صديقك المخترق قد يُفرّغ محفظتك بتوقيع واحد فقط، مثلما حدث فعلًا مع فنانة NFT خسرت 170,000 دولار على Steam
دليل تقني معمّق في التوقيع الأعمى وPermit2 ولقطة الأهلية (Snapshot)، مع حوادث حقيقية من دبي إلى كوريا الجنوبية، وبديل أكثر أمانًا عبر منصّات مرخّصة تحت VARA في دبي.
| العلامة | إسقاط جوي حقيقي | إسقاط جوي مزيف |
|---|---|---|
| طلب الأموال | لا يوجد إطلاقًا؛ حتى رسوم الغاز تُدفع من رصيد محفظتك أنت | رسوم غاز أو «فتح» مسبقة تُطلب قبل السماح بالمطالبة |
| المعلومات المطلوبة | عنوان محفظتك ونشاطك السابق على السلسلة فقط | العبارة السرية أو المفتاح الخاص، أو «ربط تحقق» يمنح موافقة شاملة |
| مسار التحقق | نطاق المشروع الرسمي الموثّق + عقد مطابق في الوثائق أو GitHub | إعلانات أو رسائل خاصة أو حسابات منتحلة، أحيانًا بنطاق مختلف بحرف واحد |
| الضغط الزمني | فترة مطالبة تمتد أسابيع إلى أشهر | عبارات استعجال مثل «ينتهي خلال ساعتين» |
| طلب التوقيع | استدعاء دالة مطالبة (claim) محددة وواضحة | موافقة Permit غير محدودة، أو تجزئة hex غير مفهومة |
1. افتتاحية: كيف سرقت رسالة من «صديق» مخترق على Steam مبلغ 170,000 دولار من محفظة Princess Hypio
2. التنظيم في الخليج (VARA وADGM) يحميك من النصابين… لكنه لا يحميك من هذا النوع بالذات
3. كيف يعمل الإسقاط الجوي الحقيقي: اللقطة التاريخية (Snapshot) وموعد توليد الرمز (TGE)
4. ربط المحفظة لا يسرق شيئًا؛ الضغط على «Sign» هو اللحظة التي تُفرَّغ فيها أموالك
5. eth_sign وpersonal_sign وEIP-712 وPermit2: لماذا تظهر بعض طلبات التوقيع كـ«رموز غير مفهومة» ولماذا هذا هو الإنذار
6. لماذا لا تحميك المحفظة الباردة (Hardware Wallet) إذا وقّعت دون أن تقرأ الشاشة
7. حوادث حقيقية 2025-2026: من اختراق Bybit بـ1.5 مليار دولار إلى امتداد Trust Wallet المزيف
8. سبعة أنماط لاحتيال الإسقاطات الجوية المزيفة تنتشر عبر تيليجرام وX وديسكورد
9. قائمة الفحص الآمنة: كيف تطالب بإسقاط جوي حقيقي خطوة بخطوة دون تفريغ محفظتك
10. البديل الأكثر أمانًا: إسقاطات المنصّات المرخّصة في دبي (Binance وOKX وBybit) مقابل التوقيع من محفظتك الشخصية
11. مسرد المصطلحات: من التوقيع الأعمى إلى Drainer-as-a-Service
12. ماذا تفعل إذا وقّعت بالفعل؟ ولماذا هذا المقال هو خط الدفاع الأول فقط
إن كنت من متابعي مجموعات تيليجرام أو حسابات X المتخصصة في ملاحقة فرص الإسقاط الجوي القادمة، فأنت هدف مباشر لصناعة احتيال متكاملة تُدار اليوم بأدوات جاهزة تُؤجَّر تحت مسمى «Drainer-as-a-Service». هذا المقال يشرح، بدقة تقنية نادرًا ما تجدها مجتمعة في مصدر عربي واحد، كيف تُسرق الأموال فعليًا في لحظة توقيعك، لا لحظة اتصالك بموقع، وكيف تحمي نفسك من هذه اللحظة تحديدًا دون أن تفوّت فرصة إسقاط جوي حقيقية.

1. افتتاحية: كيف سرقت رسالة من «صديق» مخترق على Steam مبلغ 170,000 دولار من محفظة Princess Hypio
في أغسطس 2025، فتحت فنانة NFT معروفة بمعرّف «Princess Hypio» رسالة خاصة وصلتها على منصّة تواصل من حساب صديق مقرّب تعرفه منذ سنوات. الرسالة كانت طبيعية جدًا: صديقها يعمل على لعبة جديدة على Steam، ويطلب منها تجربتها وإعطاءه رأيها قبل الإطلاق. لا شيء في الأسلوب أو اللهجة أثار الشك؛ كانت نفس طريقة كتابته المعتادة، ونفس الروابط التي يرسلها عادة حين يريد رأيها في مشروع فني.
