درس بقيمة 280M دولار! دليل تجنب مخاطر أمان DeFi في عام 2026

null

المؤلف: شركة وقت الصفر

مقدمة

مع التطور السريع لـ DeFi، أصبحت “التمويل اللامركزي” من لعبة تخص فئة قليلة من الخبراء المتحمسين، أرضًا يسعى إليها عامة الناس بحثًا عن عوائد مرتفعة. زراعة السيولة، وزراعة التعدين المرتكز على الضمانات، والإقراض وكسب الفائدة… تتوالى أشكال اللعب دون توقف. وتصل العوائد السنوية أحيانًا إلى عشرات وحتى مئات النقاط المئوية، ما يجعل من الصعب ألا يثير ذلك شغفك.

لكن الوجه الآخر للعائد هو المخاطر. في 1 أبريل 2026، تعرض DEX للمشتقات الدائمة في سولانا Drift Protocol لهجوم كبير في بيئة سولانا، وكانت قيمة الخسائر نحو 220 مليون إلى 285 مليون دولار، ليصبح أكبر هجوم اختراق DeFi حتى الآن في 2026.

هذا الحدث يرنّ جرس إنذار مرة أخرى: في عالم DeFi، لا يوجد “خدمة عملاء” لاسترداد أموالك نيابةً عنك، ولا بنك يضمن لك التعويض. كل تفاعل تقوم به هو مسؤوليتك أنت وحدك تجاه جميع أصولك.

لمساعدة الجميع على تجنب المخاطر، يجمع فريق أمان شركة وقت الصفر بين أمثلة هجمات حقيقية ويُلخص 5 فحوصات أمان رئيسية يجب إتمامها قبل المشاركة في DeFi، لمساعدتك على تحديد المخاطر قبل البدء في أي عملية، وحماية حد أمان أصولك.

كيف تحدث مخاطر DeFi؟

يظن كثيرون أن هجمات الاختراق بعيدة عنهم، لكن الحقيقة هي أن أغلب خسائر الأصول تحدث ضمن “العمليات العادية” التي يقوم بها المستخدمون.

أنت لم تفعل شيئًا خاطئًا بشكل خاص، وإنما ربما أهملت شيئًا في مرحلة ما. فيما يلي أربع مسارات مخاطر هي الأكثر شيوعًا:

1. تفويض غير صحيح → يتم تحويل الأصول بعيدًا

قمت بالنقر مرة واحدة على “Approve”، ومنحت العقد صلاحية لا نهائية لاستخدام محفظتك. بمجرد أن يسلك العقد سلوكًا خبيثًا أو يتم اختراقه، تُفرَّغ الأصول في لحظة.

2. الدخول إلى مواقع التصيّد → يتم الاستيلاء على المحفظة

بحثت عن مشروع، ثم فتحت رابط الإعلان الظاهر في أعلى الصفحة. تكون الصفحة مطابقة تمامًا للموقع الرسمي. بعد توصيل المحفظة، يكون قد تم استلام/اختراق عبارة الاسترداد أو التوقيع الخاص بك من قبل القراصنة.

3. ثغرات في العقد → يتم “الاستيلاء بشكل قانوني” على الأموال

المشروع نفسه يبدو نظاميًا، لكن الكود يحتوي على ثغرة. يستغل القراصنة الثغرة لتجاوز القيود وسحب الأموال من خزانة البروتوكول—وتقع أصولك أيضًا ضمن ذلك الخزان.

4. Rug Pull للمشروع → يتم سحب السيولة

من البداية كان القائمون على المشروع محتالين. عندما تودع أموالك مبلغًا كافيًا، يسحبون مباشرة العملات من مجمع السيولة، فيصبح رصيد الرمز مضمحلًا/صفرًا فورًا.

بعد أن تفهم من أين تأتي المخاطر، ستعرف أين يتم “القطع” في كل مرة عبر فحوصات الـ 5 التالية.

✅ الفحص 1: أمان العقد — المصدر المفتوح + التدقيق هما الحد الأدنى

لا يتم سرقة أصول الكثيرين لأن لدى القراصنة تقنيات فائقة، بل لأن عقد المشروع نفسه “سام”.

