تشريح عملية استنزاف العملات المشفرة: كيف اختفى 1.93 مليار دولار في غضون 6 أشهر
برنامج «دريينر» لا يسرق عبارة البذور الخاصة بك. بل يسرق التوقيع. بنقرة واحدة — نقرة واحدة على زر «المطالبة» أو «التحقق» أو «ربط المحفظة» الخاطئ — ستقوم سلسلة من العقود الذكية المعدة مسبقًا بتفريغ رصيدك قبل أن تتمكن حتى من رفع إصبعك عن لوحة التتبع.
ما هو «المستنزف» في الواقع؟
A مستنزف العملات المشفرة هي أداة تصيد مصممة خصيصًا لـ Web3. وهي لا تحاول التصيد للحصول على كلمة مرورك أو استخراج مفتاحك الخاص. بل إنها تدفعك إلى توقيع معاملة — عادةً ما يكون approve(), setApprovalForAll()، أو خارج السلسلة Permit رسالة — تمنح المهاجم صلاحية التحكم في أصولك كما يشاء. تظل المحفظة «ملكك»، أما الأموال فلا.
هذا النموذج يتسم بكفاءة فائقة لأنه يستغل بشكل مفرط شرعي العناصر الأساسية لسلسلة الكتل. لا يتعرض مفتاحك الخاص للخطر أبدًا. ولا توجد برامج ضارة على جهازك. هناك توقيع واحد فقط، في معاملة واحدة، سيراه محللو السلسلة ولا يمكن لأي سلطة إلغاء تأثيره.
وفقًا لـ Chainalysis، فإن «الدرينر» هو «أداة تصيد مصممة لنظام Web3» تتظاهر بأنها تطبيق لامركزي (dApp) شرعي. Group-IB, مركز أبحاث تشيك بوينت، و ScamSniffer لقد قمنا بتصنيف آلاف الحملات التي بُنيت على هذه الآلية بالذات.
سلسلة القتل المكونة من 6 خطوات
كل هجوم من هجمات «دريينر» — «إنفيرنو»، و«بينك»، و«أنجل»، و«إم إس»، و«كلينكسينك»، و«روجينغ»، والعشرات من الفروع التي لم تُسمَّ بعد — يتبع نفس المراحل الست. ويكمن البراعة في ضغط كل هذه المراحل في الثواني القليلة التي تفصل بين اتصال المحفظة وتأكيد المعاملة.
1. الطُعم
عمليات التوزيع الجوي المزيفة، والإعلانات المدعومة من Google/X، والحسابات الموثقة التي تم اختراقها (الـ حسابات هيئة الأوراق المالية والبورصات (SEC) وشركة مانديانت (وقد استُخدم كلاهما كـ«مكبرات صوت» لسرقة البيانات)، وروبوتات التحقق على «ديسكورد»، وعمليات إصدار NFT مزيفة، ودعوات «حصريّة» للنسخة التجريبيّة، وعمليات احتيال تتعلق بترخيص حقوق الملكية الفكرية. ومهما كان الشكل الذي تتخذه هذه الحيل، فإن الهدف هو جذبك إلى نطاق يسيطر عليه المهاجم.
2. الاتصال
تضغط على «Connect Wallet». [REDACTED]، Rabby، WalletConnect، [REDACTED] — كلها جيدة، وكلها متوقعة. أصبح الآن جافا سكريبت «drainer» يتمتع بحق الوصول للقراءة إلى كائن محفظتك عبر window.ethereum (أو ما يعادله)، ويبدأ في إطلاق النار eth_call الطلبات التي تُنفَّذ في الخلفية.
3. الاستطلاع
يقوم أداة الاستخراج بإحصاء أصولك: الرصيد الأصلي، ورموز ERC-20، ومجموعات NFT، ومراكز DeFi عبر سلاسل متعددة. وتستعين بأدوات تحديد الأسعار على غرار CoinGecko لتحويل قيم كل شيء إلى الدولار الأمريكي. وتتوفر حزم مميزة مثل مصرف «إنفيرنو» تخزين إعداداتهم على السلسلة (BNB Chain) بحيث يمكن تحديثها دون الحاجة إلى إعادة نشر الحمولة البرمجية لـ JS.