حمّلت اللعبة، فتحتها، ووصلت إلى شاشة تطلب منها ربط محفظتها «للتحقق من الهوية داخل اللعبة». بدا الأمر منطقيًا؛ الكثير من المشاريع الفنية والألعاب اللامركزية تفعل ذلك اليوم. بعد الربط، ظهر طلب توقيع واحد، وصفته الشاشة بعبارات فنية عن «تفعيل الحساب». وقّعت. خلال دقائق معدودة، غادرت محفظتها رموز وقطع NFT بقيمة إجمالية بلغت نحو 170,000 دولار، ولم يعد أي منها.
الحساب الذي أرسل الرابط لم يكن صديقها فعلًا. كان حساب صديقها الحقيقي قد اخترق قبل أيام، واستُخدم لهذا السبب تحديدًا: لأنه مألوف، ولأن رسالة من شخص تعرفه لا تمرّ عبر نفس فلاتر الحذر التي تُشغّلها رسالة من غريب. لم تكن هناك أي منصّة مركزية، ولا KYC، ولا جهة تنظيمية بينها وبين اللحظة التي وقّعت فيها. كل ما حدث جرى بين محفظتها ونافذة توقيع، خلال ثوانٍ.
هذا النمط نفسه يتكرر يوميًا في مجموعات تيليجرام العربية والخليجية المخصصة لملاحقة الإسقاطات الجوية، حيث يكفي أن يُخترق حساب واحد «معروف» في المجموعة لينتشر رابط خبيث بثقة من عشرات الأعضاء خلال دقائق. صاحبة الحساب لم تكن ساذجة ولا طماعة؛ كانت تتعامل مع صديق حقيقي بأسلوبه المعتاد، ووقعت في فجوة تقنية دقيقة جدًا نادرًا ما تُشرح بوضوح للمستخدم العادي: ربط المحفظة بموقع خطوة، والتوقيع فيه فعليًا خطوة أخرى كليًا مختلفة الخطورة. هذه الفجوة بالذات هي محور هذا المقال بأكمله.
2. التنظيم في الخليج (VARA وADGM) يحميك من النصابين… لكنه لا يحميك من هذا النوع بالذات
إن كنت تعيش في دبي أو الرياض أو أي مدينة خليجية، فمن السهل أن تشعر بأمان إضافي. دبي بالذات بنت خلال السنوات الأخيرة واحدًا من أنضج الأطر التنظيمية للأصول الرقمية في العالم العربي بأكمله عبر هيئة تنظيم الأصول الافتراضية (VARA)، وإلى جانبها سوق أبوظبي العالمي (ADGM) بإطاره الخاص لمنطقة أبوظبي الحرة. هذان الإطاران يفرضان تراخيص صارمة على المنصّات، ومتطلبات رأس مال، وقواعد حماية عملاء، بينما لا تزال أغلب الدول العربية الأخرى تتعامل مع الأصول الرقمية بفراغ تنظيمي شبه كامل أو قواعد غامضة متغيّرة.
لكن الإسقاطات الجوية المزيفة لا تمرّ عبر أي جهة مرخّصة إطلاقًا. تخيّل مستخدمًا في دبي فتح حسابه على Binance بهوية إماراتية كاملة وKYC موافَق عليه ورقم هاتف محلي مسجّل؛ حسابه هذا خاضع فعلًا لإشراف VARA. لكن في اليوم نفسه، فتح على هاتفه رابط إسقاط جوي وصله عبر واتساب، ثم فتح تطبيق MetaMask على جهازه وربط محفظته الشخصية بذلك الموقع، ووقّع. في تلك اللحظة، لم يعد حسابه المرخّص لدى Binance طرفًا في الموضوع إطلاقًا؛ ما جرى وقع بين محفظته الشخصية وعقد ذكي كتبه شخص مجهول، ولا فرق حينها بينه وبين مستخدم في بلد ليس فيه أي جهة تنظيمية على الإطلاق.
هناك تفصيل خليجي إضافي يستحق الذكر: في معظم دول الخليج، وعلى رأسها الإمارات والسعودية، لا توجد ضريبة دخل شخصي ولا ضريبة أرباح رأسمالية على الأفراد. هذا الغياب مفيد بالطبع، لكنه يترك أثرًا نفسيًا جانبيًا؛ فبعض المستخدمين هنا لا يعتادون التفكير بوجود «جهة رسمية» تراقب حركة أصولهم، وهذا الشعور نفسه قد يجعلهم أقل حذرًا حين تظهر رسالة تطلب «تحققًا فوريًا» أو «تفعيلًا عاجلًا» لمكافأة إسقاط جوي، لأن غريزة «سأتأخر وسيلاحظ أحد رسمي» غائبة أصلًا.
أضف إلى ذلك أن تقرير Chainalysis لعام 2026 عن جرائم الأصول الرقمية رصد ارتفاعًا في احتيالات انتحال الهوية بنسبة 1,400% خلال سنة واحدة فقط في 2025، وهو نمط ينطبق حرفيًا على ما حدث مع Princess Hypio: حساب حقيقي يُخترق، أو صورة ومقطع مزيّف بتقنية التزييف العميق (deepfake) لشخصية معروفة يُستخدم للإقناع. هذا النوع من الانتحال منتشر في الحسابات العربية والخليجية بقدر ما هو منتشر في أي مكان آخر، وهي بالضبط النقطة التي لا يغطّيها أي ترخيص تنظيمي مهما بلغت صرامته.
