لا تزال صناعة التشفير تواجه موجة غير مسبوقة من الاختراقات الأمنية في 2025، حيث سُرقت أكثر من 3.1 مليار دولار من الأصول الرقمية في النصف الأول من العام وحده، وفقاً لتقرير جديد شامل من شركة أمن البلوكشين هَاكِن.
الخسائر، مدفوعة بشكل رئيسي بضعف التحكم في الوصول، وقواعد الأكواد القديمة، وارتفاع موجة الاستغلالات القائمة على الذكاء الاصطناعي، تجاوزت بالفعل إجمالي العام الكامل البالغ 2.85 مليار دولار في 2024 - مما يشير إلى أزمة أمنية متفاقمة مع توسع تبني ويب3 عالمياً.
تسلط استنتاجات هَاكِن الضوء على نقاط الضعف الهيكلية المستمرة في أنظمة التمويل اللامركزي والمركزي، خاصة فيما يتعلق بأمان البشر والإجراءات، والتي تجاوزت الآن العيوب التشفيرية كمتجه هجوم أساسي. بينما قد تكون الحوادث الكبرى مثل اختراق Bybit البالغ 1.5 مليار دولار في فبراير استثناءات إحصائية، يؤكد التقرير أن الغالبية العظمى من الخسائر تنبع من عيوب يمكن منعها، غالباً ما ترتبط بأكواد قديمة، أو أذونات معدة بشكل خاطئ، أو واجهات برمجة تطبيقات غير محمية.
مثلت ثغرات التحكم في الوصول - التي تحدث عندما يتمكن فاعلون غير مصرح لهم من السيطرة على وظائف مميزة بسبب إعدادات الأذونات الضعيفة - 59% من جميع الأموال المسروقة في 2025، وفقاً لما أبلغ عنه هَاكِن. وهذا يعادل تقريباً 1.83 مليار دولار من القيمة المفقودة عبر عشرات الحوادث.
تعكس هذه الاتجاهات عام 2024، حيث هيمنت نقاط الضعف في طبقات التحكم المماثلة على بيانات الاستغلال. ومع ذلك، تسارعت وتيرة وخطورة الهجمات في 2025، حيث استهدفت عدة تسللات واسعة النطاق العقود الذكية القديمة والمنطق الإداري العتيق في البروتوكولات اللامركزية. وقال يهُور روديْتسيا، رئيس قسم التحقيق والرد على الحوادث في هَاكِن، "المشاريع يجب أن تهتم بقاعدة الأكواد الخاصة بها إذا لم تتوقف تماماً عن العمل".
أشار روديْتسيا إلى مثال GMX v1، حيث استُغلت ثغرات في بنية العقود القديمة بشكل نشط في الربع الثالث من 2025 - بعد فترة طويلة من انتقال البروتوكول إلى إصدارات أحدث.
منصات التمويل اللامركزي والمركزي مستمرة في النزف
مجتمعة، شهدت منصات التمويل اللامركزي والمركزي خسائر تجاوزت 1.83 مليار دولار هذا العام بسبب العيوب التشغيلية والأمنية. كان الحادث الأكثر أهمية في الربع الثاني هو استغلال بروتوكول Cetus، مما أدى إلى خسارة 223 مليون دولار في 15 دقيقة فقط، مما جعله أسوأ ربع للتمويل اللامركزي منذ أوائل 2023، منهياً بذلك اتجاه انخفاض حجم الاختراقات الذي استمر خمسة أرباع.
وفقاً لتحليل هَاكِن، استخدم المهاجم الفلاش لون استغلالًا مستغلاً تدقيق فائض معيب في حساباته في تجمع السيولة. من خلال فتح سلسلة من المواقع المصغرة عبر 264 تجمع، فقد استغل النظام وأفرغ السيولة الكبيرة دون تفعيل آليات الأمان في الوقت الفعلي.
"لو أن Cetus طبق نظام مراقبة TVL ديناميكي مع عتبات توقف تلقائي، فإننا نقدر أن 90% من الأموال المسروقة كان يمكن الحفاظ عليها"، كتب هَاكِن في التقرير.
هذا الحادث أيضًا غير توزيع أنواع الاستغلال للربع الثاني. بينما تراجعت إخفاقات التحكم في الوصول إلى 14 مليون دولار - وهو المستوى الأدنى منذ الربع الثاني من 2024 - ارتفعت عيوب العقود الذكية، مما يشير إلى أنه رغم استمرار سيطرة عيوب الصلاحيات طويل الأمد، إلا أن مشاكل الأكواد لا تزال تشكل مخاطر حاسمة.
الذكاء الاصطناعي والنماذج اللغوية الكبيرة تقدم متجهات هجومية جديدة
واحدة من أكثر الاكتشافات قلقاً في تقرير هَاكِن 2025 هو الارتفاع الحاد في الحوادث الأمنية المتعلقة بالتشفير والمعتمدة على الذكاء الاصطناعي. لقد ارتفعت الاستغلالات المرتبطة بالنماذج اللغوية الكبيرة (LLMs) والبنية التحتية المتكاملة مع ويب3 بنسبة هائلة قدرها 1,025% مقارنة بعام 2023، حيث استهدفت معظم الهجمات واجهات برمجة التطبيقات غير الآمنة المستخدمة لربط المنطق على السلسلة بالأنظمة الذكية خارج السلسلة.
بين الحوادث المتعلقة بالذكاء الاصطناعي التي تم تحليلها:
- شملت 98.9% من الثغرات المتعلقة بالذكاء الاصطناعي واجهات برمجة التطبيقات المكشوفة أو المعدة بشكل خاطئ.
