ.

چند مورد از پرونده‌های بریج، روند کل این دسته را تعیین کردند. بریج رونین، مارس ۲۰۲۲: ۶۲۵ میلیون دلار، زیرا مهاجمان پنج کلید از نه کلید اعتبارسنج را به دست آوردند. شبکه پلی، اوت ۲۰۲۱: ۶۱۲ میلیون دلار از طریق یک اشکال فراخوانی بین قرارداد، و سپس، شاید در عجیب‌ترین پیچش داستانی در دنیای کریپتو، هکر بیشتر آن را بازگرداند. کرم‌چاله، فوریه ۲۰۲۲: ۳۲۶ میلیون دلار از طریق یک نقص تأیید امضا. زنجیره مدار، ۲ ژانویه ۲۰۲۴: ۸۱ میلیون دلار پس از به خطر افتادن یک امضای چندگانه ۷ از ۱۰. امنیت بریج پس از همه این اتفاقات به طور قابل توجهی بهتر شد. با این حال، مشکل اصلی حتی یک اینچ هم تغییر نکرده است. وثیقه‌های عظیم جمع‌آوری‌شده که توسط گروه‌های کوچکی از امضاکنندگان محافظت می‌شوند، هنوز برای هر کسی که وقت و انگیزه دارد، جذاب است.

کره شمالی، لازاروس و جرایم سازمان‌یافته کریپتو

یک دشمن مدام در این گزارش‌های حادثه ظاهر می‌شود. لازاروس. تیم‌های مرتبط با دولت کره شمالی، عمدتاً خود لازاروس، اما همچنین APT38، BlueNoroff، TraderTraitor و گروه جدیدتر Famous Chollima. آنها را به عنوان یک آژانس کوچک سوءاستفاده از ارزهای دیجیتال در مقیاس ملی، با بودجه کامل و صبور در نظر بگیرید.

اعداد و ارقام وحشتناک هستند. در سال ۲۰۲۴، چینالیسیس ۱.۳۴ میلیارد دلار را در ۴۷ حادثه به مهاجمان کره شمالی ردیابی کرد. این ۶۱٪ از کل ارزش سرقت شده در سال بود. در سال ۲۰۲۵، این رقم مستقیماً به ۲.۰۲ میلیارد دلار افزایش یافت که نسبت به سال گذشته ۵۱٪ افزایش داشته است. سرقت‌های مرتبط با لازاروس از سال ۲۰۱۷ تاکنون از ۶.۷۵ میلیارد دلار فراتر رفته است. کل کشور. یک گروه عامل تهدید.

آنها واقعاً چه کار می‌کنند؟ همان دستورالعمل همیشگی. یک مهندس رمزنگاری پیدا کنید. یا یک پیمانکار پشتیبانی. در لینکدین یا تلگرام با یک پیشنهاد شغلی که واقعی به نظر می‌رسد، به آنها پیشنهاد دهید. یک «چالش کدنویسی» یا یک «اپلیکیشن کیف پول» برایشان ارسال کنید که بی‌سروصدا بدافزار نصب می‌کند. اعتبارنامه‌ها را جمع‌آوری کنید. صبر کنید. سپس کیف پول‌ها یا صرافی‌ها را طی هفته‌ها یا ماه‌ها خالی کنید. به محض اینکه وجوه خارج شد، پولشویی شروع می‌شود: میکسرها، مبادلات بین زنجیره‌ای، صرافی‌های لایه‌ای که رد فعالیت‌های غیرقانونی را پاک می‌کنند.

رادیانت کپیتال در اکتبر ۲۰۲۴ نمونه بارز این ماجراست. پیمانکار سابق یک فایل PDF از طریق تلگرام ارسال می‌کند. این یک PDF نیست. پنجاه میلیون دلار از دست رفته. چندین امضاکننده همزمان در معرض خطر قرار گرفته‌اند، زیرا همه آنها «سند» را در دستگاه‌های خود بررسی کرده‌اند.

اینکه این را حمله به کریپتو بنامیم، از درک آنچه اتفاق می‌افتد، عاجز است. این یک عملیات اطلاعاتی علیه افرادی است که اتفاقاً در حوزه کریپتو کار می‌کنند. آنتی‌ویروس کمی کمک می‌کند. پارانویا بیشتر کمک می‌کند.

