ارزهای دیجیتالاخبار ارز دیجیتال

۵ کلاهبرداری زیرپوستی در دنیای رمزارزها که باید در سال ۲۰۲۵ به آن‌ها توجه کنید

شرکت امنیت بلاک‌چین SlowMist در گزارش تحلیلی فصل دوم خود تحت عنوان MistTrack Stolen Fund Analysis هشدار داده که هرچند تکنیک‌های فنی هک رمزارزی نسبت به گذشته پیشرفت چندانی نداشته‌اند، اما روش‌های کلاهبرداری از منظر روان‌شناختی بسیار پیشرفته‌تر، زیرکانه‌تر و پیچیده‌تر شده‌اند.

هکرها اکنون برخلاف گذشته که تمرکز بر حملات زنجیره‌ای (on‑chain) داشتند، از نقاط ضعف خارج از زنجیره (off‑chain) نظیر مرورگرها، افزونه‌ها، شبکه‌های اجتماعی و شیوه‌های احراز هویت برای سوءاستفاده استفاده می‌کنند.

در ادامه، پنج مورد از موذیانه‌ترین روش‌های کلاهبرداری اخیر را بررسی می‌کنیم:

۱. افزونه‌های جعلی مرورگر با ژست ابزار امنیت

یک مورد برجسته، افزونه‌ای به نام «Osiris» برای مرورگر کروم است که ادعا می‌کرد به‌عنوان پلاگین امنیتی، لینک‌های فیشینگ را شناسایی می‌کند. اما در واقع، این افزونه تمام فایل‌های دانلودی با پسوندهای .exe، .dmg و .zip را رهگیری و با بدافزار جایگزین می‌کرد.

به طرز موذیانه‌ای، کاربرانی که از سایت‌های معتبر مثل Zoom یا Notion نرم‌افزار دانلود می‌کردند نیز قربانی این ترفند شدند؛ زیرا مرورگر عرضه فایل را از سایت رسمی نمایش می‌داد، در حالی که فایل آلوده شده بود.

افزونه سپس داده‌های حساس کاربر را جمع‌آوری می‌کرد، از جمله اطلاعات ذخیره‌شده در مرورگر کروم و کلیدهای ذخیره‌شده در macOS Keychain، و آن‌ها را برای مهاجم ارسال می‌کرد.

اطلاعات حساس از رایانه قربانی به سرور مهاجم ارسال میشود

۲. کیف‌پول‌های سخت‌افزاری دستکاری‌شده

متقلبان با ارسال کیف‌پول سخت‌افزاری تعمیری، با ادعای “برنده‌شدن در قرعه‌کشی” یا ارسال هشداری مبنی بر «خراب بودن کیف‌پول فعلی» کاربران را فریب دادند.

از جمله موارد این نوع کلاهبرداری، خرید کیف‌پولی است که از قبل فعال شده و فورا پس از شارژ شدن توسط کاربر، تمام موجودی آن به سرقت رفته است. یکی از قربانیان به‌گفته لیسا از SlowMist، حدود ۶.۵ میلیون دلار سرمایه خود را بر اثر خرید چنین کیف‌پولی از TikTok از دست داده است.

Phishing, Scams, Hacks

۳. سایت‌های فیشینگ مهندسی اجتماعی

در یک نمونه، کاربرانی که می‌خواستند مجوز دسترسی قرارداد هوشمندی را در کیف‌پول خود لغو کنند (revoke approval)، به سایت‌های فیشینگ بسیار شبیه به Revoke.cash هدایت شدند.

این سایت‌ها از کاربران کلید خصوصی را درخواست می‌کردند و به‌طور شفاف با استفاده از EmailJS اقدام به ارسال کلیدها و آدرس‌ها به ایمیل مهاجم می‌نمودند.

SlowMist دریافت که حملات فیشینگ، کلاهبرداری و افشای کلید خصوصی، دلایل اصلی سرقت در سه ماهه دوم بوده‌اند

لیسا می‌گوید: «این حملات فنی‌پیچیده‌ای نیستند، اما در بهره‌برداری از احساس فوریت و اعتماد قربانی بسیار حرفه‌ای عمل می‌کنند.»

۴. سوءاستفاده از ارتقای Pectra در اتریوم و حملات از طریق WeChat

برخی هکرها از ارتقای EIP‑۷۷۰۲ در شبکه اتریوم با سوء‌استفاده‌های فیشینگ استفاده کرده‌اند. همچنین گزارش‌هایی از هک اکانت‌های WeChat و استفاده از آن‌ها برای فریب دوستان قربانی منتشر شده است.

مهاجمان با استفاده از سیستم بازیابی حساب WeChat، هویت قربانی را جعل می‌کردند و سپس با ارسال دعوتنامه‌های خرید تتر (USDT) با تخفیف، اعتماد دیگران را جلب و سرمایه‌ها را سرقت می‌کردند.

۵. سوء استفاده از اضطراب و احساس فوریت کاربران

هکرها با استفاده از عباراتی مانند «امضای مشکوک شناسایی شد» یا «امنیت کیف‌پول شما به خطر افتاده»، کاربران را در موقعیت اضطراب فوری قرار می‌دهند تا بدون بررسی کافی تصمیم بگیرند، لینک‌های خطرناک را کلیک یا اطلاعات محرمانه را فاش کنند.

لیسا می‌گوید:

«هکرها این را می‌دانند که وقتی عبارت‌هایی مثل ‘امضای پرخطر شناسایی شد’ به کاربر اطلاع داده شود، او دچار ترس و اضطراب می‌شود و بالاخره کاری انجام می‌دهد که معمولاً انجام نمی‌دهد.»

آمار فصل دوم ۲۰۲۵ بر اساس پایگاه داده SlowMist:

بر اساس آمار منتشرشده در گزارش فصل دوم سال ۲۰۲۵ شرکت SlowMist، در مجموع ۴۲۹ مورد گزارش سرقت دارایی‌های رمزارزی به ثبت رسیده است.

از میان این گزارش‌ها، تنها بخشی از سرمایه‌ها موفق به بازیابی شده‌اند. طبق اعلام این نهاد امنیتی، مبلغی بالغ بر ۱۲ میلیون دلار توانسته به ۱۱ نفر از قربانیان بازگردانده شود.

این آمار نشان‌دهنده ابعاد گسترده کلاهبرداری‌ها در فضای رمزارز و در عین حال، دشواری فرآیند ردیابی و بازیابی دارایی‌های مسروقه است.

توصیه‌های امنیتی SlowMist:

  • به هیچ لینک ناشناخته‌ای در ایمیل یا پیام‌ها اعتماد نکنید.

  • همیشه آدرس دامنه سایت‌ها را پیش از وارد کردن اطلاعات حساس بررسی کنید.

  • احراز هویت دو مرحله‌ای (MFA) را برای حساب‌های ارز دیجیتال فعال کنید.

  • اگر می‌توانید، از کیف‌پول‌های سخت‌افزاری معتبر استفاده کنید.

  • فقط از سایت‌های رسمی و مورد اعتماد دانلود و فعالیت کنید.


اگرچه تکنولوژی هک در سال ۲۰۲۵ پیچیده‌تر نشده است، اما همین تکنیک‌ها با لمس احساسات و روان کاربران، تبدیل به ابزارهای بسیار خطرناک‌تری شده‌اند. بنابراین هوشیاری بهترین دفاع است.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا