شهدت عمليات اختراق العملات المشفّرة في عام 2025 وبداية 2026 exceeded كل الأرقام القياسية السابقة من حيث القيمة بالدولار، إذ وصلت الخسائر إلى نحو 3.4 مليارات دولار في مشهد امتلأ بأخطاء العقود الذكية، واختراقات سلسلة التوريد، والتلاعب بالأوراكل، وسرقة المفاتيح، والتخريب المدفوع بدوافع سياسية، ما كشف أن نقاط الثقة المركّزة – وليس الشيفرة الرديئة وحدها – ما تزال تمثل أخطر مواطن الضعف في هذه الصناعة.
حالة اختراقات التشفير في 2025–2026
الأرقام يصعب إنكارها، حتى وإن اختلفت منهجيات احتسابها قليلًا.
قدّرت Chainalysis في estimated أن إجمالي سرقات العملات المشفّرة في 2025 بلغ 3.4 مليارات دولار، ليصبح أسوأ عام مسجّل حتى الآن. في المقابل، ذكرت TRM Labs وTechCrunch في تقارير منفصلة reported أن الرقم بلغ 2.7 مليار دولار. كما نشرت CertiK published حصيلتها للنصف الأول من 2025 عند 2.47 مليار دولار عبر 344 حادثة، متجاوزة بالفعل إجمالي خسائر عام 2024 كاملًا البالغة 1.98 مليار دولار بعد صافي الاستردادات.
للمقارنة، كانت TRM Labs قد calculated أن 2.2 مليار دولار سُرقت خلال عام 2024 بأكمله. هذا يعني أن الأشهر الستة الأولى من 2025 وحدها تجاوزت العام السابق كاملًا.
ما يميز هذه الفترة ليس عدد الحوادث، بل مستوى تركّزها.
أشارت Immunefi في تقريرها reported إلى أن الربع الأول من 2025 كان الأسوأ في تاريخ اختراقات التشفير، حيث فُقدت 1.64 مليار دولار عبر 40 حادثة فقط – بزيادة قدرها 4.7 ضعف مقارنة بالربع الأول من 2024. حادثتان فقط، هما Bybit وCetus، شكّلتا نحو 1.78 مليار دولار، أي ما يعادل 72٪ من إجمالي خسائر CertiK في النصف الأول من العام.
لم تتغير فئات الهجمات كثيرًا. فما زلنا نرى استغلالات العقود الذكية، والتلاعب بالأوراكل، واختراق المفاتيح الخاصة، وإخفاقات التشغيل في البورصات، والهجمات السيبرانية المدعومة من دول. ما تغير هو الحجم. فقد تضاعف متوسط قيمة الاختراق الواحد في النصف الأول من 2025 مقارنة بالفترة نفسها من العام السابق، وأصبح الضرر متركّزًا بشكل حاد في عدد محدود من الحوادث الكارثية.
الخيط الذي يربط أسوأ الحالات أدناه ليس التعقيد، بل الثقة – حين تُركَّز في مفتاح واحد، أو مزوّد واحد، أو هيكل حوكمة واحد، أو منصّة سيولة واحدة.
اطّلع أيضًا: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv: كيف حوّل سكٌّ غير مغطى عملة مستقرة إلى أزمة ميزانية
في 22 مارس 2026، قام مهاجم compromised a privileged private key stored in Resolv's AWS Key Management Service، ثم استخدمه لتفويض عمليتي سك ضخمتين للغاية على عملة USR المستقرة التابعة للبروتوكول.
أنشأت العملية الأولى 50 مليون USR مقابل إيداع يقارب 100 ألف دولار من عملة USDC (USDC). بينما قامت الثانية بسك 30 مليونًا إضافية.
في المجمل، دخل نحو 80 مليون توكن غير مغطى entered إلى التداول. كان مفتاح السك حسابًا مملوكًا خارجيًا واحدًا – وليس محفظة متعددة التواقيع – كما أن العقد كان يفتقر إلى حدود قصوى للسك، أو فحوصات أوراكل، أو تحقّق ملائم من الكميات.
