إذا كنت في حالة ذعر الآن، انتقل مباشرة إلى قسم أول 60 دقيقة أدناه. كل قسم آخر هو سياق وتنظيف لبعد اكتمال الفرز الفوري. الهدف في الساعة الأولى بسيط: أنقذ ما لا يزال يمكن إنقاذه، أوقف ما لا يزال يتحرك، وتجنب تفاقم الوضع بمعاملة متسرعة. بمجرد توقف النزيف، يرشدك باقي هذا الدليل عبر قائمة التحقق في 24 ساعة وقائمة التحقق في 7 أيام وكيف تتأكد من عدم حدوث الاستنزاف التالي.

أول 60 دقيقة: ما يمكنك إنقاذه فعلاً

هذا القسم الأعلى أولوية. اقرأ كل خطوة قبل لمس أي مفتاح. معاملة خاطئة واحدة من الجهاز الخطأ وتخسر الأصول التي كانت لا تزال قابلة للإنقاذ.

  1. لا تحرّك المحفظة المخترقة. المهاجم لديه سكريبت كاسح يراقب عنوانك. في اللحظة التي يصل فيها غاز جديد أو رموز إلى تلك المحفظة، يُطلَق الكاسح ويسحبها. إرسال ETH أو SOL أو أي رمز محلي "لدفع رسوم الغاز للإنقاذ" هو الطريقة التي تخسر فيها ضحايا المرحلة الثانية جولة ثانية.
  2. تحقق مما هو لا يزال مقفلاً وغير مطالَب به. افتح المحفظة في وضع القراءة فقط على جهاز نظيف وابحث عن عقود الاستحقاق والرموز المرهونة ومراكز LP المقفلة وتخصيصات إسقاط جوي معلقة وNFTs في الضمان. هذه الأصول ليست في متناول المهاجم المباشر بعد وقد تكون قابلة للإنقاذ إذا تصرفت بعناية.
  3. أنشئ عبارة بذور جديدة على جهاز نظيف. المحفظة المادية مثالية. إذا لم يكن لديك واحدة، استخدم هاتفاً ممسوحاً حديثاً أو حاسوباً لم يحتفظ قط بعبارة البذور المخترقة. اكتب عبارة البذور الجديدة على ورق، لا في مدير كلمات مرور أو لقطة شاشة أو ملاحظة سحابية.
  4. أبطل كل موافقة رمز، على كل سلسلة. استخدم revoke.cash أو موافقات Etherscan للرموز أو أدوات الإبطال الأصلية على Solana وBase وArbitrum وPolygon وBNB وأي سلسلة أخرى استخدمتها المحفظة. كثير من عمليات الاستنزاف تستخدم موافقات Permit2 أو ERC20 المفتوحة التي تستمر في العمل لفترة طويلة بعد السرقة الأولية. إذا لم تُبطل، يمكن سحب أي شيء تستلمه لاحقاً.
  5. انقل الأصول القابلة للإنقاذ إلى المحفظة الجديدة. افعل هذا من جهاز توقيع نظيف. قم بإلغاء الرهن والخروج من LP والمطالبة بالرموز المستحقة ونقل NFTs. أرسل إلى العنوان الجديد فقط، ليس إلى عنوان إيداع بورصة من المحفظة المخترقة، لأن بعض البورصات تجمّد الحسابات المرتبطة بمصادر مُعلَمة.
  6. لا تتسرع. المعاملات البطيئة المتأنية تفوز هنا. نقرة واحدة خاطئة والغاز الذي أرسلته للتو يُطعم الكاسح. إذا بدت خطوة محيّرة، توقف وأعد قراءتها. أربعون دقيقة من العمل الدقيق تتفوق على أربع دقائق من الذعر.

كيف حدث الاستنزاف فعلاً

معرفة الناقل مهمة، لأنها تخبرك بما آخر على جهازك مخترق. في تقريباً كل حالة نراها، يعود الاستنزاف إلى أحد خمسة أسباب جذرية. اقرأ هؤلاء بعناية، لأن الذي أصابك يخبرك أيضاً بعمق التنظيف المطلوب.

