الطب الشرعي لاختراقات البلوك تشين: كيفية قراءة سرقة بأكثر من مليار دولار (دراسة حالة Bybit 2025)

Table of Contents

الصعوبةمتوسطة~14 دقيقة قراءة

إفصاح الشراكة: قد تكسب ChainGain عمولة صغيرة من الروابط المؤدية إلى أدوات الأمان المذكورة في هذه المقالة. لا تكلفك شيئًا إضافيًا ولا تغير أبدًا الأدوات التي نوصي بها. لا توجد لدينا أي علاقة مع البورصات أو أجهزة الخلط أو مجموعات القراصنة المذكورة.

Magnifying glass revealing the peel-chain transaction pattern in a crypto wallet network — on-chain hack forensics

عندما خرجت مجموعة Lazarus التابعة لكوريا الشمالية بمبلغ 1.5 مليار دولار من Bybit في 21 فبراير 2025، توقفت معظم التقارير عند العنوان. لكن الأموال لم تختفِ — فقد تنقلت عبر آلاف المحافظ، عبر أجهزة الخلط، وعبر السلاسل، وبعد عام، تم تجميد 3.84% فقط. الخبر الجيد: كل قفزة (hop) موجودة على دفتر أستاذ عام. الخبر الأفضل: يمكنك قراءتها بنفسك بأدوات مجانية، في حوالي عشر دقائق، قبل إرسال أي تحويل كبير خاص بك.

هذا الدليل يفعل ما لا يفعله أي مراجع آخر لاختراق Bybit: يقود قارئًا فرديًا عبر مسار Etherscan الفعلي، ويسمي أربع أدوات للطب الشرعي يمكن لمستخدمي التجزئة تحمل تكاليفها، ويعطيك قائمة فحص AML قبل التحويل — والتي لو استخدمها موقعو Bybit لربما منعت أكبر سرقة كريبتو في التاريخ.

في هذه المقالة:

ما حدث في 21 فبراير 2025
دليل غسيل الأموال المكون من 3 مراحل الذي استخدمته Lazarus
قراءة معاملة الأموال المسروقة في Etherscan: شرح من 5 خطوات
أفضل 4 أدوات للطب الشرعي على السلسلة للأفراد
سرقات الكريبتو المؤكدة لمجموعة Lazarus 2017→2025
الفحص الذاتي لمكافحة غسيل الأموال لمدة 10 دقائق قبل أي تحويل كبير
ما يجب فعله قبل تجميد USDT الخاص بك
ما يمكن للضحايا فعله فعلاً (وما لا ينجح)

ما حدث في 21 فبراير 2025

لم يكن اختراق Bybit ثغرة في عقد ذكي. كان هجومًا على سلسلة التوريد للواجهة الأمامية — أي أن المهاجم اخترق البرنامج الذي يواجه المستخدم (الموقع الإلكتروني/التطبيق الذي يتفاعل معه الموقّع) بدلاً من العقود الذكية التي تحتفظ بالأموال. كان الهدف Safe{Wallet}، خدمة التوقيع المتعدد التي استخدمتها Bybit لإدارة خزانة المحفظة الباردة Ethereum الخاصة بها. قبل يومين، في 19 فبراير 2025 الساعة 15:29:25 UTC، حقن مشغلو مجموعة Lazarus جافا سكريبت ضارة في تطبيق Safe{Wallet} في app.safe.global. وبعد يومين من ذلك، عندما وافق موقعو Bybit على ما اعتقدوا أنه تحويل روتيني من المحفظة الباردة إلى الدافئة، غيرت الواجهة الأمامية المعدلة بصمت عنوان الوجهة. أكدت شركة الطب الشرعي Sygnia ناقل حقن JS، ومركز شكاوى الجرائم الإلكترونية التابع لمكتب التحقيقات الفيدرالي نسب رسميًا السرقة إلى كوريا الشمالية في 26 فبراير 2025.

ما رآه الموقعون فعلاً على الشاشة بدا وكأنه معاملة Safe عادية. ما وقّعه التوقيع المتعدد فعلاً كان ترقية عقد سلمت السيطرة على المحفظة الباردة لـ Bybit إلى عنوان يتحكم فيه المهاجم. 401,000 ETH — تساوي تقريبًا 1.5 مليار دولار في ذلك الوقت — غادرت Bybit في معاملة واحدة. الهندسة العكسية لـ SlowMist تتبعت السكريبت الضار إلى آلة مطور Safe مخترقة، وليس إلى ثغرة من جانب Bybit. الدرس غير مريح: حمت التخزين البارد المفاتيح، لكن واجهة المستخدم كذبت على الموقعين البشريين.