⚠️ ما يجب ألا تقوم به هو ألا “تثق في المشروع”، بل:

• هل تم فتح كود المصدر: راجع العقد في مستكشف الكتل (مثل Etherscan وSolscan) وتحقق مما إذا كان العقد “موثَّقًا/تم التحقق منه (Verified)”. العقد غير المفتوح المصدر يعني أن القواعد مخفية داخل صندوق أسود—لا تلمسه.

• هل تم إجراء تدقيق: ادخل إلى مواقع مؤسسات التدقيق مثل CertiK وPeckShield وSlowMist وابحث عن اسم المشروع، وتأكد من وجود تقرير تدقيق حقيقي، وأن الثغرات عالية الخطورة تمت معالجتها.

• هل توجد ثغرات تاريخية: استخدم منصات طرف ثالث مثل DeFi Safety وRugDoc لإدخال عنوان العقد، وعرض تقييمات الأمان وسجلات المخاطر السابقة.

🚩 إشارات خطر عالية:

• العقد غير مفتوح المصدر

• لا توجد تقارير تدقيق لدى طرف ثالث، أو يوجد فقط “تدقيق ذاتي”

• تم إطلاق العقد بعد أيام قليلة من نشره

🔗 تلميح: في صفحة “Contract” بمستكشف الكتل، إذا رأيت “Source Code Not Verified”، أغلق الصفحة فورًا.

✅ الفحص 2: إدارة التفويضات — لا تجعل العقد “سحبًا لا نهائيًا”

لا تُسرق الأصول لدى الكثيرين بسبب الاختراق، بل لأنهم قاموا بتفويض عقد لم يكن ينبغي تفويضه. عندما تنقر مرة واحدة على “Approve”، فإنك تعطي العقد “مفتاحًا”. وإذا كان هذا المفتاح هو “مفتاح شامل”، يمكن للعقد في أي وقت فتح باب وصوله إلى جميع الأصول من نفس النوع الموجودة في محفظتك.

⚠️ نقاط التركيز

• هل يطلب “تفويضًا غير محدود”: في نافذة التفويض، تكون القيمة على شكل unlimited أو أكبر قيمة uint256. هذا يعني أن العقد يستطيع تحويل أصولك مرات غير محدودة دون أن يرتبط الأمر بحد المبلغ الذي أودعته.

• هل عنوان العقد غير معروف: تحقق بعناية من عنوان العقد الخاص بالجهة المفوضة، وهل يطابق العنوان الذي ينشره المشروع رسميًا. حرف واحد مختلف قد يكون فرقًا بين الحقيقة والتصيد.

👉 توصيات

• الأفضلية لـ “أقل تفويض ممكن”: عند كل تفويض، قم بتعديل المبلغ يدويًا إلى الكمية اللازمة لهذه المعاملة فقط. مثال: إذا كنت ستودع 0.1 ETH فقط، اجعل حد التفويض 0.1 ETH. يدعم Rabby ونسخ MetaMask المخصصة هذه الوظيفة.

• تنظيف التفويضات بشكل دوري: ادخل إلى revoke.cash أو etherscan.io/tokenapprovalchecker لمعرفة أي العقود التي قمت بتفويضها. إذا وجدت شيئًا مشبوهًا أو لا تعرفه، يمكنك إبطاله بنقرة واحدة.

مثال لواجهة الموقع الرسمي revoke.cash. يوصى بإزالة تفويض “Unlimited” الموجود ضمن الدائرة في الوقت المناسب.

✅ الفحص 3: المدخل الرسمي — مواقع التصيّد أشد رعبًا من القراصنة

وفقًا للإحصاءات، تتجاوز خسائر أصول DeFi بنسبة 60% الهجمات التصيّدية، وليس ثغرات العقود.

⚠️ الحيل الشائعة

• تقليد الموقع الرسمي: النطاق لا يختلف إلا بحرف واحد (مثل uniswap.com مقابل uniswao.com)، والصفحة مطابقة تمامًا.

• صفحات “Airdrop” المزيفة: يُروَّج على تويتر وDiscord لـ “تلقي XX Airdrop مجانًا”، وبعد توصيل المحفظة يتم تفويض تحويل الأصول.

• تسميم إعلانات محركات البحث: عند البحث عن “Uniswap”، قد تكون أول إعلانات محرك البحث موقعًا تصيّديًا، يكون النطاق مشابهًا جدًا للنطاق الرسمي.