حوّل المهاجم توكنات USR المسكوكة عبر wstUSR وعملات مستقرة أخرى إلى ما يقرب من 11,400 إيثر (ETH)، بقيمة تقديرية بين 24 و25 مليون دولار. وقد crashed سعر USR إلى نحو 0.025 دولار على Curve Finance خلال 17 دقيقة فقط – أي انخفاض بنسبة 97.5٪.
ما يجعل استغلال العملات المستقرة مدمرًا على نحو خاص هو أنه يكشف فورًا إن كان الضمان الداعم حقيقيًا أم هشًّا.
ظلّت محفظة الضمان الأصلية للبروتوكول، والبالغة نحو 95 مليون دولار، سليمة من الناحية التقنية، لكن مع وجود 80 مليون توكن غير مغطى في التداول، أصبحت Resolv تمتلك تقريبًا 95 مليون دولار من الأصول مقابل حوالي 173 مليون دولار من الالتزامات. وقد اتخذت بروتوكولات DeFi مثل Aave وMorpho وEuler وVenus وFluid خطوات احترازية لعزل انكشافها.
سلسلة التفاعلات – استغلال، بيع قسري، فك ارتباط بالسعر (depeg)، فجوة في الالتزامات، ذعر – حدثت كلها في أقل من يوم واحد.
اطّلع أيضًا: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit: اختراق الـ 1.5 مليار دولار الذي طبع ملامح العام
لا توجد حادثة واحدة في تاريخ سرقات العملات المشفّرة تضاهي من حيث القيمة الدولارية ما happened لـ Bybit في 21 فبراير 2025.
فقد رصد المحقّق على السلسلة ZachXBT أولًا تحويلات مشبوهة تزيد على 1.46 مليار دولار من المحفظة الباردة للبورصة على شبكة إيثريوم (ETH). ولاحقًا attributed مكتب التحقيقات الفيدرالي (FBI) السرقة إلى عنقود TraderTraitor في كوريا الشمالية، التابع لـ مجموعة Lazarus، وقدّر الرقم عند نحو 1.5 مليار دولار.
سُرق نحو 401,347 إيثر، وهو رقم يفوق إجمالي ما سُرق في اختراقي شبكة Ronin وPoly Network معًا، واللذين كانا يعدّان سابقًا أكبر عمليتي اختراق في تاريخ التشفير.
لم يكن الخلل في شيفرة Bybit نفسها. إذ تتبّعت التحقيقات الجنائية التي أجرتها Sygnia وVerichains traced السبب الجذري إلى اختراق في سلسلة توريد منصة Safe{Wallet}، وهي مزوّد طرف ثالث لمحافظ متعددة التواقيع. فقد تمكّن المهاجمون من اختراق حاسوب أحد مطوّري Safe العامل بنظام macOS في وقت مبكر من 4 فبراير، وسرقوا رموز جلسات AWS، ثم injected في 19 فبراير شيفرة JavaScript خبيثة في واجهة Safe على الويب.
لم تنشط الشيفرة إلا عندما قامت المحفظة الباردة الخاصة بإيثريوم لدى Bybit ببدء معاملة. وقد وافق ثلاثة من أصل ستة موقّعين في المحفظة المتعددة التواقيع على المعاملة من دون اكتشاف التلاعب.
أكّد الرئيس التنفيذي لـ Bybit، بين زو، في تصريحات confirmed أن البورصة بقيت ملاءة ماليًا، مدعومة باحتياطات تتجاوز 16 مليار دولار قبل الاختراق. وخلال 72 ساعة، قامت Bybit replenished بإعادة ملء احتياطياتها من الإيثر عبر قروض طارئة من Galaxy Digital وFalconX وWintermute وBitget. لكن بحلول 20 مارس، كان نحو 86٪ من الإيثر المسروق قد حُوِّل إلى بيتكوين (BTC) عبر ما يقرب من 7,000 محفظة.
الدرس واضح: منصّة واحدة، واختراق واحد، وحادثة واحدة – كفيلة بقلب ملف خسائر الصناعة السنوي بالكامل. بعض أسوأ الإخفاقات في عالم التشفير تحدث في الأماكن التي يفترض فيها المستخدمون أن الضخامة تعني الأمان.
