سجلت DefiLlama 518 عملية اختراق للعملات المشفرة وأكثر من 17 مليار دولار خسائر في 10 سنوات، مع تحول المهاجمين من العقود الذكية إلى المفاتيح والجسور والمحافظ، حيث خسرت rsETH حوالي 290 مليون دولار.
تجاوزت فاتورة أمان العملات المشفرة بهدوء 17 مليار دولار على مدار العقد الماضي، وفقًا لبيانات DefiLlama التي نقلتها Cointelegraph، مع ما لا يقل عن 518 عملية اختراق واستغلال موثقة استهدفت منصات التداول وبروتوكولات التمويل اللامركزي (DeFi) والجسور والمحافظ منذ عام 2014. يشمل هذا الرقم كل شيء من انهيارات منصات التداول المبكرة إلى هجمات سلاسل الكتل المتقاطعة المتطورة اليوم، ويأتي هذا حتى مع تباطؤ الوتيرة الإجمالية لعمليات الاستغلال الكبيرة على السلسلة من سنوات الذروة الجنونية مثل 2021-2022.
تحت السطح، تتغير تركيبة هذه الخسائر. فبينما كانت اختراقات التمويل اللامركزي المبكرة غالبًا ما تعتمد على أخطاء العقود الذكية ومنطق قروض الفلاش غير الخاضع للتدقيق، تُظهر الحوادث الأخيرة أن المهاجمين يستهدفون بشكل متزايد "الأنسجة الرخوة" المحيطة بالعملات المشفرة — المفاتيح الخاصة، وبنية التوقيع التحتية، وأجهزة المستخدمين — من خلال سرقة بيانات الاعتماد، والهندسة الاجتماعية، وهجمات تبديل بطاقة SIM. أخبرت شركات الأمن Cointelegraph أنها تتوقع أن يحمل عام 2026 المزيد من هجمات التصيد الاحتيالي المتقدمة والاحتيالات بمساعدة الذكاء الاصطناعي القادرة على خداع المستخدمين حتى ذوي الخبرة التقنية لدفعهم إلى توقيع معاملات ضارة أو الكشف عن عبارات الاسترداد (seed phrases).
كانت البنية التحتية للجسور نقطة ضعف خاصة. تُظهر لوحة معلومات اختراقات DefiLlama أن الجسور تمثل ما يقرب من 3 مليارات دولار من أصل حوالي 11.8 مليار دولار تصنفها على أنها "القيمة الإجمالية المخترقة"، مع حوادث فردية كبيرة مثل استغلال Ronin وWormhole وMultichain التي حددت نبرة المخاطر عبر السلاسل. أحدث إضافة إلى تلك القائمة هو جسر rsETH الخاص بـ Kelp DAO عبر السلاسل، والذي تعرض للاختراق في 18 أبريل بعد أن قام مهاجم بتزوير رسالة عبر السلاسل على رابط قائم على LayerZero وقام بسك أو تحرير 116,500 rsETH إلى عنوان يسيطر عليه المهاجم.
كانت تلك الرموز — التي تمثل إيثر "مُعاد التخزين" (restaked Ether) — تبلغ قيمتها حوالي 290-293 مليون دولار في ذلك الوقت، أو ما يقرب من 18% من إجمالي المعروض من rsETH، وقد وصفتها وسائل إعلام بما في ذلك بلومبرج بأنها أكبر استغلال للتمويل اللامركزي (DeFi) في عام 2026 حتى الآن. أجبر الحادث Kelp DAO على إيقاف الجسر مؤقتًا، وتنسيق الاستجابات الطارئة مع منصات التداول والبروتوكولات، وأثار لومًا متبادلًا حول تكوين LayerZero الافتراضي للمدقق الفردي، والذي يرى النقاد أنه ترك النظام على بعد "مفتاح واحد" من عملية سك كارثية.
حتى بعيدًا عن عمليات الاستغلال التي تتصدر العناوين، تستمر اختراقات بيانات الاعتماد اليومية في إحداث أضرار. تُظهر بيانات DefiLlama التي نقلتها Cointelegraph أنه في الربع الأول من عام 2026 وحده، سرق المتسللون حوالي 168.6 مليون دولار من 34 بروتوكولًا للتمويل اللامركزي (DeFi)، مع أكبر ضربة فردية — سرقة Step Finance بقيمة 40 مليون دولار — التي تعود إلى اختراق مفتاح خاص بدلاً من خطأ برمجي بحت. يشير هذا الاتجاه إلى أن أمان العقود الذكية في التمويل اللامركزي يتصلب ببطء، بينما يستجيب المهاجمون بالانتقال إلى الأدوات والعمليات البشرية التي تقع بين المحافظ والبروتوكولات.
بالنسبة للمستخدمين والفرق، الدرس قاسٍ ولكنه واضح: التدقيق والتحقق الرسمي ضروريان، لكنهما غير كافيين. أصبحت المفاتيح المادية (Hardware keys)، ومخططات التوقيع المتعدد (multi‑sig schemes)، وأجهزة التوقيع المنفصلة، وسياسات إدارة المفاتيح الصارمة، والنظافة المستمرة ضد التصيد الاحتيالي، بنفس الأهمية لحماية العملات المشفرة مثل تحسينات رسوم الغاز ومكافآت الأخطاء — لأنه يكفي اختراق بيانات اعتماد واحدة لتحويل سطر آخر في قاعدة بيانات اختراقات DefiLlama إلى خسارة من تسعة أرقام.
