فوضى Web3 تضرب بقوة: سرقة ملايين في أسبوعين فقط من عام 2026 – تقرير

تقرير إكستروبي عن الاختراقات الكبرى للعملات الرقمية في يناير 2026. تروبيتف تفقد 26 مليون دولار، واختراق بيانات ليدجر يكشف عن المستخدمين، وارتفاع هجمات التصيد.

جلبت أول أسبوعين من عام 2026 موجة من حوادث الأمان عبر منصات الويب 3.

نشرت إكستروبي تقريرها “أمان بايتس” الذي يوثق هذه الأحداث. تظهر النتائج صورة مقلقة لمشهد التهديدات الحالي.

وفقًا للتقرير، واصل المهاجمون عملياتهم خلال موسم العطلات. تراوحت الأضرار بين استغلالات بملايين الدولارات وحملات تصيد متطورة.

بروتوكول تروبيتف يخسر $26 مليون بسبب خلل في الكود القديم

وقع أول حادث كبير في العام يوم 8 يناير مع بروتوكول تروبيتف. حيث قام مهاجم بتفريغ حوالي $26 مليون دولار في ما تسميه إكستروبي استغلال “كود الزومبي”.

نشأت الثغرة من تجاوز في عدد صحيح في العقود الذكية القديمة. كانت هذه العقود تفتقر إلى حماية من تجاوزات Solidity الحديثة. قام المهاجم بإنشاء ملايين من رموز TRU بتكلفة تقريبًا لا شيء.

بمجرد إنشائها، عادت الرموز إلى البروتوكول. اختفت جميع السيولة المتاحة خلال ساعات. انهار سعر رمز TRU بنسبة تقارب 100% خلال 24 ساعة فقط.

تلاحظ إكستروبي أن المهاجم نقل 8,535 ETH عبر Tornado Cash على الفور. وربطت شركات الأمان لاحقًا المحفظة باستغلال سابق لبروتوكول Sparkle. مما يشير إلى تكرار المهاجم استهداف العقود المهجورة بشكل خاص.

يحذر التقرير من أن العقود القديمة لا تزال تمثل ثغرة حرجة. يجب على المشاريع إما مراقبة أو إيقاف الكود القديم بشكل نشط.

TMXTribe يراقب تصريف 1.4 مليون دولار خلال 36 ساعة

بين 5 و7 يناير، تعرضت TMXTribe لهجوم أبطأ لكنه مدمّر بنفس القدر. فقدت نسخة GMX على Arbitrum حوالي 1.4 مليون دولار خلال 36 ساعة متواصلة.

تصف إكستروبي الاستغلال بأنه بسيط ميكانيكيًا. حيث قام حلقة بتوليد رموز LP، ثم استبدالها بعملات مستقرة، ثم إلغاء الرهن بشكل متكرر. العقود غير الموثوقة منعت التحليل العام للثغرة الدقيقة.

ما أزعج الباحثين أكثر هو استجابة الفريق. وفقًا للتقرير، ظل المطورون نشطين على السلسلة طوال الهجوم. قاموا بنشر عقود جديدة وتنفيذ ترقيات أثناء التصريف.

ومع ذلك، لم يقوموا بتفعيل وظيفة التوقف الطارئ. بدلًا من ذلك، أرسل الفريق رسالة مكافأة على السلسلة للمهاجم. تجاهل اللص الرسالة، ونقل الأموال إلى إيثريوم، وغسلها عبر Tornado Cash.

تشكك إكستروبي فيما إذا كان هذا إهمالًا أو شيء أسوأ. يؤكد التقرير أن العقود غير الموثوقة تعتبر علامات حمراء للمستخدمين.

في الأيام الأولى من يناير، رأينا بالفعل الطيف الكامل لطرق فشل الويب 3: عقود الزومبي تطبع المال، والحوكمة تتحول إلى حرب أهلية، والفروع غير الموثوقة تنزف ببطء، وتسربات سلسلة التوريد تضع المستخدمين في خطر جسدي، وهجمات التصيد التي تستخدم… https://t.co/ev1flKir3D

— Extropy.io (@Extropy) 13 يناير 2026

عملاء ليدجر يواجهون مخاطر أمنية جسدية

في 5 يناير، أكدت ليدجر حدوث اختراق للبيانات يؤثر على قاعدة عملائها. نشأ الاختراق من معالج الدفع Global-e، وليس من أجهزة ليدجر.

تم اختراق أسماء العملاء، عناوين الشحن، ومعلومات الاتصال. تحذر إكستروبي من أن هذا يخلق سيناريوهات تسمى “هجوم المفك” من قبل خبراء الأمان. الآن يمتلك المهاجمون قائمة بأصحاب محافظ العملات الرقمية ومواقعهم.

يشير التقرير إلى سخرية مريرة. كانت ليدجر قد تعرضت لانتقادات سابقًا لفرض رسوم على ميزات الأمان. الآن، كشف معالج الدفع الخاص بهم عن المستخدمين للخطر الجسدي بدون تكلفة.

تنصح إكستروبي المستخدمين بتوقع محاولات تصيد متطورة. تسمح البيانات المسروقة للمهاجمين بإنشاء ثقة زائفة من خلال اتصالات مخصصة.

_قراءة ذات صلة: _****ملخص حوادث الأمان حول محافظ ليدجر

حملة تصيد MetaMask تسرق 107,000 دولار

أشار الباحث الأمني ZachXBT إلى عملية تصيد متطورة تستهدف مستخدمي MetaMask. وقد استولت الحملة على أكثر من 107,000 دولار من مئات المحافظ.

تلقى الضحايا رسائل بريد إلكتروني احترافية تدعي وجود ترقية إلزامية لعام 2026. استخدمت الرسائل قوالب تسويق شرعية وظهرت شعار MetaMask المعدل. تصف إكستروبي تصميم الثعلب “قبعة الحفلة” بأنه مبهج بشكل مخادع.

تجنب الاحتيال طلب كلمات السر. بدلاً من ذلك، طلب من المستخدمين توقيع موافقات على العقود. سمح ذلك للمهاجمين بنقل رموز غير محدودة من محافظ الضحايا.

من خلال إبقاء عمليات السرقة الفردية أقل من 2000 دولار، تجنبت العملية التنبيهات الكبرى. تؤكد إكستروبي أن التوقيعات يمكن أن تكون خطيرة بقدر المفاتيح المسربة.