  1. نقرت على رابط تصيد احتيالي ووقّعت موافقة Permit2. بدا الموقع مثل Uniswap أو OpenSea أو صفحة مطالبة إسقاط جوي شائعة أو تسجيل دخول محفظة. التوقيع الذي وافقت عليه لم يكن مبادلة أو تسجيل دخول. منح المهاجم إنفاقاً غير محدود على رموزك. لا برمجيات خبيثة مطلوبة. المفتاح نفسه لم يغادر محفظتك قط، لكن الإذن غادر.
  2. شغّلت أمر PowerShell لـ"كابتشا" ClickFix. صفحة تحقق Cloudflare أو Google مزيفة طلبت منك الضغط على Windows+R، ولصق أمر، والضغط على Enter. ذلك الأمر نزّل سارق معلومات فحص متصفحك بحثاً عن إضافات المحافظ وعبارات البذور المحفوظة في ملاحظات ورموز الجلسة. تغطي صفحة حماية ClickFix هذا بالتفصيل.
  3. نزّلت تطبيق محفظة أو محفظة مادية مزيفة. إعلان Google أو رابط منتدى أشار إلى نسخة مستنسخة من MetaMask أو Phantom أو Trust Wallet أو Ledger Live. بدا المثبّت شرعياً وعمل في البداية. عند الإعداد استخرج عبارة البذور، أو بدّل عنوان وجهتك بصمت على كل معاملة صادرة.
  4. أدخلت عبارة البذور في صفحة استرداد أو مزامنة مزيفة. نافذة منبثقة أو رسالة دعم مباشرة أو إعلان بحث أخبرتك أن محفظتك "غير متزامنة" وطلبت الكلمات الـ 12 أو 24. يشمل هذا متغير Ledger الذي حللناه في تحذير رسائل Ledger المزيفة. المحافظ الحقيقية لا تطلب قط عبارة البذور على موقع ويب.
  5. ثبّتت إضافة متصفح خبيثة. ربما كانت "مساعد محفظة" أو أداة لقطة شاشة أو قارئ PDF أو مساعد ذكاء اصطناعي. بمجرد التثبيت، قرأت محتوى الحافظة وأعادت كتابة العناوين أثناء الطيران وفي بعض الحالات ضخّت معاملات مباشرة في جلسات محفظتك.

ما القابل للاسترداد وما هو غير ذلك

حدد التوقعات بصدق، لأن القرار السيء التالي عادةً يأتي من الأمل في استرداد غير ممكن.

  • غير قابل للاسترداد. الرموز التي اكتُسحت وتبادلت بالفعل. لا عكس لمعاملة موقّعة على السلسلة. الأموال المجسّرة والمخلوطة والمنسحبة ذهبت لأغراض التجزئة. أي شخص يخبرك بخلاف ذلك يريد أموالك.
  • قابل للاسترداد أحياناً. المراكز المرهونة وLP المقفلة وتخصيصات إسقاط جوي المستقبلية المرتبطة بعنوانك وNFTs التي لم يدرجها المهاجم بعد ورموز فريق مستحقة. إذا تصرفت قبل أن يلاحظ المهاجم، يمكنك نقل هذه إلى المحفظة الجديدة.
  • جزئي، نادر، مكلف. يمكن لشركات الطب الشرعي على السلسلة أحياناً تتبع الأموال إلى بورصة مركزية والعمل مع جهات إنفاذ القانون على التجميد. هذا واقعي فقط للخسائر التي تبلغ ستة وسبعة أرقام، يستغرق أشهراً ويكلف رسوم مسبقة كبيرة.

قائمة تحقق 24 ساعة

بمجرد انتهاء الساعة الأولى وانتقال الأصول القابلة للإنقاذ إلى محفظتك الجديدة، لديك 24 ساعة للتنظيف الممل لكن الحيوي. اعمل من خلال هذه القائمة قبل النوم.

  • أبلغ البورصة إذا مرّت الرموز عبرها. إذا نقل المهاجم الأموال إلى Binance أو Coinbase أو Kraken أو Bybit أو أي بورصة مركزية، اتصل بفريق الامتثال فوراً مع رقم المعاملة وعنوان الكاسح. بعض السلاسل والبورصات ستجمّد الأموال في انتظار التحقيق، خاصة إذا كنت سريعاً.
  • قدّم تقريراً إلى Chainabuse. علّم محفظة المهاجم وصف الحادثة. هذا يُبطئ صرف المهاجم لأن البورصات الكبرى والجسور تقرأ تغذيات Chainabuse. تقريرك يساعدك ويساعد أيضاً الشخص التالي الذي كاد يُصاب.
  • تحقق إذا كانت محفظة الكاسح مُعلَّمة بالفعل. شغّل عنوان المهاجم عبر Chainalysis أو TRM Labs أو التسميات العامة على Etherscan وSolscan. عنوان مُعلَّم مسبقاً يمكن أن يساعد قضيتك مع البورصات والتأمين إذا كان لديك وأي تقرير شرطة تقدمه.
  • قم بتغيير كلمات المرور على كل حساب غير مشفّر. إذا كان الناقل هو برمجيات خبيثة أو مثبّت مزيف، فالمهاجم على الأرجح لديه كلمات مرور متصفحك المحفوظة وكوكيز جلستك وكل ما كان مفتوحاً. البريد الإلكتروني والبنك والتخزين السحابي وكلمة مرور مدير كلمات المرور الرئيسية والتواصل الاجتماعي وحسابات Steam أو الألعاب كلها تحتاج كلمات مرور جديدة فريدة و2FA جديداً.
  • قدّم تقريراً إلى الشرطة المحلية وIC3 (الولايات المتحدة) أو Action Fraud (المملكة المتحدة). ليس لأنهم سيستردون الأموال، بل لأنك ستحتاج رقم القضية للضرائب والتأمين وأي طلب تجميد لدى البورصة.