4. التوقيع
يطالبك التطبيق اللامركزي (dApp) بـ«التحقق من الملكية»، أو «المطالبة بالهدية الجوية»، أو «الموافقة على التحصيل»، أو «التوقيع للدخول». وتظهر واجهة مستخدم المحفظة ما يبدو أنه رسالة بريئة. لكن في الواقع، تم اختيار بيانات الاستدعاء (calldata) بعناية لتعظيم الضرر — انظر القسم التالي.
5. تصريف المياه
بمجرد توقيعك، يتصل المهاجم transferFrom() من محفظة منفصلة (الفصل التشغيلي — «العنوان» الذي تلقى الموافقة لا يكون أبدًا «المستلم» الذي يحتفظ بالغنائم). تجمع الحزم المميزة بين ETH الأصلي، ورموز ERC-20، و NFTs من نوع ERC-721/1155، وعمليات التحويل عبر Permit2 في معاملة واحدة multicall. زمن الاستجابة الصافي من التوقيع إلى تحويل الأموال: ثوانٍ.
6. غسل
تتدفق الأموال عبر SushiSwap / Uniswap (حيث تُدرج معظم أدوات الأمان منصات التداول اللامركزية الشرعية عمدًا في قائمة المسموح بها)، ثم عبر الجسور إلى سلاسل بلوكشين أخرى، ثم عبر فروع Tornado Cash، ثم إلى Monero. و $284M [REDACTED] incident انتهى بها المطاف في XMR في غضون ساعات.
محفظتك (قبل التوقيع)
عقد «Attacker» (بعد توقيع واحد)
واحد موقّع Permit2 يمكن لهذه الرسالة الموافقة على الدفعة بأكملها. لا يوجد تأكيد ثانٍ. ولا توجد إمكانية استرداد.
الحمولات القاتلة الأربع
يستخدم كل مُصفّي في البيئة الحرة مزيجًا ما من هذه العناصر الأساسية الأربعة. وكل عنصر منها هو شرعي معيار ERC أو طريقة RPC. لا يوجد «تصحيح» — بل الوعي فقط.
1. approve(spender, type(uint256).max) — إنفاق غير محدود وفقًا لمعيار ERC-20
الطريقة التقليدية. تقوم بالموافقة على عقد توكن بالمبلغ الأقصى الممكن (2^256 − 1) إلى عنوان مُنفِّق لا تخضع لسيطرتك. ثم يقوم المُنفِّق — أي المهاجم — باستدعاء transferFrom(you, attacker, balance) في الوقت الذي يناسبهم. وتظل الموافقة سارية إلى الأبد ما لم تقم بإلغائها صراحةً عبر Revoke.cash أو العقد الرمزي مباشرةً.
2. setApprovalForAll(operator, true) — مجموعة NFT الكاملة
أسوأ من الموافقة على معيار ERC-20، لأن الأمر نظام «كل شيء أو لا شيء» لكل مجموعة. توقيع واحد = أصبح بإمكان المهاجم الآن التحكم في كل NFT موجود في ذلك العقد. هكذا خسر سيث غرين 4 قطع من «Bored Apes» في عام 2022، وهكذا خسر ضحية واحدة 14 قطعة من «BAYC» جراء عملية الاحتيال المزيفة المتعلقة بترخيص «Forte Pictures» في ديسمبر 2022.
3. EIP-2612 / التوقيعات خارج السلسلة باستخدام Permit2
هذا هو 2024–2026: السلاح المفضل. بدلاً من أن يكون على السلسلة approve() (وهو ما يستهلك غازًا ويؤثر بشكل واضح على رصيدك)، يقوم المهاجم بجمع توقيع EIP-712 خارج السلسلة عبر eth_signTypedData_v4. لا توجد معاملة. ولا توجد رسوم غاز من جانبك. مجرد نافذة منبثقة تقول «وقع على هذه الرسالة». ومن المعروف أن واجهة مستخدم المحفظة الخاصة بالتوقيع على البيانات المكتوبة صعبة القراءة، وواجهة Uniswap التصريح رقم 2 يحول توقيعًا واحدًا إلى موافقات على عدة رموز في آن واحد.