حملات ۵۱ درصدی و خطرات فرضی بلاکچین

حمله ۵۱ درصدی. شما این اصطلاح را دیده‌اید. معنی واقعی آن چیست؟

یک طرف بیش از نیمی از قدرت محاسباتی شبکه (در اثبات کار) یا سکه‌های سپرده‌گذاری شده (در اثبات سهام) را در اختیار دارد. با این اکثریت، آنها می‌توانند تراکنش‌های اخیر را معکوس کنند یا تراکنش‌های جدید را سانسور کنند. حمله اجماع کلاسیک. و در واقعیت، این حمله فقط زنجیره‌های کوچک را هدف قرار داده است.

بیت‌کوین گلد نمونه بارز این ماجراست. دو موفقیت بزرگ. در ماه مه ۲۰۱۸ حدود ۱۸ میلیون دلار از سرمایه‌های دوبار خرج شده از دست رفت. در ژانویه ۲۰۲۰، ۷۰،۰۰۰ دلار دیگر. اتریوم کلاسیک در آگوست ۲۰۲۰، ۵.۶ میلیون دلار دوبار خرج شده گیر افتاد. چرا آن زنجیره‌ها؟ نرخ هش پایین. شما می‌توانید با چند ده هزار دلار، قدرت استخراج کافی برای یک آخر هفته اجاره کنید و با سود از آن خارج شوید.

بیت کوین سیاره‌ی متفاوتی است. نرخ هش آن هزاران برابر بزرگتر است. استخر استیکینگ اتریوم ده‌ها میلیون اتر قفل شده دارد. آیا از نظر تئوری کسی می‌تواند به آنها حمله‌ی ۵۱ درصدی کند؟ بله. آیا از نظر مالی منطقی است؟ خیر. کوین‌هایی که می‌دزدید، قیمت دارایی‌ای را که تازه دزدیده‌اید، کاهش می‌دهد و تجهیزات استخراج یا استیکینگ شما در همان لحظه بی‌ارزش می‌شود.

تهدیدهای نظری دیگری هم وجود دارند؟ وجود دارند. استخراج خودخواهانه در اثبات کار. حملات دوربرد در اثبات سهام. عدم وجود ریسک در برخی از طرح‌های اولیه اثبات سهام. هیچ‌کدام از آنها نتوانسته‌اند واقعاً به یک زنجیره ۲۰ تایی آسیب بزنند. بنابراین وقتی کسی می‌گوید «بیت‌کوین غیرقابل هک است»، منظورش همین است. لایه اجماع، بله. هر چیزی که بالاتر از آن است، نه.

محاسبات کوانتومی، پدیده‌ای نوظهور است که یک دهه از آن فاصله داریم. ویتالیک بوترین اخیراً احتمال ظهور یک ماشین کوانتومی که بتواند رمزنگاری را بشکند را قبل از سال ۲۰۳۰ حدود ۲۰ درصد اعلام کرد. آدام بک از بلاک‌استریم معتقد است که این اتفاق دهه‌ها طول می‌کشد. در میان متخصصان، بازه زمانی مورد اشاره مردم حدود سال‌های ۲۰۲۹ تا ۲۰۳۵ است.

آیا کسی در حال آماده شدن است؟ بله. سولانا اولین آزمایش امضای پساکوانتومی لایه اول را در دسامبر ۲۰۲۵ روی شبکه آزمایشی خود اجرا کرد. بنیاد اتریوم یک تیم اختصاصی پساکوانتومی دارد که روی مسیرهای مهاجرت کار می‌کنند. بنابراین صنعت در خواب نیست. همچنین کار تمام نشده است. هنوز هیچ چیز مقاوم در برابر کوانتوم به شبکه اصلی ارسال نشده است.

فیشینگ و کلاهبرداری‌های رایج ارزهای دیجیتال

حقیقت تلخ این است. بیشتر ضررها هرگز شامل سوءاستفاده‌های پیچیده نمی‌شوند. آنها شامل کلیک یک نفر روی یک لینک بد، امضای یک تراکنش بد یا ارسال عمدی سکه‌ها به آدرس اشتباه به دلیل دستور کسی است. گزارش IC3 اف‌بی‌آی در سال ۲۰۲۴ بیش از ۱۴۰،۰۰۰ شکایت مرتبط با ارزهای دیجیتال را ثبت کرده است که ۹.۳ میلیارد دلار ضرر به همراه داشته است. افزایش ۶۶ درصدی نسبت به سال ۲۰۲۳. آمریکایی‌های بالای ۶۰ سال به تنهایی ۲.۸ میلیارد دلار را در ۳۳۰۰۰ شکایت جداگانه از دست داده‌اند.