3. كيف يعمل الإسقاط الجوي الحقيقي: اللقطة التاريخية (Snapshot) وموعد توليد الرمز (TGE)
أغلب من ينخدع بموقع مزيف يقع في الفخ لسبب بسيط: لا أحد شرح له من قبل كيف يشتغل الإسقاط الجوي الحقيقي من الداخل. المشروع الجاد يبني كل شيء حول مفهوم واحد اسمه «اللقطة» (Snapshot): يختار تاريخًا معينًا في الماضي، ثم يأخذ نسخة موثّقة من سجل النشاط الكامل على السلسلة حتى تلك اللحظة تحديدًا. يدخل ضمن هذه اللقطة كل من تفاعل مع البروتوكول، أو زوّد له سيولة، أو مرّ عبر جسر مرتبط به، أو احتفظ برمز معيّن مدة كافية تستوفي الشرط.
الأهلية هنا تُحدَّد بأثر رجعي بالكامل. إما أن محفظتك كانت نشطة بالطريقة المطلوبة قبل تاريخ اللقطة، فتكون مؤهلة، أو لم تكن كذلك، فلا تكون مؤهلة، ولا يوجد أي إجراء يمكنك اتخاذه بعد مرور ذلك التاريخ لتغيّر النتيجة. هذه النقطة وحدها تكشف كذبة شائعة جدًا في مواقع الاحتيال: أي رسالة تقول «سجّل الآن لتصبح مؤهلًا» أو «تحقّق فورًا قبل إغلاق القائمة» تخالف الآلية الأصلية من جذورها، لأن الأهلية الحقيقية تقررت في الماضي، لا في لحظة قراءتك للرسالة.
بعد اللقطة بفترة، يعلن المشروع عادة عن حدث يُسمّى TGE (Token Generation Event)، وهو اللحظة التي يُصدر فيها الرمز رسميًا على السلسلة وتُفتح فيها بوابة المطالبة الفعلية. عملية المطالبة الحقيقية لا تحدث إلا عبر نطاق (domain) المشروع الرسمي الموثّق، المرتبط من حساباته الرسمية الموثّقة على X وDiscord ووثائقه المنشورة على GitHub، وتتم بتوقيع معاملة مطالبة (claim) واحدة من محفظتك أنت مباشرة، لا من أي وسيط.
ثلاث قواعد ثابتة لا استثناء فيها في أي إسقاط جوي حقيقي: لا يُطلب منك إرسال أي مبلغ مسبقًا مهما كان صغيرًا، لا يُطلب منك أبدًا كتابة عبارتك السرية (Seed Phrase) أو مفتاحك الخاص في أي مكان، ولا يُطلب منك «ربط محفظتك للتحقق» عبر أداة فحص إسقاطات من طرف ثالث تطلب منك موافقة شاملة (approval) على رموزك قبل حتى أن تعرف إن كنت مؤهلًا أصلًا. أي موقع يخالف واحدة من هذه الثلاث فهو، بلا استثناء تقريبًا، فخ.
4. ربط المحفظة لا يسرق شيئًا؛ الضغط على «Sign» هو اللحظة التي تُفرَّغ فيها أموالك
معظم الضحايا يظنون أن اللحظة الخطرة هي حين يضغطون زر «Connect Wallet» على موقع مشبوه. هذا خطأ تقني شائع يستحق أن تحفظه جيدًا: الربط (Connect) وحده لا يفعل أكثر من كشف عنوان محفظتك العام للموقع، مثل أن تعطي شخصًا رقم حسابك البنكي؛ يعرف من أنت ويرى رصيدك، لكنه لا يستطيع سحب مليم واحد منه بمجرد معرفته لهذا الرقم. لا يوجد عقد ذكي يمكنه نقل أموال من محفظتك لمجرد أنها «متصلة» بموقعه.
التوقيع (Sign) شيء مختلف جذريًا، وهو اللحظة التي تُسرق فيها الأموال فعليًا. أي عملية تحرّك رصيدًا، أو تمنح عقدًا ذكيًا صلاحية التصرف في رموزك، تتطلب توقيعًا رقميًا من مفتاحك الخاص. اللحظة التي تضغط فيها زر «Sign» أو «Approve» أو «Confirm» داخل نافذة محفظتك (سواء MetaMask أو Trust Wallet أو محفظة باردة) هي اللحظة التي تُصادق فيها فعليًا، رياضيًا، على كل ما هو مكتوب في تلك المعاملة، سواء فهمته أم لا.