قائمة تحقق 7 أيام

افترض أن جهازك لا يزال مخترقاً حتى تثبت العكس. سارق البذور لا يُلغي تثبيت نفسه بعد يوم أجر. ينتظر حتى تُعدّ المحفظة التالية.

  • أعدّ محفظة مادية للبذور الجديدة. Ledger أو Trezor أو Keystone أو ما شابه. اشترِ مباشرة من الشركة المصنّعة، لا من سوق طرف ثالث. عند وصولها تحقق من الختم وأنشئ عبارة البذور على الجهاز نفسه، لا على الورقة التي جاءت في الصندوق.
  • إعادة تثبيت كاملة لنظام التشغيل على كل جهاز لمس البذور القديمة. ليس فحصاً، ليس مسحاً بـ Malwarebytes. مسح كامل وتثبيت نظيف لـ Windows أو macOS أو هاتفك. عائلات البرمجيات الخبيثة التي تسرق البذور مُصمَّمة للبقاء على قيد الحياة من كل منظّف شائع.
  • كلمات مرور فريدة و2FA على كل حساب يشاركه بريد إلكتروني أو كلمة مرور. استخدم مدير كلمات مرور، واستخدم 2FA المستند إلى تطبيق أو أجهزة بدلاً من SMS حيثما أمكن.
  • فكّر في عنوان بريد إلكتروني جديد للعملات المشفرة. بريدك الإلكتروني القديم الآن في قوائم الاستهداف للمهاجمين للتصيد الاحتيالي وحشو البيانات. بريد إلكتروني مخصص للعملات المشفرة بكلمة مرور خاصة و2FA خاصة يُقلل من سطح هجومك كثيراً.
  • راجع ما رآه المهاجم. إذا شغّل سارق المعلومات، افترض أن كل ملف في Downloads وDesktop وDocuments تم تحميله. وثائق الضرائب ومسح الهوية وأي صور نسخ البذور تحتاج إلى اعتبارها مكشوفة.

لن يحدث مجدداً: ما يمنع الاستنزاف التالي فعلاً

تتكرر عمليات الاستنزاف لأن العادات التي تسببت في الأولى لا تزال موجودة. أصلح العادات، ليس فقط المحفظة.

  • المحفظة المادية لأي شيء يتجاوز المبالغ البسيطة. إذا كان المبلغ سيؤلمك خسارته، فمكانه في محفظة مادية. جهاز التوقيع البارد يوقف كل سارق معلومات وكل مثبّت مزيف وكل هجوم إضافة متصفح بحركة واحدة.
  • عبارات البذور تبقى غير متصلة، إلى الأبد. لا تكتب قط عبارة البذور في موقع ويب أو حقل متصفح أو تطبيق هاتفي خارج إعداد المحفظة الرسمي أو مدير كلمات مرور أو تطبيق ملاحظات أو محرك سحابي أو صورة. الورق ولوحات النسخ المعدنية والخزانة هي الأماكن الصحيحة الوحيدة.
  • افصل بين محافظ "التشغيل" والخزينة. احتفظ بمحفظة تشغيل صغيرة للاستخدام اليومي والضرب، ومحفظة خزينة للمدخرات. محفظة الخزينة توقّع فقط على جهاز مادي وفقط عندما تنقل الأموال عن قصد إلى محفظة التشغيل.
  • احجب مواقع التصيد الاحتيالي والكاسح قبل النقر. إضافة متصفح تتحقق من الرابط في الوقت الفعلي هي أرخص تأمين في العملات المشفرة. انظر دليل بديل Wallet Guard لمقارنة الحجب قبل النقر بمحاكاة المعاملات.
  • اقرأ كل طلب توقيع. لا توقّع بشكل أعمى. إذا أظهر الطلب "Permit2" أو "SetApprovalForAll" أو عقداً غير مألوف، ألغِ وتحقق من النطاق. معظم عمليات الاستنزاف تحتاج نقرتك لتنجح.
  • ضع علامة مرجعية على مواقع المحافظ والـ DEX الحقيقية. لا تصل إلى Uniswap أو MetaMask أو Phantom أو Ledger عبر إعلان محرك بحث. إعلانات البحث هي الناقل الأول لمشابهي المحافظ.