اطّلع أيضًا: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Cetus على Sui: كيف جمّد اختراق بـ 223 مليون دولار بورصة DEX رائدة
في مايو 2025، تعرّضت Cetus، وهي أكبر بورصة لامركزية على شبكة Sui (SUI)، لهجوم hit استنزف ما يقرب من 223 مليون دولار من مجمّعات السيولة الخاصة بها. كان السبب الجذري ثغرة تجاوز عددي (integer overflow) في مكتبة الحسابات الخاصة بالسيولة المركّزة في البروتوكول.
إذ قامت دالة برمجية compared بمقارنة القيم مع عتبة كانت منحرفة بمقدار بتّ واحد، ما أتاح للمهاجم إيداع توكن واحد فقط مقابل الحصول على مراكز سيولة تساوي ملايين.
اتخذ مدقّقو شبكة Sui took خطوة استثنائية بتجميد نحو 162 مليون دولار من الأموال المسروقة على السلسلة، في إجراء تمت الموافقة عليه عبر تصويت حوكمة بنسبة تأييد بلغت 90.9٪. بينما كان نحو 60 مليون دولار قد جرى بالفعل جسرها إلى شبكة إيثريوم قبل التجميد.
استأنفت Cetus resumed عملياتها بعد انقطاع دام 17 يومًا، إذ أعادت ملء المجمعات من الأموال المستردة، إلى جانب 7 ملايين دولار من احتياطياتها النقدية، وقرض بقيمة 30 مليون USDC من مؤسسة Sui.
عندما تتعطل منصّة السيولة الرئيسية في نظام بيئي معيّن، فإن مصداقية السلسلة بأكملها تتضرر. أسعار التوكنات، وسمعة السلسلة، وثقة المستخدمين، والحاجة إلى تدخّل طارئ من جهات المنظومة – كل ذلك يبيّن أن نطاق الأثر يتجاوز البروتوكول نفسه بكثير.
اطّلع أيضًا: Brazil Freezes Crypto Tax Rules
GMX: لماذا خسرت إحدى أهم منصات العقود الدائمة أكثر من 42 مليون دولار
في يوليو 2025، تعرّض بروتوكول GMX exploited لاختراق تجاوزت خسائره 42 مليون دولار عبر ثغرة إعادة دخول (reentrancy) عبر العقود في نشرته V1 على شبكة Arbitrum. إذ قبلت الدالة المسؤولة عن تنفيذ أوامر التخفيض (decrease orders) عنوان عقد ذكي كمعامل بدلاً من اشتراط عنوان محفظة عادي.
خلال خطوة ردّ الإيثر (ETH refund)، انتقلت عملية التنفيذ إلى عقد المهاجم الخبيث، ما أتاح إعادة الدخول والتلاعب ببيانات التسعير الداخلية لتكون أقل بنحو 57 مرة من السعر الفعلي في السوق.
عرضت GMX offered مكافأة وايت هات بنسبة 10٪، تعادل نحو 5 ملايين دولار، مع مهلة قدرها 48 ساعة و تهديد باتخاذ إجراء قانوني. أعاد المهاجم ما يقرب من 37.5 مليون إلى 40.5 مليون دولار على دفعات، محتفظًا بمكافأة الخطأ. لاحقًا [أكملت] GMX خطة تعويض بقيمة 44 مليون دولار لحاملي GLP المتضررين.
حقيقة أنه تم إرجاع الأموال لا تعني أن النظام عمل كما ينبغي. استخدام خطاب “القبعة البيضاء”، وعروض المكافآت، والاسترداد الجزئي يمكن أن يخفف رد فعل السوق دون أن يزيل الفشل الأمني الأساسي.
تم إدخال الثغرة، بشكل ساخر، خلال إصلاح في عام 2022 لخلل سابق. لم تتأثر نسخة GMX V2.
اقرأ أيضًا: [Bitcoin Drops In Hours After Trump Threatens Iran Power Plants]
نوبیتكس: عندما يتحول اختراق كريبتو إلى حرب جيوسياسية
في يونيو 2025، تعرّضت منصة Nobitex، أكبر بورصة عملات مشفّرة في إيران، [لاختراق] بلغ حوالي 90 مليون دولار عبر عدة سلاسل كتل، بما في ذلك بيتكوين [(BTC)]، إيثيريوم، دوجكوين [(DOGE)]، XRP [(XRP)]، سولانا [(SOL)]، ترون [(TRX)]، و TON [(TON)].