والمصيبة أن أغلب واجهات المحافظ لا تشرح لمستخدم عادي، بلغة بسيطة، معنى هذا التوقيع فعليًا. أحيانًا يظهر نص مقروء واضح يشرح ماذا سيحدث، وأحيانًا أخرى تظهر بيانات تقنية معقّدة أو رموز سداسية عشرية (hex) لا يفهمها إنسان عادي، وهنا تكمن الفخاخ الحقيقية: كثير من مواقع الاحتيال يصمم طلب التوقيع بحيث يبدو تافهًا أو روتينيًا مثل «تسجيل دخول» أو «تفعيل حساب» أو «التحقق من الأهلية»، بينما هو في الواقع تفويض كامل لعقد خبيث بسحب كل الرموز المتوافقة مع معيار معيّن من محفظتك.
5. eth_sign وpersonal_sign وEIP-712 وPermit2: لماذا تظهر بعض طلبات التوقيع كـ«رموز غير مفهومة» ولماذا هذا هو الإنذار
إذن كيف تعرف متى يكون طلب التوقيع خطيرًا فعلًا؟ محفظتك تعرض أربعة أنواع من طلبات التوقيع بأسماء تقنية مختلفة، ولكل نوع مستوى خطورة مختلف كليًا.
| نوع التوقيع/الإجراء | ما تراه فعليًا على شاشة المحفظة | مستوى الخطورة | ملاحظة |
|---|---|---|---|
| الربط البسيط (Connect) | كشف عنوان محفظتك فقط | منخفضة | لا يمكن نقل أي أموال، فقط يكشف عنوانك للموقع |
| eth_sign | تجزئة (hash) عشوائية من 32 بايت غير قابلة للقراءة إطلاقًا | الأعلى خطورة | محافظ مثل MetaMask تُظهر تحذيرًا أحمر صريحًا، لأن أي معاملة تقريبًا يمكن تزويرها عبر هذا النمط |
| personal_sign | رسالة نصية عادية | متوسطة | يمكن أن تُخفي الرسالة، ضمن نصها، تفويضًا فعليًا لا يبدو واضحًا لغير المتخصص |
| EIP-712 (عبر eth_signTypedData_v4) | بيانات منظّمة على شكل حقول مقروءة (JSON) | متوسطة، وتنخفض إن قرأتها فعلاً | يجب فحص كل حقل بعناية؛ البنية المتداخلة قد تُخفي التفاصيل الحساسة في أسفل القائمة |
| موافقة Permit / Permit2 | تفويض غير محدود (Unlimited) لعقد معيّن على رمز معيّن | عالية | شكّلت وحدها نحو 38% من خسائر عام 2025 التي تجاوزت المليون دولار للحادثة الواحدة؛ توقيع واحد خارج السلسلة يكفي لسحب الأموال داخل السلسلة لاحقًا دون توقيع جديد |
Permit وPermit2 يستحقان توضيحًا إضافيًا لأنهما السبب الأكبر خلف خسائر 2025. بدل أن يطلب منك عقد ذكي توقيعًا مباشرًا على السلسلة في كل مرة يريد فيها التصرف بأموالك (وهو ما يكلّف رسوم غاز ويترك أثرًا واضحًا)، تسمح هذه المعايير بتوقيع رسالة واحدة «خارج السلسلة» تمنح تفويضًا يمكن استخدامه لاحقًا، أحيانًا بمبلغ غير محدود، دون أي توقيع إضافي منك. هذا مريح جدًا للتطبيقات الشرعية مثل منصّات التداول اللامركزية، لكنه سلاح مثالي للاحتيال: توقيع واحد، يبدو بسيطًا، يفتح الباب لسحب كل رصيدك من رمز معيّن في أي وقت لاحق دون أن تلاحظ.
الإشارة التي يجب أن توقفك فورًا في كل هذا: طلب موافقة Permit بمبلغ غير محدود من تطبيق لا مركزي (dApp) لا تعرفه ولم تتفاعل معه من قبل. لا يوجد سبب مشروع يجعل «إسقاطًا جويًا» يحتاج تفويضًا غير محدود على رموزك الأخرى لكي يمنحك رموزًا جديدة.
6. لماذا لا تحميك المحفظة الباردة (Hardware Wallet) إذا وقّعت دون أن تقرأ الشاشة
ينتشر اعتقاد شائع يقول إن اقتناء محفظة باردة (Hardware Wallet) مثل Ledger أو Trezor يحلّ المشكلة بالكامل. هذا صحيح جزئيًا فقط، وهو تحديدًا التوضيح الذي نادرًا ما تجده مكتوبًا بصراحة في مقالات التوعية العربية. المحفظة الباردة تحمي مفتاحك الخاص من التسريب عبر الإنترنت لأنه لا يغادر الجهاز إطلاقًا، لكنها لا تفهم نيابة عنك محتوى ما توافق عليه. الجهاز يعرض لك ملخصًا لما سيوقّعه، وإذا ضغطت زر الموافقة على شاشته الصغيرة دون قراءة ذلك الملخص فعليًا، فإن الجهاز سيوقّع بأمانة تامة على تفويض يُفرغ محفظتك، بنفس الطريقة التي توقّع بها محفظة برمجية عادية.
