تقرير أحداث الأمان في عالم العملات الرقمية لعام 2025: خسارة 2.9 مليار دولار، الذكاء الاصطناعي يتحول إلى سلاح جديد للهاكرز

تقارير شركة مومو تك السنوية تظهر أنه على الرغم من انخفاض عدد حوادث أمان البلوكشين في 2025 من 410 إلى 200، إلا أن إجمالي الخسائر قفز بنسبة 46% ليصل إلى 2.935 مليار دولار. كانت سرقة CEX بقيمة 1.46 مليار دولار في المقدمة، وتقنيات الذكاء الاصطناعي العميق المزيفة خدعت عمليات التحقق من الهوية (KYC) وأصبحت تهديدًا جديدًا، كما سرق مجموعة لازاروس الكورية الشمالية 1.645 مليار دولار حتى سبتمبر، وتعرضت مجموعة هوانج في كمبوديا لعقوبات من وزارة الخزانة الأمريكية بسبب مساعدتها في غسيل الأموال.

سرقة CEX بقيمة 1.46 مليار دولار تعيد كتابة سجل الخسائر

أكثر حادث أمني هز في 2025 هو اختراق CEX، حيث سجلت خسارة قياسية قدرها 1.46 مليار دولار في عملية واحدة. يُشتبه في أن القراصنة استغلوا صلاحيات التوقيع المتعدد في Safe Wallet لشن الهجوم، وكشف هذا الهجوم الدقيق على آلية التوقيع المتعدد عن وجود ثغرات في حوكمة حتى أكبر البورصات.

اعترف بن تشو، أحد كبار مسؤولي CEX، خلال استرجاعه لعملية إدارة الأزمة أن الهجوم وقع في وقت مبكر من عطلة نهاية الأسبوع، وأن الفريق استجاب للطوارئ خلال ساعات، بما في ذلك تجميد عناوين مشبوهة، وتفعيل خزائن احتياطية، والتعاون مع شركات تحليل السلسلة لتتبع تدفق الأموال. ومع ذلك، فإن حجم الخسارة البالغ 1.46 مليار دولار يتجاوز قدرة أي شركة على تحمله، مما أثار نقاشًا شاملًا حول أمان إدارة الأصول في البورصات المركزية.

أما بقية تسع حوادث الخسارة فهي تشمل خسارة بروتوكول سيتوس 230 مليون دولار بسبب ثغرة في آلية العقود، وتفريغ TVL بنسبة 83% بعد هجوم رئيسي على DEX في نظام Sui البيئي، وخسارة 121 مليون دولار بسبب خطأ في حساب مسار التبادل في تجمعات Balancer V2، مما يبرز مرة أخرى تعقيد بروتوكولات DeFi كمصدر محتمل لثغرات الأمان. كما تعرضت بورصة نوبتكس الإيرانية، التي يشتبه في أن هجومًا من قبل منظمة قرصنة إسرائيلية استهدفها، لتدمير أصول بقيمة حوالي 1 مليار دولار، مما يمد جسرًا بين الصراع الجيوسياسي وعالم العملات المشفرة.

الدمج المميت بين Deepfake والهندسة الاجتماعية

أبرز تغير في أساليب الهجوم في 2025 هو التغلغل العميق لتقنيات الذكاء الاصطناعي. يستخدم القراصنة تقنية Deepfake لتزوير أصوات وصور كبار التنفيذيين في الشركات خلال مؤتمرات الفيديو. على سبيل المثال، وقع موظفو شركة أروب للهندسة المعمارية متعددة الجنسيات في هونغ كونغ ضحية، حيث قاموا بتحويل مبالغ ضخمة بناءً على توجيهات فيديو من “الرئيس التنفيذي”. والأسوأ من ذلك، أن القراصنة استغلوا هويات مزيفة مولدة بواسطة AI لتجاوز عمليات التحقق من الهوية (KYC) في بورصات العملات المشفرة، مما جعل آلية التحقق من الهوية، التي كانت خط الدفاع الأول ضد غسيل الأموال، عديمة الجدوى.