👉 توصيات

• ادخل فقط عبر القنوات الرسمية: احصل على رابط الموقع الرسمي من حسابات تويتر وDiscord الخاصة بالمشروع ومن مستودع GitHub، ولا تثق بإعلانات محركات البحث.

• احفظ المواقع الشائعة في DeFi: أضف الموقع الرسمي للبروتوكولات التي تستخدمها كثيرًا إلى المفضلة، وادخل منها في كل مرة.

• لا تنقر على الروابط المجهولة: أي رابط يرسله أي شخص (بما في ذلك الأصدقاء في المجموعات أو من يرسل عبر رسالة خاصة) يجب أولًا أن يشكّك فيه.

🔗 تلميح: ثبّت إضافات الحماية للمحفظة مثل Rabby أو MetaMask نسخة كشف التصيّد، إذ تقوم تلقائيًا بحظر نطاقات التصيّد المعروفة.

✅ الفحص 4: عائد غير طبيعي — وراء العائد المرتفع دائمًا مخاطر عالية

وفقًا للإحصاءات، تتجاوز خسائر أصول DeFi بنسبة 60% الهجمات التصيّدية، وليس ثغرات العقود.

إذا كان مشروع ما:

• عائده السنوي أعلى بكثير من متوسط السوق (مثل APY للستابل كوين يتجاوز 20%)

• يركز على “مراجحة بلا مخاطر” و“ربح مضمون بلا خسارة”

• يشجع على “المشاركة المبكرة، والإيداع بسرعة” ويخلق حالة FOMO (الخوف من فوات الفرصة)

فيمكن اعتباره تقريبًا: المخاطر ≈ وعد العائد × 10

كثير من مشاريع Rug Pull تستغل “العائد المرتفع” لجذب السيولة. قد تأتي أرباحها في البداية من أموال المستخدمين الجدد (نموذج بونزي)، وبمجرد أن يبطؤ تدفق الأموال الجديدة، يسحب القائمون على المشروع السيولة ويهربون.

👉 توصيات

• قارن مع معيار السوق: عادة ما يكون APY للستابل كوين لدى بروتوكولات DeFi الرئيسية (مثل Aave وCompound) بين 2% و8%. إذا كان أعلى بهذا الفارق بمقدار 3 مرات أو أكثر، فلابد من درجة عالية من التحذير.

• راقب مدة بقاء المشروع: المشاريع التي تفتح عائدات فائقة بعد أيام قليلة غالبًا ما تكون “مصيدة عسل”.

• ابحث عن اسم المشروع + scam / rug: استخدم Google أو ابحث على تويتر لترى إن كان هناك شكاوى/بلاغات من المستخدمين.

🚩 قاعدة بجملة واحدة: إذا كان جيدًا جدًا ليكون حقيقيًا، فمن المحتمل أنه مزيف.

✅ الفحص 5: عزل الأصول — لا تضع البيض كله في سلة واحدة

لدى كثير من المستخدمين محفظة رئيسية واحدة، ويتم تنفيذ كل الأصول، وكل تفاعلات DeFi، وكل عمليات mint لـ NFT من خلال هذه المحفظة. بمجرد أن تتعرض هذه المحفظة للتصيّد، أو تمنح تفويضًا لعقد خبيث، أو يتم تسريب المفتاح الخاص، فإن جميع الأصول قد تُصفَّر مرة واحدة.

ننصح ببناء نظام “ثلاث محافظ”:

⚠️ جوهر الأمر: التحكم في مخاطر نقطة واحدة، لتجنب “الخسارة الكاملة في مرة واحدة”

• عند المشاركة في مشروع جديد أو بروتوكول غير مُتحقق منه، استخدم دائمًا محفظة مؤقتة، وأودع أقل مبلغ عند حد الدخول لاختبار الأمور.

• قم بتنظيف التفويضات في المحفظة الرئيسية بشكل دوري (مرة أسبوعيًا أو شهريًا).

• ضع الأصول الأساسية في محفظة باردة، ولا توقع/لا تفوض/لا توصل أي موقع إلكتروني أبدًا.

أخطر من القراصنة هو “الإنسان من الداخل”

بالإضافة إلى الهجمات الخارجية، توجد أيضًا مخاطر كثيرًا ما تُهمل—وهي قيام شخص من الداخل بالأذى. قد يكونون مطورين أو عمال تشغيل وصيانة، وحتى موظفين خدمة عملاء.