ولا يفرق معك هنا حتى لو كان الجهاز Ledger أصليًا بأحدث تحديث. إذا لم تقرأ ما هو مكتوب على شاشته الصغيرة وضغطت «موافق» مباشرة، يمضي الجهاز في تنفيذ التفويض بأمانة، وتخرج محفظتك فارغة، كأنك وقّعت من متصفح عادي بلا أي جهاز حماية. حتى مؤسسة تملك من الموارد والخبرة الأمنية ما يفوق أي مستخدم فردي بمراحل وقعت في هذا بالذات: في فبراير 2025، وقّع موظف مخوّل داخل Bybit على معاملة بدت له عادية على شاشة جهازه، بينما كانت تلك الشاشة نفسها مخترقة، تعرض له شيئًا غير الذي سيحدث فعليًا بعد الضغط على «موافق». التفاصيل الكاملة في القسم التالي، لكن الخلاصة هنا بسيطة: مستخدم فردي يوقّع بعينين مغمضتين وفريق أمان مؤسسي يفعل نفس الشيء، النتيجة واحدة، لأن كليهما يعتمد بالكامل على صحة ما تعرضه الشاشة أمامه.
7. حوادث حقيقية 2025-2026: من اختراق Bybit بـ1.5 مليار دولار إلى امتداد Trust Wallet المزيف
الأرقام التالية موثّقة من تقارير Scam Sniffer وCertiK وChainalysis 2026 وبيانات رسمية. حسب تقرير Scam Sniffer السنوي، هبطت خسائر التصيّد عبر أدوات الدرينر (Wallet Drainer) إلى نحو 83.85 مليون دولار خلال 2025، أي بانخفاض 83% مقارنة بنحو 494 مليون دولار في 2024، وتراجع عدد الضحايا بنسبة 68% إلى نحو 106,000 ضحية، وانخفض متوسط خسارة الضحية الواحدة من نحو 1,500 دولار إلى 790 دولارًا فقط. هذا التحسّن يعود بالدرجة الأولى إلى تطوّر أدوات الفحص المدمجة في المحافظ نفسها وارتفاع وعي المستخدمين بمخاطر التوقيع الأعمى. لكن الرقم الإجمالي المنخفض لا يعني أن الخطر زال؛ الربع الثالث من 2025 وحده، الذي تزامن مع أقوى ارتفاع لسعر إيثريوم خلال العام، سجّل نحو 31 مليون دولار من الخسائر بمفرده، وأكبر عملية سرقة فردية واحدة خلال العام بلغت 6.5 مليون دولار عبر توقيع من نوع Permit، إلى جانب ظهور نمط هجوم جديد يستغل ترقية Pectra على إيثريوم عبر EIP-7702، وهو ما ستراه بالتفصيل في الجدول التالي.
| التاريخ | الحادثة | الحجم | الآلية |
|---|---|---|---|
| 2025-02-21 | اختراق منصّة Bybit (مجموعة Lazarus / TraderTraitor) | 1.5 مليار دولار | اختراق جهاز أحد مطوّري Safe{Wallet} وحقن كود خبيث في شاشة التوقيع |
| مايو 2025 (تراكمي) | عودة نشاط Inferno Drainer | أكثر من 30,000 ضحية و9 مليون دولار خلال 6 أشهر (والادّعاء التراكمي منذ 2024 يتجاوز 250 مليون دولار) | إساءة استخدام Permit2 عبر الإصدار v6.6.6 من أداة الدرينر |
| سبتمبر–نوفمبر 2025 | امتداد كروم مزيف باسم «Safery: Ethereum Wallet» | سرقة العبارة السرية لكل من ثبّت الامتداد | متاح فعليًا على متجر Chrome الرسمي لعدة أسابيع، ويُشفّر العبارة السرية داخل معاملات دقيقة جدًا (0.000001 SUI) على شبكة Sui |
| 2025-12-24 | اختراق امتداد Trust Wallet على متصفح كروم | بين 7 و8.5 مليون دولار، أكثر من 2,500 محفظة متأثرة | تسريب أسرار من GitHub ومفتاح واجهة برمجية لمتجر Chrome، ثم توزيع نسخة خبيثة كأنها تحديث رسمي |
| 2025-11-27 | اختراق منصّة Upbit الكورية | نحو 45.5 مليار وون كوري (قرابة 30 مليون دولار) | تسريب خلال 54 دقيقة فقط بين الساعة 04:42 و05:36 إلى محفظة خارجية |
| 2026-03-19 | تحذير رسمي من مكتب التحقيقات الفيدرالي الأمريكي (FBI) | — | إسقاط جوي وهمي لعملة «FBI Token» على معيار TRC-20 بشبكة ترون |
| 2026-03-23 | موجة تصيّد مواكبة لحدث TGE منصّة Backpack | — | مواقع مقلّدة ظهرت خلال ساعات قليلة من فتح باب المطالبة الرسمي |
حادثة Bybit بالتفصيل: في 21 فبراير 2025، اخترقت مجموعة القرصنة الكورية الشمالية Lazarus (المعروفة أيضًا باسم TraderTraitor) جهاز أحد مطوّري Safe{Wallet}، وهي أداة تُستخدم لإدارة المحافظ متعددة التوقيع. حقنت المجموعة كودًا خبيثًا غيّر ما تعرضه شاشة التوقيع للموظفين المخوّلين في Bybit، بحيث بدت المعاملة طبيعية بينما كانت الوجهة الحقيقية للأموال مختلفة كليًا. تحرّك أكثر من 400,000 وحدة ETH وstETH، بقيمة إجمالية بلغت 1.5 مليار دولار، في أكبر عملية سرقة أصول رقمية واحدة في التاريخ حتى اليوم. غُسل ما لا يقل عن 160 مليون دولار من المبلغ خلال أول 48 ساعة فقط.