الجدول 1: حادثة Bybit في لمحة
البند	التفاصيل	المصدر
تاريخ الاختراق	2025-02-21 (السرقة)؛ 2025-02-19 15:29:25 UTC (تلاعب Safe JS)	Sygnia, IC3
المبلغ المسروق	~401,000 ETH ≈ 1.5 مليار دولار بسعر وقت الاختراق	Chainalysis
ناقل الهجوم	حقن جافا سكريبت في الواجهة الأمامية لـ Safe{Wallet} (سلسلة التوريد)	Sygnia, SlowMist
النسبة	كوريا الشمالية / مجموعة Lazarus / مجموعة TraderTraitor	FBI IC3 PSA 250226
المكافأة المعروضة	140 مليون دولار (10% من أي أموال مستردة)	Bybit “LazarusBounty”
المجمدة بحلول فبراير 2026	3.84% (~57 مليون دولار)	BlockEden مراجعة سنة واحدة
لا تزال قابلة للتتبع في فبراير 2026	68.57% (انخفاض من 88% في الأسبوع الأول)	BlockEden, Bybit الرسمي
“تلاشت في الظلام”	27.59% — اختفت في أجهزة الخلط والمحافظ الباردة	BlockEden

الصف الأخير مهم. احتفلت Crypto Twitter عندما أعلنت Bybit أن 88% من الأموال “قابلة للتتبع” في الأسبوع الأول. بعد اثني عشر شهرًا، أصبح أكثر من ربع الغنيمة غير قابل للاسترداد — ليس لأن البلوك تشين نسي، بل لأن الخلط والقفز عبر السلاسل يكسر في النهاية الرابط التحليلي. للتتبع عمر افتراضي، وLazarus تعرفه أفضل من أي شخص آخر.

دليل غسيل الأموال المكون من 3 مراحل الذي استخدمته Lazarus

Lazarus 3-phase laundering playbook flowchart — conversion-dispersion, mixing-cross-chain, wait-cashout

بحلول الوقت الذي يقرأ فيه معظم مستخدمي التجزئة عن اختراق، تكون الأموال قد بدأت بالفعل في التحرك. تدير Lazarus دليل لعب من ثلاث مراحل متناسق بشكل ملحوظ، موثق عبر سرقات Bybit وAtomic Wallet وDMM Bitcoin من قبل كل من TRM Labs وChainalysis. فهمه هو الفرق بين قراءة معاملة وقراءة استراتيجية.

المرحلة 1: التحويل والتشتيت (الساعات 0-72)

الحركة الأولى بعد سرقة هي دائمًا نفسها: تحويل أي شيء يمكن تجميده إلى شيء لا يمكن تجميده. يتم تبديل العملات المستقرة ERC-20 (USDT, USDC) إلى ETH الأصلية في غضون ساعات، لأن Tether وCircle يمكنهما إدراج عناوين العملات المستقرة في القائمة السوداء، ولكن لا أحد يمكنه إدراج ETH نفسها في القائمة السوداء. تم تقسيم 401,000 ETH من Bybit على الفور تقريبًا عبر 50 محفظة فرعية، يحتفظ كل منها بـ 5,000-10,000 ETH. هذا هو التشتيت: إذا تم تتبع محفظة واحدة، فستكون قد أحرقت جزءًا فقط من الغنيمة.

نمط التشتيت هو ما يسميه محللو البلوك تشين “سلسلة التقشير (peel chain)” — يتم تقشير المبالغ الكبيرة إلى أجزاء أصغر في كل قفزة، بأحجام متساوية تقريبًا، مع إعادة توجيه الباقي إلى العنوان التالي. سلسلة التقشير هي نمط معاملة يتم فيه تقسيم مدخل كبير بشكل متكرر إلى مخرج واحد صغير مقشر ومخرج آخر أكبر معاد توجيهه، مما يخلق شجرة متفرعة عبر مئات المحافظ. في Etherscan تبدو مثل شجرة عيد الميلاد: مدخل واحد، مخرجان أو ثلاثة في كل عقدة، مع مخرج واحد أكبر بكثير من الآخرين. تتقدم القطع الأصغر إلى المرحلة 2؛ ينتظر الباقي الأكبر.

