اخبار

کلاهبرداری‌ها و هک‌های ارز دیجیتال در سال ۲۰۲۵ از مرز ۴ میلیارد دلار خسارت عبور کردند

توسط CryptoGambling.com 5 دقیقه مطالعه
کلاهبرداری‌ها و هک‌های ارز دیجیتال در سال ۲۰۲۵ از مرز ۴ میلیارد دلار خسارت عبور کردند

چشم‌انداز دارایی‌های دیجیتال با دشوارترین سال خود روبرو شد، زیرا مجموع خسارات ناشی از اکسپلویت‌ها، هک‌ها و طرح‌های متقلبانه در سال ۲۰۲۵ از مرز ۴ میلیارد دلار گذشت. این رقم خیره‌کننده که در گزارشی پایان سال از سوی CryptoPotato مستند شده است، بر پیچیدگی فزاینده بازیگران بدذات تأکید می‌کند که به طور فزاینده‌ای هم دارندگان نهادی با ثروت کلان و هم مشارکت‌کنندگان خرد را در بخش‌های امور مالی غیرمتمرکز (DeFi) و قمار هدف قرار می‌دهند.

با وجود پیشرفت‌ها در فارنزیک بلاکچین و ممیزی‌های امنیتی قوی‌تر برای قراردادهای هوشمند، حجم عظیم دارایی‌های سرقت‌شده نشان می‌دهد که مهاجمان در حال تغییر استراتژی‌های خود هستند. بسیاری از آن‌ها به جای تمرکز صرف بر آسیب‌پذیری‌های پیچیده کد، به «عنصر انسانی» امنیت بازگشته‌اند و از دستکاری روانشناختی برای دور زدن حتی امن‌ترین کیف پول‌های سخت‌افزاری و تنظیمات چند امضایی استفاده می‌کنند.

ظهور مهندسی اجتماعی و زیان‌های فردی کلان

بخش قابل توجهی از خسارات سال ۲۰۲۵ را می‌توان به افزایش حملات مهندسی اجتماعی با ارزش بالا نسبت داد. یکی از فاجعه‌بارترین حوادث مربوط به یک کاربر ارز دیجیتال بود که در یک عملیات با برنامه‌ریزی دقیق، ۲۸۲ میلیون دلار از دست داد. بر اساس گزارش‌های Bitcoinist، این حمله متکی بر یک نقص در سطح پروتکل یا اکسپلویت پل نبود. در عوض، قربانی از طریق تاکتیک‌های پیچیده مهندسی اجتماعی دستکاری شد که در نهایت منجر به تخلیه غیرمجاز دارایی‌های اصلی او گردید.

این حادثه بر یک روند در حال تغییر در دنیای جرایم سایبری تأکید می‌کند. در حالی که «rug pulls» و حملات وام سریع (flash loan) همچنان رایج هستند، اکنون با کمپین‌های شخصی‌سازی شده، با ارزش‌ترین اهداف دنبال می‌شوند. این مهاجمان اغلب هفته‌ها یا ماه‌ها را صرف جمع‌آوری داده‌ها در مورد اهداف خود می‌کنند و سپس با آن‌ها تماس می‌گیرند و تلاش نهایی «فیشینگ» آن‌ها را تقریباً از ارتباطات قانونی غیرقابل تشخیص می‌سازد.

کلاهبرداری‌های جعل هویت و «سبک زندگی» مجرمان سایبری

گستاخی این کلاهبرداران در پرونده‌ای که توسط The Daily Hodl گزارش شد، برجسته‌تر شد؛ پرونده‌ای که در آن مهاجمی خود را به جای پشتیبانی Coinbase جا زده بود. این کلاهبردار با جعل هویت نماینده صرافی بزرگ، موفق شد ۲ میلیون دلار از تریدرهای ارز دیجیتال ناآگاه سرقت کند. این پرونده خاص پس از آنکه ZachXBT، محقق زنجیره‌ای (on-chain)، مسیر وجوه سرقت‌شده را ردیابی کرد، توجه گسترده‌ای به خود جلب نمود.

تحقیقات، روند نگران‌کننده‌ای را در مورد نحوه نقد کردن و استفاده از ارز دیجیتال سرقت‌شده آشکار کرد. یافته‌های ZachXBT نشان داد که مجرم به سرعت عواید غیرقانونی را برای تأمین مالی یک سبک زندگی مجلل جابجا کرده و پول را صرف خدمات بطری (bottle service) سطح بالا در کلاب‌های انحصاری و قمار با مبالغ بالا کرده است. برای جامعه قمار ارز دیجیتال، این موضوع مانند شمشیری دو لبه عمل می‌کند: در حالی که این صنعت کاربرد محبوبی برای دارایی‌های دیجیتال فراهم می‌کند، توسط بازیگران بد نیز به عنوان روش اصلی برای «میکس کردن» یا خرج کردن سرمایه سرقت شده مورد سوءاستفاده قرار می‌گیرد.