توضيح مهم للأمانة العلمية: حادثة Bybit تصنيف مختلف عن بقية الأمثلة في هذا المقال؛ فهي اختراق بنية تحتية مؤسسية عبر سلسلة توريد (جهاز مطوّر أداة خارجية هو Safe{Wallet})، وليست ضحية فردية ضغطت رابط إسقاط جوي مزيف. أدرجناها هنا رغم هذا الاختلاف لأن آلية الخداع في جوهرها واحدة: تغيير ما تعرضه شاشة التوقيع عن حقيقة ما سيحدث فعليًا بعد الضغط على «موافق». فريق أمان محترف داخل منصّة عالمية بحجم Bybit وقع في نفس الفخ الذي يقع فيه مستخدم فردي يفتح موقع إسقاط جوي مزيف دون تدقيق الشاشة.
8. سبعة أنماط لاحتيال الإسقاطات الجوية المزيفة تنتشر عبر تيليجرام وX وديسكورد
معظم عمليات الاحتيال المرتبطة بالإسقاطات الجوية تتكرر ضمن سبعة أنماط ثابتة، وتنتشر بكثافة عبر تيليجرام وX وديسكورد تحديدًا لأن هذه المنصّات هي مركز مجتمعات ملاحقة الإسقاطات (Airdrop Hunting) في العالم العربي وخارجه.
- مواقع مطالبة مزيفة تنتحل مشاريع حقيقية: إعلانات ممولة أو روابط تصيّد تظهر عند البحث عن اسم مشروع قادم فعليًا لتوليد رمزه (TGE)، بنطاق مشابه للنطاق الرسمي بحرف أو رمز واحد فقط.
- اختراق الحسابات الرسمية للمشروع نفسه: يُخترق حساب Discord أو X أو Telegram الرسمي للمشروع، ويُنشر منه إعلان مطالبة مزيف يبدو، لكل الأغراض العملية، وكأنه صادر عن الفريق الحقيقي.
- هجمات الغبار (Dusting Attacks): يُرسل المحتال كمية صغيرة جدًا من رمز غير مرغوب إلى محفظتك دون طلب منك، ثم تُغرى بالتفاعل معه (فحص قيمته، أو محاولة مبادلته) عبر واجهة تبدو عادية، فتوافق دون قصد على تفويض عقد ذكي خبيث.
- امتدادات متصفح مزيفة: امتدادات تُنتحل هوية محافظ حقيقية أو أدوات فحص إسقاطات، وقد تصل حتى إلى متاجر رسمية مثل Chrome Web Store قبل أن تُكتشف وتُزال، كما حدث مع امتداد «Safery».
- تطبيقات جوال مزيفة تنتحل أدوات فحص الأهلية: تطبيقات تدّعي أنها «فاحص إسقاطات جوية» رسمي، وتطلب في الحقيقة عبارتك السرية أو ربطًا شاملًا بمحفظتك.
- ضغط الاستعجال والندرة المصطنعة: عبارات مثل «المطالبة تنتهي خلال ساعتين» أو «آخر 50 مقعدًا متبقيًا»، وهي ظاهرة نادرة جدًا في تجربة الإسقاطات الجوية الحقيقية؛ فترات المطالبة الفعلية تمتد عادة أسابيع إلى أشهر كاملة، ولا يوجد سبب مشروع يجعل مشروعًا جادًا يضغط عليك زمنيًا بهذا الشكل.
- طلب دفع «رسوم غاز» أو «رسوم فتح» مسبقة: النمط الأخطر والأسهل تمييزًا بمجرد معرفته: أي طلب لتحويل مبلغ، مهما صغر، إلى عنوان محفظة قبل السماح لك بالمطالبة، هو احتيال بلا استثناء تقريبًا. المطالبة الحقيقية تدفع رسوم الغاز من رصيد محفظتك أنت وقت التوقيع، وليست دفعة منفصلة مسبقة لعنوان طرف آخر.
9. قائمة الفحص الآمنة: كيف تطالب بإسقاط جوي حقيقي خطوة بخطوة دون تفريغ محفظتك
هذه قائمة عملية يمكنك اتباعها حرفيًا في كل مرة تريد فيها المطالبة بإسقاط جوي، سواء بدا واضحًا أم مشكوكًا فيه.