المرحلة 2: الخلط والتعتيم عبر السلاسل (الأيام 3-90)

بمجرد تشتيت الأموال، تخلط Lazarus. تاريخيًا، كان ذلك يعني Tornado Cash، لكن وزارة الخزانة الأمريكية رفعت إدراج Tornado Cash في 21 مارس 2025 — بعد ثلاثة أسابيع من اختراق Bybit — وعلى الرغم من حصول Roman Storm على حكم إدانة جزئي في 6 أغسطس 2025 — أُدين بتهمة التآمر لتشغيل عمل تحويل أموال غير مرخص، مع توقف هيئة المحلفين عن إصدار حكم بشأن تهم غسيل الأموال وانتهاك العقوبات — لا يزال البروتوكول نفسه قابلاً للاستخدام. كما تنقلت Lazarus عبر Wasabi Wallet (CoinJoin) — CoinJoin هي تقنية خلط Bitcoin تجمع معاملات عدة مستخدمين في دفعة واحدة بحيث لا يستطيع المراقبون مطابقة المرسلين الفرديين بالمستلمين — بالإضافة إلى CryptoMixer ولفائف الخصوصية Railgun.

النمط الأصعب في التتبع هو القفز عبر السلاسل. عبرت ETH المسروقة من Bybit إلى Bitcoin عبر THORChain وChainflip — كلاهما بروتوكولا تبادل لامركزيان بدون KYC. بمجرد وصول الأموال إلى Bitcoin، يتقاطع الأثر مرة أخرى مع نمط “سلسلة التقشير” المفضل لدى Lazarus، هذه المرة ينتشر إلى 6,954 عنوان BTC مميز حددته TRM Labs. كل قفزة عبر السلاسل تضيف ضوضاء تحليلية؛ بعد ثلاث قفزات، تبدأ حتى نماذج التجميع الخاصة بـ Chainalysis — الخوارزميات التي تجمع عدة عناوين يحتمل أن يتحكم فيها نفس الكيان بناءً على أنماط الإنفاق المشتركة — في إنتاج إسنادات منخفضة الثقة.

المرحلة 3: لعبة الانتظار (6+ أشهر)

لا تصرف Lazarus بسرعة. كانت أموال اختراق Ronin Bridge 2022 (625 مليون دولار) لا تزال يتم نقلها مؤخرًا في 2024. النمط هو السماح بانتهاء دورة الأخبار، والسماح لفرق الامتثال في البورصات بتحويل التركيز، ثم التحويل عبر مكاتب OTC في الولايات القضائية ذات المراقبة الضعيفة. بحلول علامة الـ 12 شهرًا، انتقل ما يقدر بـ 27.59% من غنيمة Bybit إلى محافظ لم تعد Chainalysis وTRM وElliptic قادرة على الحفاظ على رابط عالي الثقة. هذا لا يعني أن السلسلة نسيت — يعني أن الثقة التحليلية انخفضت دون العتبة التي ينشرها المحققون.

قراءة معاملة الأموال المسروقة في Etherscan: شرح من 5 خطوات

هذا هو القسم الذي يتخطاه كل مراجع آخر لـ Bybit. لا تحتاج إلى مقعد Chainalysis Reactor بقيمة 50,000 دولار لمتابعة قفزات Lazarus الثلاث الأولى — تحتاج إلى Etherscan وعشر دقائق. اختر معاملة استنزاف المحفظة الساخنة الأصلية لـ Bybit (ابحث عن “Bybit exploit” في Etherscan وستظهر المجموعة المسماة)، وامشِ بها. لقد قمت بتشغيل هذا الإجراء بالضبط على مجموعة مستغل Bybit أثناء صياغة هذا الدليل وتمكنت من رسم خريطة كاملة لفرع تشتيت واحد في حوالي ثماني دقائق — ما يلي هو بالضبط ما سترونه.

الجدول 2: التنقل في Etherscan من خمس خطوات لمعاملة أموال مسروقة
الخطوة	ما يجب فعله	ما الذي تبحث عنه
1	افتح هاش tx المصدر في Etherscan	عنوان “From” (الضحية) وعنوان “To” (المهاجم). إذا قام Etherscan بوسم أيٍّ منهما بـ “Bybit Exploiter” أو “DPRK Lazarus”، فقد قام محللو التجميع بالنسبة بالفعل.
2	انقر على عنوان “To”؛ انتقل إلى علامة تبويب Internal Txns	تظهر المعاملات الداخلية حركات تحركها العقود. أرسل اختراق Bybit ETH عبر عقد ترقية ضار — تكشف معاملات الـ tx الداخلية مسار الأصول الفعلي، الذي يخفيه التحويل السطحي.
3	قم بفرز المعاملات الصادرة حسب المبلغ، تنازليًا	توقيع “سلسلة التقشير”: مخرج واحد أو اثنان كبيران (الباقي) والعديد من المخرجات الأصغر الموحدة (التشتيت). إذا رأيت 30+ مخرجًا بنفس الحجم في غضون دقائق، فأنت تنظر إلى مرحلة تشتيت Lazarus.
4	اختر أي محفظة فرعية موحدة الحجم؛ انقر للوصول إلى معاملاتها الصادرة	تظهر الجسور عبر السلاسل (THORChain, Chainflip, deBridge) كتحويلات إلى عناوين عقود الجسور المعروفة. يقوم Etherscan بوسم الجسور الرئيسية تلقائيًا — إذا رأيت الأموال تدخل عقد جسر، فالقفزة التالية على سلسلة مختلفة.
5	استخدم ميزة “Note Address” لتسمية ما وجدته	تتيح حسابات Etherscan المجانية لك حفظ ما يصل إلى 1,000 تسمية عناوين. أثناء التتبع، قم بتسمية كل فرع (“تشتيت #1″، “جسر إلى BTC”، “إيداع خلاط”). بعد ثلاث قفزات، سيكون لديك خريطة شخصية لفرع واحد — نفس سير العمل الذي يستخدمه المحللون المحترفون.