انظر دراسة الحالة الكاملة لـ «Permit2» من «Blockaid» للاطلاع على دليل تفصيلي للهجوم الفعلي، بما في ذلك حيلة التوجيه عبر SushiSwap التي تخفي استنزاف ETH داخل ما يبدو وكأنه عملية مبادلة عادية.
4. الهندسة الاجتماعية المباشرة باستخدام عبارة البذرة
ليس «مُستنزفًا» من الناحية الفنية وفقًا للتعريف الضيق — لكنه النوع الذي سيحقق أعلى عائد في عام 2026. الـ حادثة تريزور في يناير 2026 لم يتم تجاوز أي تشفير. اتصل «موظف دعم» بالضحية، ووجهها خطوة بخطوة خلال عملية «تحقق» مزيفة، وحملها على تلاوة «بذرة الاستعادة» بصوت عالٍ. النتيجة: 1,459 BTC + 2.05 مليون لايتكوين = 284 مليون دولار، 71% من إجمالي خسائر السرقة في مجال العملات المشفرة خلال ذلك الشهر، تم تحويلها إلى عملة «مونيرو» قبل أن تتناولها وسائل الإعلام.
تمنع المحافظ المادية استخراج المفاتيح عن بُعد. لكنها لا تمنعك من إدخال «البذرة» الخاصة بك في موقع إلكتروني تابع لمحتال. استخدم عبارة المرور BIP-39.
اقتصاد «التصريف كخدمة»
لا يكتب أي من الأشخاص الذين يسرقون أموالك فعليًّا هذا البرنامج. إنهم الإيجار إن خدمة «Drainer-as-a-Service» (DaaS) هي سوق B2B تم تسليعها بالكامل، وتتميز بوجود علامات تجارية، ومستويات تسعير، وقنوات دعم، وإصدارات جديدة، فضلاً عن ضغط واضح لخفض عمولات المشغلين.
تكلفة الانضمام للعضو التابع: أ $5,000–$10,000 deposit، وأحيانًا مجموعة أدوات جاهزة للاستخدام لهذا الغرض. ويحتفظ الشريك التابع بنسبة تتراوح بين 75 و95% من الأموال المسروقة، ويحيل جميع الأمور الفنية — مثل الحمولة البرمجية JS، والعقود الذكية، والاستضافة، وقنوات Pipeline لغسل الأموال، وحتى الدعم عبر [REDACTED] على مدار الساعة — إلى المشغل. SentinelOne وـ الدراسة الأكاديمية الخاصة بـ IMC 2025 تتبع سلسلة التوريد بالتفصيل.
ولهذا السبب لا تكفي عمليات الإزالة المؤقتة التي تشبه لعبة «ضرب الفأر» — ولهذا السبب مسجّنو النطاقات الذين يتجاهلون حالات إساءة الاستخدام هي العقبة الحقيقية. وقد قامت THE ENABLERS REGISTRY بتوثيقها والإبلاغ عنها أكثر من 16,000 نطاق مرتبط بـ «إنفيرنو» وحده.
المؤشرات التحذيرية التي يجب الانتباه إليها قبل التوقيع
يُعد مربع حوار التوقيع خط الدفاع الأخير. إذا كان أي من هذه الشروط صحيحًا، إلغاء — لا يوجد أي تدفق مشروع يستلزم وجودها:
- لقد وصلت إلى هنا عبر نتيجة بحث مدعومة، أو رسالة خاصة، أو رابط في البريد الإلكتروني. تعرضت نتائج البحث المدعومة عن العملات المشفرة للاختراق في جميع محركات البحث الكبرى. احرص دائمًا على الوصول إلى المواقع من خلال الإشارات المرجعية.
- التوقيع هو «مجاني» / «بدون رسوم» / «خارج السلسلة». هذا توقيع خارج السلسلة على غرار «Permit2». اقرأ حقول البيانات المكتوبة. إذا
spenderإذا كان الأمر غير مألوف، فابتعد عنه. - المبلغ هو
uint256.max,0xfff…fff، أو «غير محدود». لا يحتاج أي تدفق مشروع تقريبًا إلى موافقة غير محدودة. - الدالة هي
setApprovalForAllعلى مجموعة لا تعرفها. أو لـ«منصة» غير [REDACTED] أو Blur أو LooksRare. - يطلب منك الموقع التبديل بين السلاسل فور الاتصال. حلقة الاستخراج متعددة السلاسل قيد التنفيذ.