قصابی خوک به تنهایی ۵.۸ میلیارد دلار درآمد داشته است. اینها کلاهبرداری‌های بلندمدت هستند. شخصی در یک برنامه دوست‌یابی به شما پیام خصوصی می‌دهد. یا واتس‌اپ. یا تلگرام. آنها دوستانه هستند. آنها در واقع به هیچ چیز عاشقانه‌ای علاقه ندارند. سپس چند هفته بعد، می‌گویند که در یک "پلتفرم معاملاتی عالی" مقداری پول به دست آورده‌اند. آیا مایلید امتحان کنید؟ کمی واریز می‌کنید. داشبورد سود را نشان می‌دهد. بیشتر واریز می‌کنید. در نهایت سعی می‌کنید برداشت کنید و پلتفرم ابتدا هزینه مالیات را درخواست می‌کند. سپس هزینه دیگری. سپس شخص ناپدید می‌شود.

بقیه موارد: فیشینگ تخلیه کیف پول (سایت‌های جعلی که شما را فریب می‌دهند تا یک تأییدیه مخرب را امضا کنید)، ایردراپ‌های جعلی، جعل هویت ادمین تلگرام و حملات تعویض سیم‌کارت که کدهای 2FA پیامکی شما را می‌دزدند.

یک خبر خوب کوچک. ضررهای فیشینگ ناشی از خالی کردن کیف پول در سال ۲۰۲۵، ۸۳ درصد کاهش یافت و به حدود ۸۳.۸۵ میلیون دلار رسید که نسبت به حدود ۴۹۴ میلیون دلار در سال ۲۰۲۴ (داده‌های Scam Sniffer) کمتر است. چرا؟ رابط کاربری کیف پول واقعاً بهتر شده است. اکثر کیف پول‌ها اکنون هشدار می‌دهند که چه زمانی یک امضا، خرج کردن نامحدود توکن را تأیید می‌کند. با این حال، تعداد خام قربانیان همچنان زیاد است.

تاکتیک‌های کلاهبرداران سریع‌تر از آموزش مصرف‌کنندگان تغییر می‌کند. بنابراین کلاهبرداری‌ها را حفظ نکنید. الگو را یاد بگیرید. اگر غریبه‌ای بحث معاملات ارزهای دیجیتال را پیش کشید، آن را به عنوان مهندسی اجتماعی در نظر بگیرید. اگر درخواست کیف پول از شما خواست چیزی را که نمی‌توانید توضیح دهید تأیید کنید، آن را رد کنید. اگر یک مدیر تلگرام به شما پیشنهاد کمک داد، او مدیر نیست.

ایمن‌سازی ارز دیجیتال شما: بهترین شیوه‌های مؤثر

ایمن‌سازی ارز دیجیتال شما پیچیده نیست؛ فقط به عادت نیاز دارد. در اینجا مجموعه‌ای فشرده از اقدامات امنیتی و بهترین شیوه‌ها ارائه شده است که سطح حمله را برای یک کاربر عادی که بیش از مقدار ناچیزی ارز دیجیتال در اختیار دارد، محافظت می‌کند. اینها شیوه‌های امنیتی هستند که اکثر تهدیدها و خطرات احتمالی در واقع از آنها پیروی می‌کنند. برای هر مورد، یک روش امن را دنبال کنید تا سطح حمله به سرعت کاهش یابد. آنها را دنبال کنید و از ارز دیجیتال خود در برابر اکثر حملات دنیای واقعی محافظت کنید.

چگونه از ارز دیجیتال خود در کیف پول سخت‌افزاری محافظت کنیم؟

دو نکته در مورد کیف پول‌های سخت‌افزاری. لجر در دسامبر ۲۰۲۰ دچار یک نقض داده شد که آدرس منزل ۲۷۰،۰۰۰ مشتری را فاش کرد، یادآوری اینکه حتی شرکت‌های کیف پول سخت‌افزاری نیز اهداف داده‌ای هستند (هرچند نه اهداف صندوق). یک نقض داده جداگانه در ژانویه ۲۰۲۶ از طریق شریک تجارت الکترونیک آنها، Global-e، دوباره اطلاعات تماس را فاش کرد، نه اطلاعات بازیابی شده یا وجوه را. دستگاه شما هنوز امن‌ترین مکان برای کلیدهای شماست؛ متأسفانه آدرس پستی شما امن نیست.