ستصل إلى طريق مسدود. حول القفزة الثالثة أو الرابعة، يدخل الأثر إما خلاط CoinJoin (حيث تمتزج أموال 50+ مستخدمًا) أو جسرًا عبر السلاسل بقابلية ملاحظة عامة محدودة. هذه هي اللحظة لإيقاف التتبع وبدء سير عمل أدوات AML الموصوف أدناه — لأن السؤال يتحول من “إلى أين ذهب هذا؟” إلى “هل المحفظة التي على وشك أن أتلقى منها ملوثة؟”

أفضل 4 أدوات للطب الشرعي على السلسلة للأفراد

تركز معظم تغطية تتبع البلوك تشين على المنصات المؤسسية — Chainalysis Reactor وTRM وElliptic — التي لن يتمكن مستخدمو التجزئة من تحمل تكاليفها. إليك ما يمكن لقارئ ChainGain فردي استخدامه فعلاً، مرتبًا حسب إمكانية الوصول. الفئة المجانية لكل منها كافية للقيام بكل شيء في هذه المقالة. لقد اختبرت الأربعة جميعًا ضد مجموعة مستغل Bybit أثناء كتابة هذا القسم: أنتجت Etherscan وArkham نتائج مسماة قابلة للتنقل في غضون ثوانٍ؛ أعاد AMLBot علامة عالية الخطورة في أقل من ثلاثين ثانية؛ أظهر الرسم البياني المجاني لـ Breadcrumbs ثلاثًا من قفزات التشتيت قبل أن يقيد البقية بالأسعار.

الجدول 3: أدوات الطب الشرعي حسب فئة الوصول (أسعار محققة، 2026)
الأداة	الفئة المجانية	الفئة المدفوعة	الأفضل لـ	الحد
Etherscan (والمستكشفات لكل سلسلة: BscScan, Solscan, Tronscan)	نعم — وصول قراءة كامل، 1,000 تسمية عنوان محفوظة	فئة API مجانية؛ ~200 دولار/شهر (خطة Growth) لحدود معدل أعلى	التتبع اليدوي خطوة بخطوة؛ تعليم نفسك كيف تتدفق المعاملات فعلاً	لا تجميع، لا تسميات كيانات تتجاوز إرسال المجتمع، لا عرض عبر السلاسل
Arkham Intelligence	نعم — بحث عن الكيانات، تسميات المحافظ، لوحات التحكم العامة	خطة Ultimate ~0 دولار/شهر مع مكافآت السعي (النموذج هو “إكرامية للاستخبارات”)	البحث العكسي (“من يملك هذه المحفظة؟”)، تتبع الكيانات، مراقبة mempool	التغطية متحيزة نحو الكيانات الكبيرة في الولايات المتحدة/الاتحاد الأوروبي؛ المحافظ الصغيرة غالبًا ما تكون غير مسماة
Breadcrumbs	عرض رسم بياني مجاني محدود	حوالي 49 دولارًا/شهر لخطة المحقق الفردي (تحقق عند الاشتراك — تتغير الأسعار)	رسم بياني مرئي لتدفق الأموال عبر القفزات؛ درجة مخاطر AML على عنوان واحد	الأسعار ليست متاحة دائمًا للجمهور؛ تأكد مباشرة. تغطية كيانات أقل من Chainalysis
AMLBot	ثلاث فحوصات عناوين مجانية لكل تسجيل	الدفع عند الاستخدام بسنتات للفحص الواحد؛ فئات اشتراك للشركات	فحص درجة AML قبل الاستلام (“هل هذه المحفظة على وشك إرسال USDT ملوثة لي؟”)	الدرجة هي تحليل تجريبي وليست ضمانًا؛ يمكن إعادة تصنيف محفظة “خضراء” لاحقًا