- تم نشر عقد الوجهة منذ أقل من 7 أيام. تقوم وحدات «الاستنزاف» من فئة «إنفيرنو» بتبديل العقود المؤقتة كل 24 ساعة.
- تشعر بأنك في عجلة من أمرك. مؤقتات العد التنازلي، مثل «تنتهي العروض بعد 4:32»، و«لم يتبق سوى 12 مكانًا» — كل قالب من قوالب «Drainer» يأتي مزودًا بهذه العناصر.
- "خدمة دعم العملاء" هي التي تواصلت معك أولاً. [REDACTED]، و[REDACTED]، و[REDACTED]، وNASDAQ:COIN، وLEI:5493004F7TI6QBM4WX72 — لا يرسل أي منها رسائل خاصة إليك. أبدًا.
كيف تدافع عن نفسك فعليًّا
- فصل المحافظ. محفظة باردة (الأجهزة، غالبية الثروة الصافية) → محفظة ساخنة تشغيلية (نشاط لمدة أسبوع إلى أسبوعين) → محفظة مؤقتة (أي شيء جديد، رصيد يقارب الصفر). لا تقم أبدًا بربط المحفظة الباردة بتطبيق لامركزي جديد.
- محفظة مادية + عبارة مرور BIP-39. عبارة المرور هي الفارق بين «حادثة تريزور بقيمة 284 مليون دولار» و«حصول المهاجم على البذرة الخاصة بك دون أن يعثر على أي شيء». احفظها عن ظهر قلب. لا تقم بتخزينها رقميًّا.
- أجهزة محاكاة المعاملات.بلوكايد, حارس المحفظة، Pocket Universe، Fire — قم بتثبيت أحدها. فهي تُظهر الفرق الفعلي في الرصيد قبل التوقيع.
- أضف جميع التطبيقات اللامركزية (dApps) إلى المفضلة. لا تكتب أبدًا كلمة «uniswap» في محرك بحث «جوجل». ولا تنقر أبدًا على الروابط المتعلقة بالعملات المشفرة على مواقع التواصل الاجتماعي. فالنتائج المدعومة تكون خاطئة في كثير من الأحيان أكثر مما تتصور.
- قم بمراجعة الموافقات التي أصدرتها أسبوعيًا.Revoke.cash يعرض جميع التخصيصات النشطة عبر كل سلسلة. قم بإلغاء أي تخصيص لا تستخدمه فعليًّا.
- قم بتصفح أي موقع غير مألوف عبر موقع مؤقت أولاً. أفرغ المحفظة، وانظر ما الذي تطلبه، ثم قرر ما إذا كانت تستحق أن تكون محفظة حقيقية أم لا.
- قم بتعطيل ملحقات المتصفح في ملف تعريف المحفظة. ملف تعريف متصفح منفصل (أو نافذة Brave Tor) مخصص لـ Web3 فقط. الإضافات هي مصدر معروف لاستنزاف الموارد — انظر تحليل سلسلة التوريد لـ [REDACTED] عبر npm.
- تحقق من سمعة النطاق. الصق عنوان URL في تقارير نطاق THE ENABLERS REGISTRY، أو urlscan، أو روبوتنا على [REDACTED]. إذا كنا قد شاهدناه بالفعل، فسيتم وضع علامة عليه.
إذا كنت قد وقّعت بالفعل: قم بذلك خلال الـ 60 ثانية القادمة
- توقف. لا توقع على أي شيء آخر، بما في ذلك المطالبات المتعلقة بـ«الإصلاح» أو «الاسترداد» — فهذه عمليات احتيال من المرحلة الثانية تستغل حالة الذعر التي تنتابك.
- انقل كل ما لم يتم تصريفه بعد. قم بإنشاء محفظة جديدة تمامًا (يفضل أن تكون محفظة أجهزة)، وانقل الأصول المتبقية إليها. ابدأ بالأصول الأعلى قيمة أولاً. تعامل مع كل العنوان المستمد من المفتاح المخترق يُعتبر محفوظًا بشكل دائم.
- إلغاء الموافقات على المحفظة المخترقة عبر Revoke.cash — لكل سلسلة، وليس فقط إيثريوم. هذا سباق مع الأتمتة التي يستخدمها المهاجم.