ستة أساليب هجوم جديدة في 2025

1. توليد برمجيات خبيثة ديناميكيًا بواسطة AI

· توليد متغيرات من البرمجيات الخبيثة في الوقت الحقيقي باستخدام نماذج AI

· التهرب من اكتشافات برامج الأمان التقليدية

· بصمة الكود لكل هجوم تختلف عن الأخرى

2. عمليات احتيال التوظيف والمقابلات

· التنكر كشركة Web3 لتوظيف مهندسين

· إيهام الضحايا بتحميل مستودعات كود أو مشاريع اختبار تحتوي على خلفيات

· سرقة المفاتيح الخاصة والمعلومات الحساسة من أجهزة المطورين

3. هجمات الصيد الاحتيالي Clickfix

· إقناع المستخدمين بتنفيذ أوامر خبيثة على أنظمتهم

· التنكر كفني دعم تقني أو تحديث نظام

· تجاوز تحذيرات أمان المتصفح وتنفيذ الأوامر مباشرة

4. تعديل صلاحيات سولانا

· تغيير صلاحية مالك الحساب إلى عنوان القراصنة

· حتى مع وجود المفتاح الخاص، لا يمكن السيطرة على الأصول

· استغلال تصميم نموذج حسابات سولانا الخاص

5. استغلال تفويض EIP-7702

· استغلال خصائص التجريد الجديدة في حسابات إيثريوم

· سرقة أصول المحافظ المصرح لها عبر EIP-7702 بشكل جماعي

· تعرض محافظ المستثمرين WLFI للنهب الكامل بسبب ذلك

6. هجمات تسميم سلسلة التوريد

· زرع خلفيات في أدوات ومكتبات مفتوحة المصدر شهيرة على GitHub

· استهداف مشاريع ذات حركة مرور عالية مثل روبوتات معاملات سولانا

· الانتشار التلقائي للبرمجيات الخبيثة عبر تحديثات حزم NPM ونسخ مستودعات GitHub

نجاح هجمات الهندسة الاجتماعية يتفوق بكثير على استغلال الثغرات التقنية. العديد من الضحايا لم يكونوا بسبب وجود ثغرات في العقود الذكية أو اختراق المفاتيح الخاصة بالقوة، بل بسبب أساليب مخططة بعناية وهويات مزيفة تم إيهامهم بها. وعندما يستطيع القراصنة باستخدام AI تقليد أصوات أي شخص في الوقت الحقيقي، وصنع فيديوهات لأي مشهد، فإن الاعتماد على “رؤية العين” لم يعد فعالًا.

تعد هجمات تسميم سلسلة التوريد أكثر خفاءً. إذ لا يهاجم القراصنة الهدف مباشرة، بل يزرعون برمجيات خبيثة في أدوات ومكتبات يعتمد عليها المطورون. وعندما يقوم آلاف المطورين بتحديث حزم NPM أو استنساخ مستودعات GitHub، تدخل البرمجيات الخبيثة تلقائيًا إلى بيئات التطوير الخاصة بهم. والخطورة في هذا الأسلوب أنه قد لا يدرك الضحايا أنهم تعرضوا للاختراق حتى يتم سرقة أصولهم، ويكون الوقت قد فات.

الهاكرز الكوريون الشماليون وشبكات غسيل الأموال العابرة للحدود

لا تزال مجموعة لازاروس الكورية الشمالية أكبر تهديد أمني عالمي في 2025، حيث سرقت حوالي 16.45 مليار دولار خلال التسعة أشهر الأولى فقط. هذا الرقم يتجاوز الناتج المحلي الإجمالي للعديد من الدول الصغيرة والمتوسطة، مما يعكس القوة الرهيبة لموارد القرصنة على مستوى الدولة. لقد أصبحت عمليات غسيل الأموال لمجموعة لازاروس مؤتمتة، حيث تستخدم جسور التشفير لنقل الأموال المسروقة بين سلاسل الكتل المختلفة، وتستخدم أدوات مثل Tornado Cash لتشويش مصدر الأموال، وتقوم بتشويش الأموال عبر عدة عمليات لزيادة صعوبة التتبع.

كما فرضت مجموعة هوانج في كمبوديا، التي يُشتبه في أنها ساعدت في تدفق أموال احتيالية ضخمة، عقوبات من مكتب مراقبة الأصول الأجنبية (OFAC) التابع لوزارة الخزانة الأمريكية. ويُعد ذلك علامة على دخول تنظيم مكافحة غسيل الأموال مرحلة التعاون القانوني عبر الحدود. في السابق، كانت جنوب شرق آسيا تُعتبر منطقة رمادية في تنظيم العملات المشفرة، حيث كانت العديد من نقاط غسيل الأموال تُقام هناك. لكن نفوذ الولايات المتحدة القضائي أضعف قدرة هذه المنظمات على الوصول إلى النظام المالي الدولي، مما يهدد قدرتها على العمل بشكل فعال.

تلخص شركة مومو تك أن الاتجاهات في 2025 تتجه نحو أنظمة هجوم أكثر تخصصًا، وارتباطات إجرامية أكثر خفاءً، وتنفيذ تنظيمي أكثر قوة. لم تعد الأمان والامتثال مجرد قدرات دفاعية، بل أصبحت شرطًا للبقاء التجاري. مستقبل صناعة Web3 يعتمد على مدى قدرتها على بناء نظم أمان داخلية أقوى ونماذج حوكمة شفافة للأموال.