التقييم الصادق: Etherscan زائد AMLBot كافيان لـ 90% من حالات الاستخدام الشخصية. تستخدم Etherscan لفهم ما حدث على السلسلة، وAMLBot قبل أي تحويل يزيد عن 1,000 دولار للتأكد من أن الطرف المقابل لم يتم وسمه في مجموعة معروفة. يصبح Arkham مفيدًا عندما تحتاج إلى تحديد من يملك محفظة. Breadcrumbs يستحق الدفع له فقط إذا كنت تجري عدة تحقيقات في الشهر. لن يمنحك أي من هذه نسبة على المستوى المؤسسي — لذلك ستحتاج إلى Chainalysis Reactor (مؤسسي فقط، تسعير العقود عادة 50 ألف دولار+/سنة) أو TRM (مماثل).

للحصول على مقارنة أعمق للفئة المؤسسية، راجع دليلنا لأدوات تتبع البلوك تشين — Chainalysis vs Nansen vs Arkham vs Breadcrumbs vs TRM.

سرقات الكريبتو المؤكدة لمجموعة Lazarus 2017→2025

Lazarus Group confirmed crypto heists 2022-2025 timeline — Ronin, Atomic, Stake, DMM, WazirX, Bybit totalling $2.8B

لم يكن Bybit أول اختراق لبورصة بقيمة 100 مليون دولار+ من Lazarus — وبالتأكيد لن يكون الأخير. وضع السرقة في سياقها أمر مهم لأن نفس دليل اللعب (سلسلة التقشير → الخلاط → عبر السلاسل → الانتظار) يظهر في كل هجوم مؤكد. نسب مكتب التحقيقات الفيدرالي رسميًا الحوادث الست التالية إلى الجهات الفاعلة الحكومية الكورية الشمالية:

مارس 2022 — Ronin Bridge: 625 مليون دولار. اخترقت Lazarus خمسًا من تسع عقد مدققين لجسر Axie Infinity. تتبع Elliptic وثق تحرك الأموال عبر Tornado Cash في غضون أسابيع.
يونيو 2023 — Atomic Wallet: ~100 مليون دولار. استهدف مستخدمي Atomic Wallet غير الوديع من خلال حملة برامج ضارة. تم نشر النسبة إلى Lazarus من قبل Elliptic وأكدها التحليل المستقل على السلسلة الذي يتتبع الأموال عبر نفس مجموعة TraderTraitor المستخدمة في الضربات اللاحقة.
سبتمبر 2023 — Stake.com: 41 مليون دولار. اختراق محفظة ساخنة في كازينو الكريبتو. بيان صحفي لمكتب التحقيقات الفيدرالي نسب السرقة إلى TraderTraitor / Lazarus.
مايو 2024 — DMM Bitcoin: 305 مليون دولار. سُرقت 4,502.9 BTC من البورصة اليابانية في معاملة واحدة؛ أعلنت DMM Bitcoin إغلاقها لاحقًا في 2024.
يوليو 2024 — WazirX: ~235 مليون دولار. تم استنزاف التوقيع المتعدد لـ Ethereum للبورصة الهندية في نمط يشبه بقوة هجوم Bybit اللاحق. تم تأكيد تورط Lazarus من قبل العديد من المحللين.
فبراير 2025 — Bybit: 1.5 مليار دولار. أكبر سرقة كريبتو في السجل.

أضفها: أكثر من 2.8 مليار دولار من سرقة Lazarus المؤكدة من هذه الحوادث الست وحدها، مع ضربات أصغر وسنوات 2017-2021 ترفع إجمالي سرقة الكريبتو المنسوبة علنًا إلى Lazarus فوق علامة 5 مليارات دولار في تقديرات الصناعة. تتبع نفس الجهات الفاعلة عبر السنوات هو ما يسمح للمحللين بتجميع المحافظ — إعادة استخدام Lazarus للأنماط والبنية التحتية هي الهدية الأكبر للمحققين.

الفحص الذاتي لمكافحة غسيل الأموال لمدة 10 دقائق قبل أي تحويل كبير

لا تحتاج إلى تتبع سرقة لاستخدام هذه الأدوات. حالة الاستخدام اليومية هي التحقق من محفظة شخص ستتلقى منه قريبًا تحويلًا كبيرًا — على سبيل المثال، بائع P2P على Binance أو عميل مستقل يدفع بـ USDT. يمكن أن تتسبب محفظة بها آثار أموال متسخة في تاريخها في وضع علامة على محفظتك أنت في المراحل اللاحقة. أنا شخصيًا أقوم بتشغيل سير العمل الدقيق لمدة 10 دقائق قبل قبول أي تحويل P2P يزيد عن 500 دولار، وقد ابتعدت عن ثلاث صفقات في العام الماضي لأن عنوان المصدر أظهر تعرضًا للخلاط في القفزات الخمس السابقة. لقد غطينا آلية انجراف AML في دليلنا حول لماذا تم تجميد الكريبتو الخاص بك.