برخی از معامله‌گران می‌پرسند که آیا کیف پول‌های سرد قابل هک شدن هستند یا خیر. پاسخ صادقانه این است که یک کیف پول سرد که به خوبی استفاده شده باشد، به درستی ذخیره شده باشد و دارای یک عبارت بازیابی صحیح باشد، قوی‌ترین دفاع موجود برای فردی است که می‌خواهد ارز دیجیتال را برای مدت طولانی نگه دارد. حالت‌های خرابی عمدتاً انسانی هستند: سیدهای عکس‌دار، سایت‌های فیشینگ که کاربران را برای تایپ سید فریب می‌دهند، اطلاعات حساس به اشتراک گذاشته شده در چت، یا خرید "کیف پول‌های سخت‌افزاری" از بازارهای دست دوم که در آن شخصی دستگاه را از قبل مقداردهی اولیه کرده است. فقط از سازنده خرید کنید. این یک وضعیت امنیتی قوی پایه است که همه باید در نظر بگیرند.

اگر هک شدید: سرقت، بازیابی و کارهایی که نباید انجام دهید

مشکوک هستید که کیف پولتان هک شده؟ همین الان اقدام کنید. اولین کار: جلوی این کار را بگیرید. یک کیف پول کاملاً جدید را روی یک دستگاه تمیز راه‌اندازی کنید، هر آنچه هنوز در کیف پول قدیمی است را منتقل کنید و دزد را با هر آنچه باقی مانده است، شکست دهید. دوم: با استفاده از Revoke.cash یا ابزاری مشابه، هر تأیید توکنی را که تا به حال اعطا کرده‌اید، لغو کنید. سوم: سند. هش تراکنش‌ها. مهرهای زمانی. اسکرین‌شات از هر چت یا ایمیل یا URL که مشکوک به نظر می‌رسد. کل رد کاغذ. این کار را قبل از هر چیز دیگری انجام دهید.

حالا به بخشی می‌رسیم که هیچ‌کس نمی‌خواهد بشنود. بازیابی. برای یک سرقت فردی معمولی، کمتر از ۱۰٪ از ارزهای دیجیتال دزدیده شده هرگز برمی‌گردند. شفافیت بلاکچین به بازرسان اجازه می‌دهد تا وجوه را از طریق میکسرها و پل‌ها ردیابی کنند و این عالی است. ردیابی به معنای بازیابی نیست. پیروزی‌های بزرگی که در مورد آنها می‌خوانید (تتر ۳.۲۹ میلیارد دلار USDT غیرقانونی را بین سال‌های ۲۰۲۳ تا ۲۰۲۵ مسدود کرد، تقریباً ۳۰ برابر آنچه Circle در همان بازه مسدود کرد؛ بریتانیا ۶۱۰۰۰ بیت‌کوین را در سال ۲۰۲۵ توقیف کرد؛ Cetus ۱۶۲ میلیون دلار از ۲۲۳ میلیون دلار ضرر خود را پس گرفت) دقیقاً به این دلیل مشهور هستند که استثنا هستند. آنها نیاز به همکاری یک صادرکننده استیبل‌کوین، یک دولت یا پروتکلی داشتند که مایل به اعمال فشار شدید بر اهرم‌های حاکمیتی باشد.

کاری که نباید انجام دهید. لطفاً یک شرکت «بازیابی ارزهای دیجیتال» که به طور ناگهانی به شما پیام مستقیم (DM) می‌دهد، یا شرکتی که تبلیغات اینستاگرامی اجرا می‌کند، یا شرکتی که صفحه فرود پر از توصیفات افراد مشهور و جذاب دارد، استخدام نکنید. کل این صنعت یک کلاهبرداری دنباله‌رو است. بازیابی واقعی کند و خسته‌کننده است، توسط مجریان قانون با کمک شرکت‌هایی مانند Chainalysis یا TRM اداره می‌شود و تقریباً هرگز نتیجه‌ای را تضمین نمی‌کند. اگر کسی به شما تضمین دهد که پولتان را پس می‌دهید؟ بروید. اگر قبل از ثبت گزارش، درخواست کارمزد کنند، فرار کنید.

اگر در ایالات متحده (یا معادل محلی) هستید، گزارشی را به IC3 اف‌بی‌آی، در صورت وجود هرگونه وجهی که به صرافی‌ها منتقل شده است، و در صورت وجود هرگونه استیبل‌کوین، به صادرکننده‌ی آن ارائه دهید. مسدود کردن‌های صادرکننده به یک مسیر بازیابی واقعی تبدیل شده‌اند. طبق گفته‌ی Chainalysis، استیبل‌کوین‌ها اکنون ۸۴٪ از حجم ارزهای دیجیتال غیرقانونی را تشکیل می‌دهند. این عدد دقیقاً دلیل افزایش تعداد مسدود شدن‌های تتر است.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.