مقالات

جستجو در مقالات

ورود کاربران ویژه

بنر ارز مدرن 1

learn1

بنر ارز مدرن 3

امنیت ارزهای دیجیتال در سال 2026: چگونه با والت لجر از اسکم و هک جلوگیری کنیم؟

نکات کلیدی:

  • سرقت ارزهای دیجیتال در سال 2026 بیشتر توسط هکرهای دولتی، بدافزار و مهندسی اجتماعی انجام شده و در چند ماه ابتدایی سال، باعث از دست رفتن 1 میلیارد دلار دارایی شد.
  • ایجنت‌های هوش مصنوعی با قابلیت دسترسی به والت کاربران به راحت‌تر شدن انجام برخی کارها کمک می‌کنند اما باعث گسترش سطح حمله شده و امکان فریب دادن آنها وجود دارد.
  • امضای شفاف، رعایت بهداشت تراکنش‌ها و تأیید فیزیکی هر تراکنش روی ساینرهای لجر، جزء مؤثرترین روش‌ها برای حفاظت از دارایی خودتان در برابر این تهدیدات هستند.

در آوریل 2026 حدود 600 میلیون دلار دارایی ظرف چند هفته از دریفت پروتکل و کلپ به سرقت رفتند. چند ماه قبل، سرقت 40 میلیون دلار سرمایه از استپ فایننس باعث تعطیلی کامل این پروژه شد. در مجموع، حملات و اسکم‌های مختلف هر ساله باعث از دست رفتن میلیاردها دلار از دارایی کاربران می‌شوند.

در این مطلب نگاهی داریم به مهم‌ترین جرایم سایبری سال 2026 تا امروز و تکنیک‌های به کار رفته در آنها را توضیح می‌دهیم. در نهایت، به بررسی این موضوع می‌پردازیم که چطور می‌توانید از دارایی خودتان در برابر چنین حملاتی حفاظت کنید.

نگاهی به تهدیدات سایبری سال 2026 در حوزه کریپتو

تنها در چند ماه ابتدایی سال 2026، بیش از 1 میلیارد دلار ارز دیجیتال در اثر هک‌های حرفه‌ای و پیشرفته از دست رفت. اکسپلویت‌های مبتنی بر هوش مصنوعی، حملات زنجیره تأمین و مسیرهای حمله آشناتر در این روند نقش مهمی داشته‌اند.

از جمله مهم‌ترین اکسپلویت‌های کریپتوی شناخته شده تا اینجا، می‌توان به موارد زیر اشاره کرد.

حادثه روز اول آوریل

اول آوریل 2026، دریفت پروتکل حدود 285 میلیون دلار را از دست داد که بزرگترین سرقت دیفای در سال محسوب می‌شد. دریفت، بزرگترین اکسچنج غیرمتمرکز فیوچرز دائم در سولانا است. مهاجم از کلید لو رفته ادمین استفاده کرده، قیمت‌های اوراکل را تغییر داده و با وثیقه جعلی، بیش از نصف مبلغ قفل شده (TVL) در این پلتفرم را تخلیه کرده بود.

اکسپلویت پل DAO کلپ

رخنه امنیتی Kelp DAO هم بعداً از رخنه دریفت پروتکل پیشی گرفته و تبدیل به مهم‌ترین هک سال 2026 شد.

این حمله در 18 آوریل رخ داد، زمانی که گروه هکری Lazarus با نفوذ به نودهای RPC از پل LayerZero سوء استفاده کرد. این گروه با اجرای حملات محروم سازی از سرویس، پیام‌های بین زنجیره‌ای را جعل کرده و پروتکل را فریب دادند تا توکن‌هایی را که روی زنجیره اصلی سوزانده نشده بودند، آزاد کند. این اقدام باعث سرقت حدود 292 میلیون دلار از ذخایر این پل شد.

اکسپلویت ایجنت هوش مصنوعی Grok-Bankr

اکسپلویت ایجنت هوش مصنوعی Grok-Bankr خسارت کمتری به بارآورد؛ اما نشان داد که مهاجمان می‌توانند حتی از محول کردن اختیار اجرای تراکنش به هوش مصنوعی هم سوء استفاده کنند.

در ماه می سال 2026، یک هکر NFT عضویت در باشگاه Bankr را به والت Grok اهدا کرد که مجوز سوآپ کردن و انتقال توکن را فراهم می‌کرد. سپس مهاجم با استفاده از یک حمله تزریق پرامپت، دستورالعمل‌های مخرب را در کد مورس پنهان کرده و در این تعامل، Bankr را تگ کرد.