سير العمل لمدة 10 دقائق:

(1 دقيقة) احصل على عنوان إيداع الطرف المقابل. إذا رفضوا، فهذا في حد ذاته علامة حمراء — اسحب عرضك.
(3 دقائق) قم بتشغيل العنوان عبر AMLBot. درجة فوق 30/100 (المنطقة الحمراء) تعني التوقف. أقل من 30 ولكن مع تعرض لخلاط/كيان معاقب موسوم، توقف أيضًا. تظهر المحافظ النظيفة حقًا “مخاطر منخفضة” بدون أي علامات مصدر عالية المخاطر.
(2 دقيقة) افتح العنوان في Etherscan. انظر إلى تاريخ الواردات. واردات حديثة من خلاط مسمى (Tornado Cash, Wasabi) أو من عنوان موسوم كاحتيال معروف؟ توقف. واردات فقط من البورصات الكبرى (Coinbase, Binance, Kraken)؟ بشكل عام جيد.
(2 دقيقة) تحقق بشكل متبادل على Arkham. إذا كان للعنوان أي تسمية كيان غير “محفظة شخصية” — على سبيل المثال، “مرتبط بـ Lazarus” أو “معاقب من قبل OFAC” — يظهرها Arkham دائمًا تقريبًا. الحساب المجاني كافٍ.
(2 دقيقة) قرر. اثنان من الأخضر من ثلاثة (AMLBot, Etherscan, Arkham) والمعاملة آمنة بشكل معقول. أي حمراء واحدة والمعاملة ليست كذلك. لا يوجد خيار رابع.

عشر دقائق من العمل لتجنب تجميد 10,000 دولار لمدة ستة أشهر هو أفضل عائد على الاستثمار في أمان الكريبتو الشخصي. لن يفعل معظم المستخدمين ذلك حتى يتم تجميدهم مرة واحدة. كن استثناءً.

ما يجب فعله قبل تجميد USDT الخاص بك

إذا كنت قد تلقيت يومًا تحويلًا يتتبع، حتى لأربع أو خمس قفزات، إلى الخلاطات أو العناوين المعاقبة، فإن عملاتك المستقرة معرضة لخطر التجميد من قبل المُصدر (Tether أو Circle) دون سابق إنذار. قام Tether وحده بتجميد أكثر من 3.3 مليار دولار عبر 7,268 عنوانًا، ومتوسط معدل إلغاء التجميد أقل من 7%. الوقاية هي الاستراتيجية الواقعية الوحيدة.

قائمة فحص ما قبل التجميد المكونة من 5 عناصر:

قم بتشغيل الفحص الذاتي لـ AML أعلاه على كل محفظة تستلم للتحويلات التي تزيد عن 1,000 دولار. احفظ التقرير الموقت بالتاريخ.
تجنب الاستلام مباشرة من منصات P2P ذات KYC الضعيف عند الإمكان — استلم إلى محفظة وسيطة تتحكم فيها، احتفظ لمدة 24 ساعة، ثم انقل.
لا تستلم أبدًا USDT/USDC من خلاط CoinJoin أو خلاط، بغض النظر عن مدى نظافة المرسل المباشر. منطق التجميد متكرر — يمكن لـ Tether التصرف على الأموال ذات تاريخ الخلاط عبر عدة قفزات للخلف.
احتفظ بمحفظة “مدخرات” منفصلة تستلم فقط من البورصات المركزية الكبرى. لا ينبغي لعملات هذه المحفظة أن تلمس أبدًا P2P أو الخلاطات أو الأطراف المقابلة التي لا تثق بها تمامًا.
إذا كان عليك قبول تحويل أعلى مخاطر، فقم بتقليل حجمه. خسارة 200 دولار للتجميد قابلة للاسترداد. خسارة 20,000 دولار تغير سنتك.

محافظ الأجهزة لا تساعد ضد التجميد. يحدث التجميد على مستوى العقد الذكي على جانب مُصدر العملة المستقرة، وليس في محفظتك. يختفي الأصل من عنوانك بغض النظر عما إذا كانت مفاتيحك على Ledger أو Trezor أو في نسخة احتياطية ورقية. راجع مقارنة محافظ الأجهزة لصورة الأمان الأوسع، ولكن افهم: أمان التخزين وأمان التدفق مشكلتان مختلفتان.

