کلاهبرداری مسموم‌سازی آدرس: یک اشتباه کپی-پیست، ۵۰ میلیون دلار به یک معامله‌گر ارز دیجیتال هزینه داد

یک کاربر ارز دیجیتال نزدیک به 50 میلیون دلار USDT را در یک حمله آدرس ربایی از دست داد پس از کپی کردن یک آدرس کیف پول جعلی از تاریخچه تراکنش‌های خود، به گفته شرکت امنیت بلاکچین SlowMist.

قربانی 49,999,950 USDT را به یک آدرس تحت کنترل مهاجم منتقل کرد که به شدت شبیه مقصد مورد نظر آن‌ها بود، با تطابق سه کاراکتر اول و چهار کاراکتر آخر.

وجوه سرقت شده به سرعت به ETH تبدیل شد، در چندین کیف پول توزیع شد و بخشی از آن از طریق میکسر Tornado Cash هدایت شد.

بر اساس جزئیات امنیتی، کیف پول قربانی تقریباً 2 سال فعال بوده و عمدتاً برای انتقال USDT استفاده می‌شد، با وجوهی که کمی قبل از انتقال مسموم شده از بایننس برداشت شده بودند.

کلاهبرداری‌های کریپتو به 90 میلیارد دلار رسید

این حادثه در میانه یک بحران امنیتی گسترده‌تر که صنعت ارز دیجیتال را فرا گرفته رخ داد، که اکنون نزدیک به 90 میلیارد دلار از زمان آغاز خود را به دلیل هک‌ها و سوءاستفاده‌ها از دست داده است.

تنها در نوامبر بیش از 276 میلیون دلار سرقت شد، که زیان‌های 2025 را فراتر از 9.1 میلیارد دلار رساند، به این معنی که تقریباً 10٪ از کل زیان‌های تاریخی کریپتو در 12 ماه گذشته رخ داده است.

Mitchell Amador، مدیرعامل Immunefi، هشدار داد که چشم‌انداز تهدید به طور اساسی در حال تغییر است.

"چشم‌انداز تهدید از آسیب‌پذیری‌های کد درون زنجیره‌ای به امنیت عملیاتی و حملات سطح خزانه‌داری در حال تغییر است،" او به Cryptonews گفت. "با سخت شدن کد، مهاجمان عنصر انسانی را هدف قرار می‌دهند."

علی‌رغم اینکه 2025 بدترین سال برای هک‌ها در سوابق بود، Amador تأکید کرد که این زیان‌ها ناشی از شکست‌های عملیاتی است نه آسیب‌پذیری‌های قرارداد هوشمند.

"در حالی که 2025 بدترین سال برای هک‌ها در سوابق بود، آن زیان‌ها عمدتاً توسط شکست‌های زیرساخت سنتی Web2 و خرابی‌های امنیت عملیاتی هدایت شدند، نه کد درون زنجیره‌ای،" او توضیح داد.

FBI گزارش می‌دهد 9.3 میلیارد دلار در کلاهبرداری سرمایه‌گذاری از دست رفته است

آمریکایی‌ها تقریباً 9.3 میلیارد دلار در طرح‌های سرمایه‌گذاری کریپتو در 2024 از دست دادند، که نشان‌دهنده افزایش 66٪ نسبت به سال قبل است، بر اساس داده‌های FBI.

کلاهبرداری‌های pig-butchering بیش از 9.9 میلیارد دلار در سطح جهانی مشارکت کردند، با داده‌های Chainalysis که نشان می‌دهد فعالیت نزدیک به 40٪ در 2024 افزایش یافت.

سناتورهای آمریکایی Elissa Slotkin و Jerry Moran قانون SAFE Crypto Act را معرفی کردند، که یک کارگروه فدرال را برای هماهنگی آژانس‌های دولتی، مجریان قانون و کارشناسان بخش خصوصی برای مبارزه با کلاهبرداری مرتبط با کریپتو پیشنهاد می‌کند.

این قانون الزام می‌کند که صادرکنندگان مجاز استیبل کوین قابلیت‌های فنی برای مسدود کردن یا توقیف دارایی‌های دیجیتال مرتبط با فعالیت غیرقانونی را حفظ کنند.

اقدامات اجرایی تشدید شده‌اند، با اعلام مقامات آمریکایی بزرگترین توقیف کریپتو تاکنون در اکتبر، هدف‌گیری Prince Holding Group مستقر در کامبوج.

Tether همچنین نزدیک به 50 میلیون دلار USDT مرتبط با شبکه‌های pig-butchering آسیای جنوب شرقی را مسدود کرد، در حالی که بایننس از 7.5 میلیون کاربر جلوگیری کرد که نزدیک به 10 میلیارد دلار را به کلاهبرداری بین دسامبر 2022 و می 2025 از دست بدهند.

عامل انسانی به بردار حمله اولیه تبدیل می‌شود

فراتر از کلاهبرداری‌های پیچیده، حملات بدافزار همچنان در حال تخلیه کیف پول‌ها هستند، با یک کارآفرین سنگاپوری که بیش از 100,000 دلار را پس از دانلود نرم‌افزار مخرب مبدل شده به یک برنامه تست بازی از دست داد.

یک نقض کیف پول چندامضایی جداگانه اوایل این ماه منجر به سرقت تقریباً 27.3 میلیون دلار از طریق سازش کلید خصوصی شد، با مهاجمانی که تقریباً 12.6 میلیون دلار را از طریق Tornado Cash پولشویی کردند.

Amador استدلال کرد که صنعت باید رویکرد امنیتی خود را به طور اساسی بازسازی کند.

"ایمن کردن کد کافی نیست اگر کاربران و اپراتورها همچنان آسیب‌پذیر باقی بمانند،" او گفت.

"شرکت‌های وب 3 باید بسیار بیشتر در امنیت لایه انسانی سرمایه‌گذاری کنند، و این به معنای آموزش تیم‌ها، سخت‌گیری کنترل‌های عملیاتی و آموزش مستقیم کاربران در مورد چگونگی تشخیص پیام‌های کلاهبرداری، شناخت تلاش‌های مهندسی اجتماعی و محافظت از دارایی‌های خود درون زنجیره‌ای است."

او اشاره کرد که 99٪ از پروژه‌های وب 3 بدون فایروال‌های اولیه عمل می‌کنند، در حالی که کمتر از 10٪ ابزارهای امنیتی مبتنی بر هوش مصنوعی مدرن را مستقر می‌کنند.

"بیشتر هک‌های امسال به دلیل حسابرسی‌های ضعیف رخ نداده‌اند،" Amador توضیح داد. "آن‌ها پس از راه‌اندازی، در طول ارتقاهای پروتکل، یا از طریق آسیب‌پذیری‌های یکپارچه‌سازی اتفاق افتاده‌اند—نقاط کور که حسابرسی به تنهایی نمی‌تواند آن‌ها را شناسایی کند."

علی‌رغم زیان‌های در حال افزایش، Amador خوش‌بینی خود را در مورد امنیت کد درون زنجیره‌ای حفظ کرد، و پیش‌بینی کرد که 2026 بهترین سال تاکنون برای ایمنی قرارداد هوشمند خواهد بود زیرا صنعت به سخت‌تر کردن زیرساخت فنی خود ادامه می‌دهد.