أعلنت مجموعة القراصنة الموالية لإسرائيل Gonjeshke Darande، المعروفة أيضًا باسم Predatory Sparrow، [مسؤوليتها] عن الهجوم.
وقع الهجوم خلال اشتباكات عسكرية نشطة بين إسرائيل وإيران.
لم يكن هذا سرقة بدافع مالي. فقد تم [إرسال] الأموال المسروقة إلى عناوين حرق مخصّصة تحتوي على رسائل مناهضة للحرس الثوري الإيراني IRGC دون أي مفاتيح خاصة قابلة للاسترجاع — ما يعني فعليًا حرق 90 مليون دولار كبيان سياسي.
في اليوم التالي، قام المهاجمون [بنشر] الشفرة المصدرية الكاملة لنوبیتكس، ووثائق البنية التحتية، وأبحاث الخصوصية الداخلية.
بعض هجمات الكريبتو لا تهدف إطلاقًا إلى تعظيم الأرباح. إنها عمليات تخريب، أو رسائل سياسية، أو حرب إلكترونية. وهذا يجعلها مختلفة عن ثغرات البروتوكولات في كل بُعد تقريبًا: الدافع، والطريقة، والنتائج، واستحالة الاسترداد. أعلنت نوبيتكس [استئنافًا جزئيًا للعمليات] بعد ذلك، لكن أحجام المعاملات الواردة انخفضت بأكثر من 70٪ على أساس سنوي في أوائل يوليو.
اقرأ أيضًا: [SBF Backs Trump's Iran Strikes From Prison]
Abracadabra: الاستغلال الذي أصاب سوق الاقتراض في DeFi عبر “القدور” المرتبطة بـ GMX
في 25 مارس 2025، قام مهاجم [باستنزاف] حوالي 6,260 من عملة ETH — بما يعادل نحو 13 مليون دولار — من أسواق الإقراض في Abracadabra Finance المعروفة باسم “القدور” (cauldrons). استخدمت القدور المستهدفة رموز سيولة GMX V2 كضمان، واعتمد الاستغلال على تقنية تصفية ذاتية مدعومة بقرض سريع (flash loan) استغلت أخطاءً في تتبّع الحالة ضمن عقود gmCauldron.
تم جسر الأموال المسروقة من شبكة Arbitrum إلى إيثيريوم. كانت شركة PeckShield من أوائل شركات الأمن التي رصدت الحادثة. وأكدت GMX أن عقودها نفسها لم تتأثر.
عرضت Abracadabra مكافأة أخطاء بنسبة 20٪. كان هذا ثاني اختراق كبير للبروتوكول؛ إذ كان استغلال بقيمة 6.49 مليون دولار قد [ضرب] Abracadabra في يناير 2024.
تُبرز هذه الحادثة مخاطر “قابلية التركيب” في DeFi. فقد يبدو البروتوكول آمنًا بمفرده، لكنه يصبح عرضة للخطر عبر التكاملات والاعتمادات الخارجية.
بالنسبة لمستخدمي DeFi، ما يحدث “تحت الغطاء” — نوع الضمانات التي يقبلها البروتوكول، والعقود الخارجية التي يستدعيها — أهم من العلامة التجارية التي يودعون أموالهم لديها على السطح.
اقرأ أيضًا: [CFTC And SEC Align On Crypto Haircuts]
Hyperliquid و JELLY: دراما هيكل السوق وأسئلة حول المركزية
في 26 مارس 2025، قام مهاجم [بفتح] مركز بيع على المكشوف بقيمة 4.1 مليون دولار على عملة JELLY الميمية ذات السيولة المنخفضة على منصة Hyperliquid، إلى جانب مركزين شرائيين معاكسين، ثم ضخّ سعر العملة الفوري بأكثر من 400٪.
عندما تم تصفية مركز البيع، ورثت خزينة HLP الآلية الخاصة بـ Hyperliquid هذه الوضعية الخاسرة، وبلغت الخسائر غير المحققة في الخزينة حوالي 13.5 مليون دولار.
بعد ذلك قام مدقّقو Hyperliquid [بإغلاق قسري] لجميع مراكز JELLY، مع التسوية عند سعر دخول البيع الأصلي للمهاجم البالغ 0.0095 دولار، بدلًا من 0.50 دولار الذي كانت تنقله الأوراكل الخارجية.