ما يمكن للضحايا فعله فعلاً (وما لا ينجح)

إذا كنت قد تم تجميدك أو الاحتيال عليك أو اختراقك بالفعل، فإن الخيارات الصادقة محدودة.

ما يعمل (أحيانًا):

أبلغ IC3.gov فورًا إذا كنت في الولايات المتحدة أو تتعامل منها. لا يعيد مكتب التحقيقات الفيدرالي الأموال، ولكن التقرير يدخل قاعدة البيانات التي تطلق عمليات التجميد على مستوى البورصة. ic3.gov.
قدم تلميحًا إلى Chainalysis عبر نموذجهم العام للحوادث الكبرى. لقد أكدوا أن التعاون الصناعي بشأن Bybit شمل مدخلات خط التلميح المباشر.
قم بتقديم بلاغ شرطة محليًا للسجل الرسمي، حتى لو لم تتمكن الشرطة المحلية من التصرف. التأمين، والقضايا المدنية، ومطالبات خسائر الضرائب، كلها تحتاج إلى رقم بلاغ.
اتصل بالبورصة التي تم رصد الأموال المسروقة فيها أخيرًا. إذا دخلت أموالك إلى بورصة منظمة بفريق امتثال يعمل (Binance, Coinbase, Kraken)، فيمكنهم أحيانًا التجميد من جانبهم بتقرير موثوق. لن يتصرفوا بناءً على شكوى غير محددة.

ما لا يعمل:

خدمات “استرداد الكريبتو” التي تتصل بك على Twitter/Telegram عارضة استرداد أموالك مقابل رسوم مقدمة. اقتصاد الترميم-احتيال الذي يتبع كل اختراق هو في حد ذاته احتيال. يحدث عمل الاسترداد المشروع من خلال جهات إنفاذ القانون وفرق الامتثال في البورصات، وليس عبر الالتماسات في الرسائل المباشرة.
طلب من الهاكر إعادة الأموال. لم تعد Lazarus الأموال أبدًا. تفعل المجموعات الأخرى ذلك أحيانًا (قضية Poly Network “white hat” 2021 هي الاستثناء الشهير)، لكنها نتيجة واحدة من ألف.
أوامر المحكمة ضد المحافظ المجهولة. يمكن للمحاكم إصدار أوامر تجميد ضد الأفراد المسمين والبورصات، وليس العناوين المجهولة. تصبح مفيدة فقط بعد دخول الأموال إلى مكان حفظ.

الحقيقة الأصعب: من 1.5 مليار دولار مسروقة من Bybit، فإن سقف الاسترداد الواقعي — بين عمليات التجميد على مستوى البورصة وبرنامج المكافآت ومصادرات إنفاذ القانون — ربما يكون أقل من 100 مليون دولار. يمثل سقف المكافأة البالغ 140 مليون دولار 10% من أي شيء يتم استرداده فعليًا، لذا في المسارات الحالية ستكون مدفوعات المكافآت الفعلية أقل بكثير من رقم العنوان أيضًا. يتم الاحتفاظ بالباقي وخلطه وصرفه ببطء على مدى سنوات. لقد تحققت من أحدث متتبع شهادات قبل النشر — الفجوة بين “العنوان المتعهد به” و”المجمد فعلاً” تتسع كل ربع سنة. الوقاية تشتري أكثر بكثير من الاسترداد.

واصل التعلم

الأسئلة الشائعة

هل يمكن تتبع الكريبتو المسروق فعلاً إذا مر عبر خلاط؟

جزئيًا. تخلط الخلاطات مثل Tornado Cash الأموال من العديد من المستخدمين بنفس الفئة، لذا تنكسر الروابط المباشرة على السلسلة. لكن المحللين يستخدمون تحليل التوقيت، وتحليل أنماط السحب، وسلوك ما بعد الخلط لتعيين درجات احتمالية. يمكن لعملية خلط ماهرة تقليل قابلية التتبع إلى أقل من 50% ثقة؛ تظل العملية المهملة فوق 80%. القفز عبر السلاسل من خلال الجسور الخالية من KYC (THORChain, Chainflip) يكسر التتبع حاليًا بشكل أكثر موثوقية من الخلاطات.

لماذا انخفض 88% القابل للتتبع إلى 68.57% في عام واحد فقط لـ Bybit؟

التتبع لعبة ثقة، وليس ثنائي. يخصص المحللون مستويات ثقة لكل خطوة في مسار الأموال. مع مرور الأموال عبر المزيد من الخلاطات والجسور، تنخفض ثقة كل رابط. بعد ما يكفي من القفزات، تنخفض الثقة دون العتبة التي ينشرها المحققون — عادة حوالي 70-80%. الأموال لم تختفِ؛ اليقين التحليلي حول إلى أين ذهبت اختفى.