- قم بتوثيق كل شيء. تجزئات Tx، وعناوين المهاجمين، والطوابع الزمنية، وعنوان URL الدقيق لموقع التصيد. لقطة شاشة قبل إغلاق علامة التبويب.
- تقرير. تقديم الملف إلى مركز IC3 التابع لمكتب التحقيقات الفيدرالي (FBI)، ووحدة مكافحة الجرائم الإلكترونية المحلية، والبروتوكولات المتضررة (مثل Uniswap و[REDACTED] وغيرها — حيث تقوم أحيانًا بتجميد المشتقات)، وإرسال رابط التصيد الاحتيالي إلى @EnablersRegistry لذا فإننا ندمر البنية التحتية للضحية التالية.
- في حالة الكشف عن عبارة البذرة: المحفظة قد ضاعت. توقف عن محاولة «تأمينها». امضِ قدماً، وابدأ من جديد، واستفد من هذه التجربة.
"أدوات استنزاف البيانات لا تخترق التشفير. بل إنها تدحض الافتراض القائل بأن البشر قادرون على قراءة بيانات المكالمات بالسرعة التي تطلبها منهم المحافظ. ما أن تتباطأ عملية التوقيع الواحد، حتى تنهار صناعة السرقة برمتها."
المصادر والمزيد من القراءات
- Chainalysis — مستنزفو العملات المشفرة: تهديد يواجه الويب 3
- Group-IB — التحقيق في قضية «إنفيرنو درينر»
- مركز أبحاث «تشيك بوينت» — إنفيرنو درينر: النسخة المُحدَّثة
- ScamSniffer — حوادث «بينك درينر 2024»
- Blockaid — تفصيل خطوة بخطوة لعملية سرقة عملات مشفرة
- BleepingComputer — اختراق «مانديانت X» عبر «كلينكسينك»
- "سايبر ديلي" — اختراق «مانديانت» = حملة تكلفتها 900 ألف دولار
- SentinelOne — صعود نموذج «Drainer كخدمة»
- Gurucul — إساءة استخدام ميزة الموافقة في المحفظة → هجمات Web3 بمساعدة البرامج الضارة
- [REDACTED] — هجوم على سلسلة التوريد عبر npm يستهدف حزم Web3
- AInvest — تحليل تريزور لشهر يناير 2026: 284 مليون دولار
- البرنامج الأكاديمي لـ IMC 2025 — دراسة قياس اقتصاد «الخدمة كخدمة» (DaaS)
- THE ENABLERS REGISTRY — شركات التسجيل التي تتيح ارتكاب عمليات الاحتيال العالمية
- THE ENABLERS REGISTRY — تحليل عملية إزالة عملية تصيد احتيالي
- THE ENABLERS REGISTRY — قائمة التهديدات التي يتم إزالتها في الوقت الفعلي (أكثر من 130 ألف تهديد نشط)
كيف يتعامل موقع THE ENABLERS REGISTRY مع المتطفلين
نحن مجموعة مشغلين غير هادفة للربح. نبحث عن البنى التحتية المستنزفة على مدار الساعة طوال أيام الأسبوع عبر محركات البحث (SEO) والإعلانات المدفوعة ومنصة [REDACTED] ومنصة X ومنصة [REDACTED] ومصائد المسجلين، ثم نقوم بإيقافها.
- 785 ألف+ نطاقات التصيد الاحتيالي والخداع التي تم تتبعها منذ عام 2019.
- 89 ألف+ تقارير الإساءة المقدمة إلى جهات التسجيل ومزودي خدمات الاستضافة.
- 50+ تستفيد شركات برمجيات مكافحة الفيروسات ومنصات معلومات التهديدات من موجزنا.
- <0.5% معدل النتائج الإيجابية الكاذبة عبر أكثر من 100 ألف تقرير تم التحقق من صحتها.
- مجاني، عام، غير قابل للتعديل أرشيف الأدلة حول GitHub + HuggingFace.
هل لاحظت وجود موقع غير صالح؟ أرسل رابط URL إلى @EnablersRegistry. سنقوم بتقديم تقرير الإبلاغ عن الإساءة قبل أن يبرد قهوتك.