تم تنفيذ هذه المناورة خلال دقيقتين وكشفت عن أن البروتوكول يعتمد على أربعة مدقّقين فقط في كل مجموعة.
الفضيحة هنا ليست في الخسارة فحسب.
فقد وصفت الرئيسة التنفيذية لمنصة Bitget، غراسي تشين، Hyperliquid علنًا بأنها “FTX 2.0”. وانخفضت القيمة الإجمالية المقفلة في البروتوكول من 540 مليون دولار إلى 150 مليون دولار خلال الشهر التالي، وتراجع رمز HYPE بنسبة 20٪. لاحقًا [طوّرت] Hyperliquid نظامها ليعتمد تصويتًا على السلسلة من قبل المدقّقين لقرارات شطب الأصول.
ماذا يحدث عندما يتصرف كيان يُفترض أنه لامركزي بطريقة مركزية في لحظة أزمة؟ هذا السؤال مفيد لأي جهة بحثية حتى عندما تكون الخسارة بالدولار أقل من أكبر الاختراقات. لقد كشف عن صدع في المصداقية.
اقرأ أيضًا: [Strategy Holds 3.6% Of All Bitcoin]
Meta Pool: خطر السكّ اللامحدود ولماذا يمكن لضعف السيولة أن يُخفي خللًا أكبر
في يونيو 2025، [تعرّضت] Meta Pool لاستغلال في عقد ذكي سمح لأحد المهاجمين بسكّ 9,705 من رموز mpETH — تساوي تقريبًا 27 مليون دولار — دون إيداع أي ضمان من ETH.
كانت الثغرة في دالة السكّ بمعيار ERC-4626. وتمكن المهاجم من تجاوز فترة التهدئة المعتادة عبر وظيفة “الفك السريع” (fast unstake) في البروتوكول.
لكن الخسارة الفعلية لم تتجاوز نحو 132,000 دولار. فقد كانت السيولة الضعيفة في مجمّعات Uniswap المعنية تعني أن المهاجم استطاع استخلاص 52.5 ETH فقط.
قام روبوت MEV بمهاجمة جزء من الهجوم بشكل استباقي، مستخلصًا حوالي 90 ETH من السيولة تمت إعادتها لاحقًا إلى البروتوكول. وبقيت 913 ETH التي أودعها المستخدمون في الأصل آمنة لدى مشغّلي شبكة SSV.
أحيانًا يكون الخلل أسوأ بكثير من الخسارة المحققة. مسار الاستغلال في هذه الحالة يشير إلى ضرر نظري كارثي، لكن ضعف السيولة حدّ من الاستخلاص. هذا الفارق مهم لأي شخص يقيّم مخاطر DeFi، ويمنح هذه الحالة عمقًا أكبر مما توحي به مجرد مقارنة بسيطة بالخسائر بالدولار.
اقرأ أيضًا: [UK Set To Block Crypto Donations]
بروتوكول Cork: مدعوم من a16z لكنه تعرّض للاستغلال رغم ذلك
في 28 مايو 2025، تم [استغلال] Cork Protocol بنحو 12 مليون دولار. استخرج المهاجم 3,761 من wstETH عبر استغلال ثغرات في منطق beforeSwap في عقد Cork Hook وغياب ضوابط الوصول.
كان السبب الجذري افتقارًا للتحقق من المدخلات إلى جانب إنشاء أسواق بشكل لا مركزي (permissionless) دون حواجز أمان، ما سمح للمهاجم بإنشاء سوق مزيفة باستخدام رمز DS شرعي كأصل استرداد.
كان Cork قد تلقى استثمارات من a16z crypto و OrangeDAO في سبتمبر 2024.
الاستنتاج بسيط. المستثمرون المؤسسيون، ودعم رأس المال المغامر رفيع المستوى، والعلامة التجارية المصقولة لا تقضي على المخاطر التقنية. ينبغي ألا يخلط القرّاء بين جودة جولات التمويل وسلامة البروتوكول، كما أن عمليات التدقيق — مهما كانت شاملة — ليست ضمانات. تم إيقاف جميع العقود فور اكتشاف الحادثة، لكن الأموال كانت قد فُقدت.