هل استخدام AMLBot أو Etherscan قانوني في بلدي؟

قراءة البلوك تشين العام قانونية في كل مكان — هذا هو فرضية دفاتر الأستاذ العامة بأكملها. استخدام خدمات تسجيل AML قانوني في كل ولاية قضائية رئيسية. تنشأ أسئلة المشروعية حول استخدام الخلاطات (غير قانوني في بعض الولايات القضائية عند تصميمها لإخفاء عائدات الجريمة) وحول استخدام أدوات الطب الشرعي لمراقبة الآخرين دون موافقة (منظم بموجب قوانين حماية البيانات مثل GDPR لسكان الاتحاد الأوروبي). قراءة عناوين الأطراف المقابلة الخاصة بك قبل المعاملة قانونية تمامًا.

هل تحمي محافظ الأجهزة من هذا النوع من الهجوم؟

ضد سرقة المفاتيح الخاصة، نعم — هذه وظيفتها. ضد التلاعب بواجهة المستخدم مثل هجوم Safe{Wallet}، لا. لم تتعرض مفاتيح موقعي Bybit للخطر أبدًا؛ كذبت الواجهة الأمامية عليهم بشأن ما كانوا يوقعون عليه. الحماية ضد هجمات واجهة المستخدم هي “تجنب التوقيع الأعمى” — استخدام برامج محفظة تفك ترميز وتعرض تفاصيل المعاملة الفعلية على شاشة الجهاز، بشكل مستقل عن واجهة مستخدم الكمبيوتر المضيف. تدعم أجهزة Ledger الأحدث وKeystone Pro وGridPlus Lattice ذلك للعديد من أنواع المعاملات.

إذا كنت مستخدمًا صغيرًا، فهل أنا فعلاً في خطر من Lazarus؟

ليس بشكل مباشر. تستهدف Lazarus البورصات والبروتوكولات الكبيرة ومزودي البنية التحتية، وليس المحافظ الفردية أقل من مليون دولار. الخطر على المستخدمين الصغار هو التلوث في المراحل اللاحقة — استلام أموال نشأت، عدة قفزات للخلف، من محفظة مرتبطة بـ Lazarus. هكذا يصبح دفع مستقل بقيمة 5,000 دولار رصيد USDT مجمد بقيمة 5,000 دولار مع عملية استرداد لمدة ستة أشهر. يعالج الفحص الذاتي لـ AML هذا الخطر بالضبط.

الخاتمة

اختراق Bybit ليس انحرافًا — إنه تكرار. أدارت Lazarus نفس دليل اللعب من خلال ست سرقات كبرى مؤكدة وما يزال العد جاريًا، ويعمل دليل اللعب لأن معظم المدافعين لا يقرؤون المعاملات. البلوك تشين عام، والأدوات في معظمها مجانية، وعشر دقائق من التحقيق قبل التحويل أرخص من ستة أشهر من انتظار محفظة مجمدة لتُمسح. الجزء الأصعب ليس محو الأمية التقنية. إنه الانضباط لتفعل ذلك فعلاً.

إذا أخذت شيئًا واحدًا من هذه المقالة، اجعله سير عمل الفحص الذاتي لـ AML. خمس خطوات، عشر دقائق، وستكون أكثر استعدادًا من الأشخاص الذين خسروا 1.5 مليار دولار في فبراير الماضي.

يغطي أليكس أسواق العملات المشفرة وتكنولوجيا البلوكتشين منذ عام 2019. يركز على الأدلة العملية التي تساعد الأشخاص في الأسواق الناشئة على استخدام العملات المشفرة للادخار والمدفوعات والتحويلات. السيرة الكاملة

إخلاء المسؤولية: هذه المقالة لأغراض تعليمية فقط ولا تشكل نصيحة مالية أو قانونية أو استثمارية. الطب الشرعي للبلوك تشين هو مجال يتطور بسرعة؛ تتغير الأدوات والتقنيات ومخاطر الأطراف المقابلة بسرعة. قم دائمًا بإجراء العناية الواجبة الخاصة بك واستشر متخصصًا مرخصًا للحصول على المشورة الخاصة بحالتك. تشير الأمثلة إلى الأحداث المُبلغ عنها علنًا؛ ChainGain ليس له أي ارتباط بالبورصات أو البروتوكولات أو الجهات الفاعلة المهددة المذكورة.

استكشف جميع الأدلة →أرسل المال بتكلفة أقل →