فوضى Web3 تضرب بقوة: ملايين مستنزفة في أسبوعين فقط من 2026 – تقرير

تقرير Extropy عن اختراقات كريبتو كبرى في يناير 2026. Truebit تخسر 26 مليون دولار، خرق بيانات Ledger يعرض المستخدمين، وهجمات الاحتيال الإلكتروني تتصاعد.

جلبت الأسبوعين الأولين من عام 2026 موجة من حوادث أمن الحساب عبر منصات Web3.

نشرت Extropy تقريرها Security Bytes الذي يوثق هذه الأحداث. تصور النتائج صورة مقلقة للمشهد التهديدي الحالي.

وفقاً للتقرير، واصل المهاجمون عملياتهم خلال موسم العطلات. تراوحت الأضرار من عمليات استغلال بملايين الدولارات إلى حملات احتيال إلكتروني متطورة.

بروتوكول Truebit يخسر 26 مليون دولار بسبب خلل في الكود القديم

ضربت الحادثة الكبرى الأولى للعام بروتوكول Truebit في 8 يناير. استنزف مهاجم حوالي 26 مليون دولار فيما تسميه Extropy استغلال "الكود الميت".

نشأت الثغرة الأمنية من تجاوز عدد صحيح في العقود الذكية القديمة. كانت هذه العقود الأقدم تفتقر إلى حماية التجاوز الأصلية في Solidity الحديثة. قام المهاجم بسك ملايين من رموز TRU بتكلفة تكاد تكون معدومة.

بمجرد إنشائها، غمرت الرموز البروتوكول من جديد. اختفت جميع السيولة المتاحة في غضون ساعات. انهار سعر رمز TRU بنسبة 100٪ تقريباً في 24 ساعة فقط.

تلاحظ Extropy أن المهاجم نقل 8,535 ETH عبر Tornado Cash على الفور. ربطت شركات الأمن لاحقاً المحفظة باستغلال سابق لبروتوكول Sparkle. وهذا يشير إلى مجرم متكرر يستهدف على وجه التحديد العقود المهجورة.

يحذر التقرير من أن العقود القديمة تظل ثغرة أمنية حرجة. يجب على المشاريع إما مراقبة الكود القديم أو إيقافه بنشاط.

TMXTribe تشاهد استنزاف 1.4 مليون دولار على مدى 36 ساعة

بين 5 يناير و7 يناير، عانى TMXTribe من هجوم أبطأ ولكن مدمر بنفس القدر. خسر فورك GMX على Arbitrum 1.4 مليون دولار على مدى 36 ساعة متواصلة.

تصف Extropy الاستغلال بأنه بسيط ميكانيكياً. قامت حلقة بسك رموز LP، وتبديلها بعملات مستقرة، ثم إلغاء التخزين بشكل متكرر. منعت العقود غير المتحقق منها التحليل العام للخلل الدقيق.

ما أزعج الباحثين أكثر كان استجابة الفريق. وفقاً للتقرير، ظل المطورون نشطين على السلسلة طوال الهجوم. نشروا عقوداً جديدة ونفذوا ترقيات أثناء الاستنزاف.

ومع ذلك، لم يقوموا أبداً بتفعيل وظيفة الإيقاف الطارئ. أرسل الفريق رسالة مكافأة على السلسلة إلى المهاجم بدلاً من ذلك. تجاهلها اللص، ونقل الأموال إلى Ethereum، وغسلها عبر Tornado Cash.

تتساءل Extropy عما إذا كان هذا يمثل إهمالاً أو شيئاً أسوأ. يؤكد التقرير أن العقود غير المتحقق منها تعمل كعلامات حمراء للمستخدمين.

عملاء Ledger يواجهون مخاطر أمنية مادية

في 5 يناير، أكدت Ledger خرق بيانات يؤثر على قاعدة عملائها. نشأ الخرق من معالج الدفع Global-e، وليس من أجهزة Ledger.

تم اختراق أسماء العملاء وعناوين الشحن ومعلومات الاتصال. تحذر Extropy من أن هذا يخلق ما يسميه خبراء الأمن سيناريوهات "هجوم المفتاح الإنجليزي". يمتلك المهاجمون الآن قائمة بمالكي محافظ الأجهزة المشفرة ومواقعهم.

يشير التقرير إلى مفارقة مريرة. واجهت Ledger سابقاً انتقادات لفرضها رسوماً على ميزات الأمان. الآن عرّض معالج الدفع الخاص بهم المستخدمين لخطر جسدي دون تكلفة.

تنصح Extropy المستخدمين بتوقع محاولات احتيال إلكتروني متطورة. تسمح البيانات المسروقة للمهاجمين بإنشاء ثقة زائفة من خلال اتصالات شخصية.

قراءة ذات صلة: ملخص لحوادث الأمن المحيطة بمحافظ أجهزة Ledger

حملة الاحتيال الإلكتروني على MetaMask تستنزف 107,000 دولار

أشار باحث الأمن ZachXBT إلى عملية احتيال إلكتروني متطورة تستهدف مستخدمي MetaMask. استنزفت الحملة أكثر من 107,000 دولار من مئات المحافظ.

تلقى الضحايا رسائل بريد إلكتروني احترافية تدعي ترقية إلزامية لعام 2026. استخدمت الرسائل قوالب تسويقية شرعية وتضمنت شعار MetaMask معدلاً. تصف Extropy تصميم الثعلب بـ"قبعة الحفلة" بأنه احتفالي بشكل مضلل.

تجنبت عملية الاحتيال طلب العبارات الأولية. بدلاً من ذلك، طالبت المستخدمين بتوقيع موافقات العقود. وهذا سمح للمهاجمين بنقل رموز غير محدودة من محافظ الضحايا.

من خلال الحفاظ على السرقات الفردية أقل من 2,000 دولار، تجنبت العملية التنبيهات الرئيسية. تؤكد Extropy أن التوقيعات يمكن أن تكون خطيرة مثل المفاتيح المسربة.

ظهر المنشور فوضى Web3 تضرب بقوة: ملايين مستنزفة في أسبوعين فقط من عام 2026 - تقرير أولاً على Live Bitcoin News.