العلامات الحمراء التي تشير إلى أنك على وشك الاستنزاف بنفسك

هذه هي بالضبط المطالبات التي يراها الناس قبيل توقيع المعاملة السيئة. إذا ظهر أي من هذه، توقف وأغلق علامة التبويب وتحقق عبر الموقع الرسمي للمحفظة.

  • "أعد التحقق من محفظتك" أو "محفظتك غير متزامنة". لا محفظة حقيقية تطلب هذا. إنها دائماً صفحة تصيد احتيالي.
  • طلب "تحديث" MetaMask أو Phantom خارج تدفق التحديث الخاص بالمحفظة. التحديثات تحدث عبر متجر المتصفح أو إعدادات المحفظة، أبداً عبر لافتة صفحة ويب.
  • طلب توقيع لعقد لا تتعرف عليه. إذا لم تستطع قراءة اسم الدالة والرموز المتأثرة، لا توقّع. ثانيتان من الاحتكاك تحفظان المحفظة.
  • دعم Ledger يطلب الكلمات الـ 24. دعم Ledger لن يطلب أبداً. لا شركة محافظ شرعية ستطلب. في اللحظة التي تُذكر فيها كلمة "عبارة البذور" أو "عبارة الاسترداد" من الدعم، تتحدث إلى مهاجم.
  • صفحة مطالبة تحتاج توقيعاً "للتحقق من الأهلية". فحوص الأهلية للقراءة فقط. إذا أرادت المطالبة توقيعك قبل إظهار المبلغ، فهي كاسح.

الأخطاء الشائعة في وضع الاسترداد

الذعر يجعل الناس يفعلون أشياء تحوّل يوماً سيئاً إلى أسبوع أسوأ. انتبه لهذه.

  • نقل الأموال بذعر إلى محفظة تشغيل أخرى على نفس الجهاز. إذا كان جهازك مصاباً، المحفظة الجديدة مخترقة في اللحظة التي تُعدّها. استخدم جهازاً مختلفاً، محفظة مادية مثالياً.
  • إدخال عبارة بذور جديدة في موقع ويب "خدمة استرداد". لا خدمة استرداد شرعية تحتاج عبارة البذور الجديدة. كل نتيجة لكتابة عبارة بذور جديدة في نموذج استرداد هي استنزاف ثانٍ.
  • الدفع لـ"قراصنة" للاسترداد. حسابات Telegram وX التي ترسل رسائل مباشرة في دقائق بعد الاستنزاف عارضةً الاسترداد برسوم أو نسبة مئوية هي إما المهاجم الأصلي أو محتال ثانٍ. احجب واستمر.
  • مشاركة عبارة البذور مع "الدعم" لمساعدتك في الاسترداد. الدعم الحقيقي لا يحتاج عبارة البذور قط. لا لـ MetaMask، لا لـ Ledger، لا لـ Trezor، لا لـ Phantom، لا لأي بورصة. طلب عبارة البذور هو دليل على أنك تُحتال.
  • تجاهل الجهاز. يركّز الناس على المحفظة وينسون الحاسوب المحمول. إذا كان السبب الجذري هو البرمجيات الخبيثة ولم تمسح الجهاز، تموت البذور التالية بنفس الطريقة.

أوقف الاستنزاف التالي قبل أن يبدأ

SafeBrowz إضافة متصفح مجانية لـ Chrome وFirefox وEdge تحجب مواقع التصيد الاحتيالي وصفحات المحافظ المزيفة ونطاقات الكاسح المعروفة قبل أن تتمكن من النقر على توقيع. الإضافة مجانية إلى الأبد. يضيف Premium كشف استنزاف المحافظ وحماية اختطاف الحافظة وتحليل محتوى AI في الوقت الفعلي بأكثر من 100 لغة، عبر 500+ علامة تجارية منتحَلة.

Chrome أضف إلى Chrome Firefox أضف إلى Firefox Edge أضف إلى Edge

النسخة المجانية تحجب التصيد الاحتيالي والمتاجر المزيفة ومحاولات الاحتيال في الدعم التقني. Premium (14.99$/سنة، مفتاح واحد يغطي 3 أجهزة) يضيف كشف استنزاف المحافظ ويُعدّ تحذيرات ما قبل النقر مضبوطة على العلامة التجارية للمهاجم التي تستهدفها.

قراءة ذات صلة