- تمت إضافة خمس ثغرات مشتركة جديدة (CVEs) تتعلق بالنماذج اللغوية المزدوجة في عام 2025.
- الآن تنشر 34% من مشاريع ويب3 وكلاء الذكاء الاصطناعي في بيئات الإنتاج، مما يجعلها أهدافاً جذابة بشكل متزايد.
تشير هذه الهجمات إلى التداخل المتزايد بين نقاط الضعف في ويب2 وبنية ويب3، خصوصاً مع تسرع منصات التشفير في دمج التعلم الآلي في بوتات التداول، والمنظمات اللامركزية (DAOs)، وأنظمة دعم العملاء، والوكلاء المستقلين.
"إطارات الأمان التقليدية متأخرة عن ركبها"، كتب هَاكِن، في إشارة إلى المعايير مثل ISO/IEC 27001 وإطار الأمن السيبراني لـ NIST، التي لم تتكيف بعد لمواجهة تهديدات الذكاء الاصطناعي المحددة مثل حقن النصوص، والهذاء النموذجي، وتسمم البيانات.
الانسحابات والاحتيالات تظل مشكلة كبيرة
بعيداً عن الاستغلالات التقنية، لا تزال مساحة التشفير تعاني من هجمات الهندسة الاجتماعية، ومخططات الاحتيال، والانسحابات المسماة "الانسحابات السريع" - المشاريع التي تختفي بعد جذب أموال المستثمرين.
رغم أن هذه الحوادث يصعب تحديدها بمصطلحات تقنية، فإن هَاكِن قدر أن الخسائر غير التقنية، بما في ذلك عمليات الاحتيال، ساهمت في نقل رأس مال إضافي يبلغ حوالي 750 مليون دولار من المستثمرين الأفراد والمؤسسات في عام 2025.
كان أكبر عملية انسحاب فردي هذا العام تتعلق بمجمع الأرباح في التمويل اللامركزي على سلسة BNB، حيث قام المطورون بتحويل 62 مليون دولار من أموال المستخدم عبر منطق عقد محوَّل قبل حذف جميع قنوات الاتصال بالمشروع وإغلاق نشاطهم على الإنترنت.
الدروس الأساسية والتوصيات
يختتم تقرير هَاكِن بسلسلة من التوصيات تهدف لمساعدة المشاريع على تقليل تعرضها للمخاطر في بيئة تهديد متطورة بسرعة:
- مراجعات قواعد الأكواد القديمة: يجب على المشاريع مراجعة وإلغاء تفعيل العقود الذكية القديمة التي تحتفظ بصلاحيات مرتفعة أو وظائف إدارية. وذكر هَاكِن أن أكثر من 20% من البروتوكولات التي تم استغلالها هذا العام كانت تحتوي على وحدات قديمة معرضة لا تزال نشطة.
- التحكم الديناميكي في الوصول: يجب استبدال القوائم البيضاء الجامدة أو الوظائف الإدارية فقط بنظم توقيع متعدد، وآليات حجز زمني، وأنظمة قائمة على الأدوار التي تتكيف مع مستويات التهديد المتغيرة.
- المراقبة في الوقت الحقيقي وأنظمة الإيقاف التلقائي: تنفيذ مراقبة على السلسلة والتنبيهات عن حركة TVL الفورية لمنع استنزاف الأموال السريع خلال هجمات الفلاش لون.
- ضوابط مخاطر الذكاء الاصطناعي: يجب على المشاريع التي تستخدم النماذج اللغوية المزدوجة إنشاء تنظيف للمداخل، وسجلات التدقيق، وتحديد الوصول إلى الوظائف على السلسلة الحساسة. لا يجب نشر إطارات الوكلاء المفتوحة دون قوائم بيضاء صارمة لواحدات برمجة التطبيقات وتحقق من الإجابات.
- تعليم المستخدمين: لا يزال أمان المحفظة ضعيفاً. يمكن لتشجيع استخدام المحافظ الصلبة، وتعطيل التوقيع الأعمى، وتنفيذ محاكاة المعاملات أن يقلل من اختراق المفاتيح الخاصة من الحملات الخبيثة.
الأمن لم يعد اختيارياً
مع توسع اعتماد التشفير إلى الأنظمة المالية السائدة والبنية التحتية المؤسسية، لم يعد الأمان مسألة ثانوية - إنه أساسي لبقاء ويب3 على المدى الطويل.
مع تطور المهاجمين من استغلاليات تقنية إلى تلاعب على مستوى العمليات واستغلالات معتمدة على الذكاء الاصطناعي، لم تكن الحاجة لمعايير أمان شاملة وتكيفية واستباقية أكثر إلحاحاً.
إذا استمر الاتجاه الحالي، فسيكون عام 2025 في طريقه ليصبح العام الأكثر كلفة في تاريخ الأمن المشفر، وسيتعين على الصناعة مواجهة أضعف حلقاتها - من العقود الذكية القديمة إلى تكاملات التعلم الآلي غير الآمنة.
واختتم روديْتسيا قائلاً "التشفير يدخل حقبة جديدة حيث الأخطاء البشرية، والتصميم الضعيف، واستغلال الذكاء الاصطناعي أصبح أكثر أهمية من أي وقت مضى. البروتوكولات التي تنجو من هذه الحقبة هي تلك التي تعامل الأمن كمنتج أساسي، وليس كفكرة لاحقة بعد الإطلاق."