اقرأ أيضًا: [Early Ethereum Whale Buys $19.5M In ETH]
KiloEx: التلاعب بالأوراكل كأحد أوجه الضعف المتكررة في DeFi
في أبريل 2025، [خسرت] KiloEx ما بين 7 ملايين و7.5 مليون دولار عبر شبكات Base و opBNB و BNB Smart Chain بعد أن استغل مهاجم ثغرة في ضوابط الوصول بعقد MinimalForwarder على المنصة. سمحت هذه الثغرة لأي شخص بنداء دوال تحديد الأسعار.
قام المهاجم بالتلاعب بالأوراكل لجعلها تبلغ عن سعر منخفض للغاية لعملة ETH — 100 دولار — عند فتح مراكز برافعة مالية، ثم أغلقها عند 10,000 دولار.
عرضت KiloEx [مكافأة] “قبعة بيضاء” بنسبة 10٪ قدرها 750,000 دولار. وبعد أربعة أيام، أعاد المهاجم جميع الأموال المسروقة، وأعلنت KiloEx أنها لن تتخذ إجراءات قانونية.
استأنفت المنصة نشاطها بعد توقف دام 10 أيام، و[نشرت] خطة تعويض للمستخدمين الذين بقيت صفقاتهم مفتوحة خلال فترة التوقف.
هذه هي أوضح حالة لشرح مخاطر الأوراكل. فبيانات التسعير الخاطئة يمكن أن تسمح للمهاجمين بفتح وإغلاق مراكز عند قيم غير حقيقية. العديد من الاستغلالات التي تُسوَّق على أنها “معقدة” لا تزال مبنية على بدائيات قديمة — مغذيات أسعار سيئة، وافتراضات متوقعة، وضعف في التحقق. يبقى التلاعب بالأوراكل أحد أضعف النقاط استمرارية في DeFi.
اقرأ أيضًا: Gold's Worst الأسبوع منذ 1983
ما الذي يكشفه هذا النمط؟
إن الحالات العشر المذكورة أعلاه تختلف من حيث الآلية والحجم والدافع، لكنها تشترك في نمط بنيوي واحد.
إن أكثر الحوادث تدميرًا ماليًا — Bybit وResolv — لم تكن ناجمة عن ثغرات على السلسلة على الإطلاق. كانت إخفاقات على مستوى البنية التحتية: جهاز مطوّر تم اختراقه في حالة، ومفتاح سكّ واحد غير محمي مخزَّن في بنية تحتية سحابية في الحالة الأخرى. كان الضرر كارثيًا في كلتا الحالتين تحديدًا لأن نقاط الثقة المركزية كانت موجودة في أماكن افترض المستخدمون أنها غير موجودة فيها.
الاستغلالات على مستوى البروتوكول مثل Cetus وGMX انطوت على أخطاء برمجية، لكن حجم الأثر كان تحدده استجابات الحوكمة — ما إذا كان بإمكان المُصدِّقين تجميد الأموال، وما إذا كانت مفاوضات المكافآت نجحت، وما إذا كان الفاعلون في المنظومة تدخلوا بتمويلات طارئة.
لم يكن Nobitex استغلالًا لبروتوكول بأي معنى جوهري؛ كان عملًا من أعمال التخريب الجيوسياسي.
الصورة العامة ليست مشجّعة. قلة الحوادث لا تعني ضررًا أقل. متوسط خطورة الحوادث في ازدياد. وحدها كوريا الشمالية شكّلت أكثر من 2 مليار دولار من سرقات عام 2025، أي زيادة بنسبة 51 بالمئة على أساس سنوي.
لقد انتقل محيط الأمان الأهم في عالم التشفير من المنطق على السلسلة إلى البنية التحتية خارج السلسلة، وإدارة المفاتيح، وأمن العمليات البشرية.
بالنسبة للمستخدمين الأفراد، ومستثمري التوكنات، وفرق البروتوكولات على حد سواء، تشير البيانات إلى الخلاصة نفسها. لم يعد السؤال هو ما إذا كانت العقود الذكية الخاصة ببروتوكول ما قد خضعت للتدقيق. السؤال هو: أين تتركّز الثقة — وماذا يحدث عندما تنهار؟
اقرأ أيضًا: Bitcoin Mining Difficulty Falls 7.76%