- تحقّق من النطاق الرسمي عبر مصدر موثّق: لا تنقر رابطًا من رسالة خاصة أو إعلان. اذهب مباشرة إلى حساب المشروع الموثّق على X، أو وثائقه الرسمية المنشورة، وتأكد أن رابط المطالبة مذكور هناك حرفيًا.
- قارن عنوان العقد الذكي: افتح مستكشف الكتل المناسب للسلسلة (Etherscan لإيثريوم مثلًا) أو صفحة GitHub الرسمية للمشروع، وقارن عنوان العقد المذكور هناك مع العنوان الذي يطلب منك الموقع التفاعل معه، حرفًا بحرف.
- استخدم محفظة مؤقتة (Burner Wallet) مخصصة: جهّز محفظة منفصلة، بمبلغ صغير جدًا لا يهمّك خسارته، مخصصة حصريًا للتفاعل مع مواقع مطالبة غير موثقة بالكامل بعد. لا تربط بها محفظتك الرئيسية إطلاقًا.
- اقرأ محتوى طلب التوقيع فعليًا قبل الموافقة: إن ظهر نص غير مفهوم (تجزئة hex عشوائية)، أو كلمة «Permit» مصحوبة بمبلغ «غير محدود» (Unlimited)، من تطبيق لم تسمع به من قبل، ارفض التوقيع فورًا مهما بدا السياق مغريًا.
- اسحب الموافقات فور الانتهاء من المطالبة: بمجرد استلام الرمز الجديد، راجع كل الموافقات (Approvals) التي منحتها لعقود ذلك الموقع واسحبها فورًا. اطّلع على دليلنا الكامل لسحب موافقات الرموز خطوة بخطوة على هذا الرابط.
- لا تتفاعل مع أي رمز وصل محفظتك دون طلب منك: إن وجدت رمزًا مجهولًا في محفظتك ولم تطلبه، لا تحاول فحص قيمته أو مبادلته من نفس المحفظة الرئيسية؛ تجاهله ببساطة.
10. البديل الأكثر أمانًا: إسقاطات المنصّات المرخّصة في دبي (Binance وOKX وBybit) مقابل التوقيع من محفظتك الشخصية
هناك مسار بديل يقلّل خطر التوقيع الأعمى إلى الصفر تقريبًا، وبنيته مختلفة من الأساس: برامج الإسقاط الجوي الخاصة بالمنصّات المرخّصة نفسها. في دبي تحديدًا، تملك منصّات عالمية كبرى مثل Binance وBybit وOKX حضورًا وترخيصًا فعليًا تحت مظلة VARA، وتقدّم جميعها برامج إسقاط جوي منتظمة لمستخدميها: Binance عبر برنامج HODLer Airdrops، وOKX عبر Jumpstart، وBybit عبر Launchpool، إضافة إلى برامج مشابهة لدى Gate وMEXC وKuCoin.
في هذه البرامج، نافذة التوقيع لا تفتح من الأساس. تحتفظ بعملتك داخل حسابك على المنصّة كالمعتاد، والنظام يمسح رصيدك تلقائيًا في تاريخ يحدده هو مسبقًا، ثم يضيف لك الرمز الجديد مباشرة دون أن تلمس شيئًا. لا تفتح MetaMask، ولا تضغط «Connect»، ولا يظهر أمامك أي طلب «Permit» بمبلغ غير محدود. الشرط الوحيد عادة أن تكون محتفظًا برصيد معيّن من عملة معينة لفترة محددة، وهذا يتحقق بشكل طبيعي أثناء استخدامك العادي للمنصّة.
هذا لا يعني أن هذه البرامج تعوّض كل الإسقاطات اللامركزية الحقيقية؛ بعض المشاريع تختار توزيع رموزها حصريًا لمن تفاعل مع بروتوكولاتها مباشرة على السلسلة. لكن لمن يريد تقليل تعرّضه لمخاطر التوقيع الأعمى قدر الإمكان، فالتسجيل في منصّة مرخّصة تحت VARA ومتابعة برامج الإسقاط الرسمية بها يبقى المسار الأكثر أمانًا هيكليًا من حيث المبدأ.
Binance
OKX
Bybit
11. مسرد المصطلحات: من التوقيع الأعمى إلى Drainer-as-a-Service
مصطلحات تقنية تحتاج فهمها لتقرأ أي نقاش عن أمان المحافظ والإسقاطات الجوية بثقة، بعيدًا عن الترجمة الحرفية المبهمة.
- التوقيع الأعمى (Blind Signing): الموافقة على معاملة أو رسالة دون قراءة أو فهم محتواها الفعلي، سواء لأن الواجهة تعرضه بصيغة غير مفهومة (hex)، أو لأن المستخدم لم يقرأ التفاصيل المعروضة أصلًا رغم وضوحها.
- Permit2: معيار توقيع خارج السلسلة يسمح لمستخدم بمنح عقد ذكي صلاحية التصرف بكمية محددة (أو غير محدودة) من رمز معيّن، دون الحاجة لمعاملة موافقة منفصلة على السلسلة في كل مرة. مريح للتطبيقات الشرعية، وخطير جدًا حين يُستخدم في مواقع احتيال.