⚠️ من أين يأتي “العامل من الداخل”؟

• إدخال باب خلفي بعد أن يزرعه مطور أو مُدقق: المطورون والمُدققون لديهم صلاحية الإرسال ووصول إلى النظام. إذا قام أحدهم بالأذى، يمكنه إدخال باب خلفي وسرقة مفاتيح حساسة، كما أن تمويه ذلك على أنه نشاط تطوير طبيعي يجعل من الصعب اكتشافه.

• مدير صلاحيات أساسية يحرس السرقة: من يملك مفتاح مدير النظام الخاص، إذا سولت له نفسه سوء النية، قد يتم تصفير جميع أصول المستخدمين دفعة واحدة.

• موظف يستغل صلاحيات وظيفته لسرقة معلومات المستخدم: في فبراير 2026، مهندس شبكات يبلغ من العمر 34 عامًا في شركة استثمار للعملات المشفرة في هونغ كونغ، استخدم صلاحية الوصول إلى أنظمته، وقام بالدخول إلى قاعدة بيانات الشركة دون إذن، وسرق حوالي 2.67 مليون USDT من نحو 20 عميلًا (حوالي 20.87 مليون دولار لهونغ كونغ). ظل هذا الموظف يعمل في الشركة لمدة 4 سنوات، وكان مسؤولًا عن تطوير وصيانة تطبيق APP، وهذه “الصلاحية الشرعية” هي ما أتاح له تنفيذ السرقة.

👉 كيف نتجنب؟

• المستخدمون الأفراد: اختر بروتوكولات لديها “قفل زمني” (يجب تأجيل تنفيذ العمليات الجوهرية 24-48 ساعة)، وراقب ما إذا كان مديرو إدارة متعددين (multi-sig) لدى الجهة المطورة منشورين بشكل شفاف.

• الجهة المطورة: يجب إدارة الصلاحيات الأساسية عبر محفظة متعددة التوقيع (multi-sig)، وتعيين فترة “وسيط/Buffer” مع قفل زمني، وإجراء تدقيق دوري لسجلات الوصول الداخلية.

لماذا قد تنكشف رغم أنك “حريص جدًا”؟

لأن الهجوم انتقل من “ثغرات تقنية” إلى “ثغرات بشرية”.

⚠️ أخطاء نفسية شائعة

• “هذا المشروع مشهور جدًا، إذن لا مشكلة”

• “الجميع يستخدمه، لن يحدث شيء”

• “أنا أعمل مرة واحدة فقط، لن تكون بهذه الصدفة”

👉 الواقع هو: على المهاجم فقط أن يرتكب “خطأ واحد” منك

⚠️ اتجاه جديد: هجمات بالذكاء الاصطناعي + التصيّد

• صفحات رسمية مُقلدة بشكل عالي

• إنشاء تلقائي لمحاورة خدمة العملاء

• نشر موجّه بدقة على المستخدمين المستهدفين

👉 أصبح من الصعب أكثر فأكثر تمييز الصحيح من المزيف لدى المستخدمين

مجموعة من أبسط مبادئ أمان DeFi

إذا لم تستطع تذكر كل الفحوصات، فتذكر هذه الثلاثة👇

• لا تُفوض عشوائيًا

• لا تنقر روابط مجهولة

• لا تُدخل كل أموالك في مشروع واحد

🔑 خلاصة بجملة واحدة: مخاطر DeFi ليست في الكود الذي لا تفهمه، بل في كل عملية تتجاهلها.

خاتمة

أتى DeFi بالانفتاح والحرية، كما جلب تحديات أمان جديدة تمامًا. من حادث Drift Protocol إلى هجمات التصيّد اليومية، أصبحت المخاطر منذ وقت طويل من “حدث متطرف” إلى “تهديد اعتيادي”.

في مواجهة بيئة السلسلة المعقدة على الإنترنت، ليس الحظ هو ما يحمي الأصول فعليًا، بل المعرفة والعادات.

إذا كنت لديك شكوك حول مشاريع DeFi التي تستخدمها حاليًا، يُنصح بإجراء فحص أمان في أقرب وقت ممكن.

👉 في عالم السلاسل، الأمان ليس بندًا إضافيًا، بل هو شرط الدخول.