آسیب‌پذیری‌ها در اکوسیستم‌های DeFi و معاملاتی

مجموع ۴ میلیارد دلاری سال ۲۰۲۵ تنها نتیجه کلاهبرداری‌های فردی نیست؛ بلکه بازتاب تلاش مداوم برای ایمن‌سازی پروتکل‌های غیرمتمرکز نیز می‌باشد. در حالی که گزارش نشان می‌دهد صرافی‌های متمرکز امنیت داخلی خود را به طور قابل توجهی بهبود بخشیده‌اند، بخش DeFi همچنان زمین اصلی شکار باقی مانده است.

  • آسیب‌پذیری‌های پل (Bridge Vulnerabilities): پل‌های زنجیره‌ای متقابل همچنان نقطه اصلی شکست هستند و صدها میلیون دلار خسارت را به خود اختصاص می‌دهند، زیرا هکرها راه‌هایی برای سوءاستفاده از مکانیزم‌های قفل و ضرب (minting) بلاکچین‌های متصل به هم پیدا می‌کنند.
  • کیت‌های فیشینگ (Phishing Kits): در دسترس بودن کیت‌های «Drainer-as-a-Service» در دارک وب، مانع ورود برای کلاهبرداران مبتدی را کاهش داده و به آن‌ها اجازه می‌دهد وب‌سایت‌های مخربی را مستقر کنند که با یک امضا، کیف پول‌ها را خالی می‌کنند.
  • اکسپلویت‌های تأیید (Approval Exploits): بسیاری از تریدرها قربانی کلاهبرداری‌های «تأیید نامحدود» (infinite approval) شده‌اند، جایی که یک تراکنش به ظاهر بی‌ضرر، به مهاجم این حق را می‌دهد که در آینده هر مقدار از یک توکن خاص را از کیف پول کاربر جابجا کند.

بینش‌های عملی برای تریدرها و قماربازان ارز دیجیتال

با ورود صنعت به سال ۲۰۲۶، رقم ۴ میلیارد دلار خسارت به عنوان یادآوری تکان‌دهنده‌ای از خطرات ذاتی نگهداری خودگردان (self-custody) دارایی‌ها عمل می‌کند. برای فعالان در زمینه قمار و تریدینگ ارز دیجیتال، چندین معیار امنیتی کلیدی اکنون غیرقابل چشم‌پوشی شده‌اند:

۱. تأیید تمام ارتباطات پشتیبانی: هرگز اطلاعات حساس را ارائه ندهید یا تراکنشی را بر اساس یک تماس تلفنی یا پیام مستقیم امضا نکنید. صرافی‌های قانونی مانند Coinbase هرگز کلیدهای خصوصی شما یا یک «تراکنش آزمایشی» را درخواست نخواهند کرد. ۲. استفاده از کیف پول‌های سخت‌افزاری برای ذخیره‌سازی بلندمدت: فقط وجوه «داغ» (hot funds) را برای جلسات فعال ترید یا قمار در کیف پول‌های مبتنی بر مرورگر نگه دارید. بخش عمده سبد شما باید در محیط ذخیره‌سازی سرد (cold storage) باقی بماند. ۳. ممیزی تأییدیه‌های توکن خود: به طور مرتب از ابزارهایی مانند Revoke.cash استفاده کنید تا ببینید کدام برنامه‌های غیرمتمرکز (dApps) اجازه خرج کردن توکن‌های شما را دارند. ۴. پیاده‌سازی احراز هویت چندعاملی (MFA): از MFA مبتنی بر پیامک که در برابر تعویض سیم‌کارت (SIM-swapping) آسیب‌پذیر است، اجتناب کنید. از کلیدهای امنیتی سخت‌افزاری یا برنامه‌های احراز هویت برای تمام حساب‌های صرافی استفاده کنید.

داده‌های سال ۲۰۲۵ نشان می‌دهند که در حالی که فناوری پشت بلاکچین ایمن‌تر می‌شود، روش‌های مورد استفاده برای جدا کردن کاربران از دارایی‌هایشان انسان‌محورتر می‌شوند. تا زمانی که پتانسیل «دستبردهای» چند میلیون دلاری وجود داشته باشد، فشار بر امنیت اکوسیستم ارز دیجیتال تنها تشدید خواهد شد.