- Drainer وDrainer-as-a-Service: «الدرينر» هو مجموعة أكواد جاهزة (سكربتات) مصممة خصيصًا لسرقة الأصول من محفظة بمجرد حصولها على توقيع خبيث واحد. نموذج Drainer-as-a-Service يعني أن مطوّرين يبنون هذه الأدوات ثم يؤجّرونها لمحتالين آخرين مقابل نسبة من الأرباح، وهو ما يفسّر انتشار مواقع احتيال متقنة المظهر رغم أن مشغّليها قد لا يملكون أي مهارة برمجية حقيقية.
- اللقطة (Snapshot): نسخة موثّقة من سجل نشاط المحافظ على السلسلة في تاريخ ماضٍ محدد، تُستخدم لتحديد الأهلية للإسقاط الجوي بأثر رجعي.
- TGE (Token Generation Event): اللحظة التي يُصدر فيها مشروع رمزه الرقمي رسميًا على السلسلة لأول مرة، وعادة ما تُفتح فيها بوابة المطالبة بالإسقاط الجوي المرتبط بذلك المشروع.
- هجوم الغبار (Dusting Attack): إرسال كمية صغيرة جدًا من رمز غير مرغوب إلى محفظة مستخدم دون طلبه، بهدف إغرائه بالتفاعل معه، وهو ما قد يُستخدم كخطوة أولى نحو استدراجه لمعاملة خبيثة أو، في حالات أخرى، لتتبّع نشاطه على السلسلة.
- المحفظة المؤقتة (Burner Wallet): محفظة ثانوية منفصلة بالكامل عن محفظتك الرئيسية، تحتفظ بمبلغ صغير فقط، وتُستخدم حصريًا للتفاعل مع مواقع أو تطبيقات غير موثوقة بالكامل بعد.
- eth_sign / personal_sign / EIP-712: ثلاث طرق تقنية مختلفة تطلب بها التطبيقات اللامركزية توقيعك، بمستويات مختلفة من الوضوح والخطورة، مشروحة بالتفصيل في القسم الخامس أعلاه.
- تسميم عنوان المحفظة (Address Poisoning): إرسال معاملة تافهة من عنوان مزيف يشبه عنوانًا تتعامل معه بانتظام (بنفس الأحرف الأولى والأخيرة)، بهدف أن ينسخ المستخدم عن طريق الخطأ العنوان الخبيث من سجل معاملاته لاحقًا بدل العنوان الصحيح.
12. ماذا تفعل إذا وقّعت بالفعل؟ ولماذا هذا المقال هو خط الدفاع الأول فقط
إن كنت وقّعت بالفعل على شيء تشك فيه الآن، فأول خطوة، قبل أي شيء آخر، هي سحب كل الموافقات (Approvals) الممنوحة لذلك العقد فورًا، حتى لو لم تلاحظ بعد أي حركة غير مصرح بها في محفظتك؛ بعض المحتالين يؤجلون السحب الفعلي ساعات أو أيامًا لتجنّب الشك الفوري. دليلنا المفصل خطوة بخطوة لسحب موافقات الرموز عبر أدوات مجانية موثوقة موجود على هذا الرابط.
إذا كنت تشك أن عبارتك السرية (Seed Phrase) نفسها قد تسرّبت في مكان ما، وليس مجرد موافقة واحدة على عقد، فالخطر أكبر بكثير من موافقة قابلة للسحب، لأن من يملك العبارة السرية يملك المحفظة بأكملها إلى الأبد ما لم تُنقل الأصول فورًا. راجع دليلنا الكامل للتعامل مع تسريب عبارة الاسترداد على هذا الرابط.
وإذا كانت الخسارة قد وقعت فعلًا وتريد أن تعرف بواقعية هل هناك أي احتمال لاسترداد الأموال المسروقة، دون وعود كاذبة من «خدمات استرداد» تطلب رسومًا مقدّمة (وهي بحد ذاتها احتيال ثانٍ فوق الأول)، فقد كتبنا تحليلًا صريحًا للاحتمالات الواقعية على هذا الرابط.
حدّد وضعك بدقة الآن لتعرف أي دليل من الثلاثة تحتاجه فعلًا: إن كنت تقرأ هذا المقال قبل أي توقيع، فقائمة الفحص في القسم التاسع أعلاه كافية وحدها. إن وقّعت اليوم أو أمس على شيء تشك فيه ولم تلاحظ بعد أي حركة غير معتادة، فابدأ فورًا من دليل سحب الموافقات دون انتظار تأكيد إضافي. أما إن مرّت أيام أو أسابيع منذ التوقيع ولاحظت الآن أن أصولًا اختفت فعليًا من محفظتك، فانتقل مباشرة إلى دليل استرداد الأصول المسروقة، لأن سحب الموافقات وحده لن يعيد شيئًا خرج بالفعل.
الأسئلة الشائعة حول الإسقاطات الجوية المزيفة
قارن المنصّات المرخّصة الموثوقة تحت VARA وابدأ حسابًا آمنًا الآن