این پرامپت مخرب باعث شد که Grok اجازه اجرای یک تراکنش خروجی بزرگ را فراهم کند. Bankr هم به این خروجی اعتماد کرده و به صورت خودکار 3 میلیارد توکن DRB را به ارزش 174 هزار دلار در آن زمان، به والت مهاجم منتقل کرد. مهاجم بعداً این مبلغ را به والت دیگری منتقل کرده و حساب X خودش را پاک کرد. Bankr مدعی شد که 80 درصد این مبلغ برگردانده شده است.

این حملات دقیقاً چطور انجام شدند؟

بیشتر این حملات از طریق اکسچنج‌ها، پل‌های بلاک چین، والت‌ها و خود کاربران انجام شده‌اند نه فناوری بلاک چین. مهاجمان به این دلیل این اجزاء را هدف گرفتند که ضعیف‌ترین نقطه از زنجیره امنیتی محسوب می‌شوند.

برخی روش‌های مورد استفاده مهاجمان برای سرقت دارایی‌ها عبارتند از:

حملات فیشینگ و مهندسی اجتماعی

مهندسی اجتماعی یکی از دلایل اصلی سرقت ارزهای دیجیتال است. در این حمله، مهاجم سعی دارد بر تصمیم گیری و رفتار انسان اثر گذاشته و با فریب دادن کاربران، اطلاعات مهمی مثل کلیدهای خصوصی یا تأیید اجرای تراکنش را از آنها دریافت کند.

از جمله ترفندهای رایج در این زمینه می‌توان به این موارد اشاره کرد: جعل هویت چهره‌های شناخته شده یا تیم‌های پشتیبانی، اجرای کمپین‌های فیشینگ، انتشار پیشنهاد شغلی جعلی، استفاده از ایردراپ‌های تقلبی یا فرصت‌های سرمایه گذاری به عنوان طعمه و غیره.

مهاجمان برای ارتقای کیفیت چنین حملاتی، به شکل فزاینده‌ای از هوش مصنوعی استفاده می‌کنند. در سال 2024، اسکمرها اطلاعات فاش شده شخصی یک کاربر OKX در تلگرام را خریده و از قابلیت «فراموشی رمز عبور» برای دسترسی به حساب وی استفاده کردند. آنها با ساختن یک ویدیوی دیپ فیک، ایمیل، شماره تلفن و تنظیمات حساب Google Authenticator وی را تغییر دادند. این حساب ظرف 24 ساعت، بیشتر از 2 میلیون دلار متضرر شد. در این حمله از هیچ بدافزاری استفاده نشده بود و موفقیت آن ناشی از ویدیوی جعلی ساخته شده با هوش مصنوعی بود.

اکسپلویت‌های مخصوص ایجنت‌های هوش مصنوعی کریپتو

ایجنت‌های هوش مصنوعی کریپتو با انجام کارهای سخت به صورت مستقل و خود مختار، تعاملات دیفای را راحت‌تر می‌کنند. اما این نبود نظارت انسانی باعث ایجاد اهداف جدیدی می‌شود. چنین اکسپلویت‌هایی به مهاجمان امکان می‌دهند ابزارهای طراحی شده برای کمک به کاربران را بر علیه خود آنها استفاده کنند.

یکی از تکنیک‌های رایج، تعبیه کردن فرمان‌های مخرب بین داده‌های به ظاهر سالم است که هوش مصنوعی آنها را پردازش می‌کند. ایجنتی که بر اساس چنین اطلاعاتی کار می‌کند، تراکنش‌های غیرمجاز را اجرا خواهد کرد؛ ریسکی که در صورت مجاز بودن اجرای تراکنش توسط هوش مصنوعی، تشدید می‌شود.

مثال Grok-Bankr که پیش از این به آن اشاره شد نمونه واضحی از این کلاهبرداری است. در این حمله، مهاجم یک دستورالعمل را داخل کد مورسی که Grok آن را پردازش و اجرا می‌کرد، تعبیه کرده بود. در واقع هوش مصنوعی فریب خورد تا یک دستورالعمل مخرب را اجرا کند.

حملات بدافزاری

یکی دیگر از مسیرهای رایج حمله، نرم‌افزارهای مخرب یا همان بدافزارها هستند. در این روش، مهاجم گوشی یا کامپیوتر را دستکاری می‌کند تا اطلاعات حساب را به سرقت برده، جزئیات تراکنش را تغییر داده یا از والت شما سرقت کند.

در بیشتر مواقع این اتفاق زمانی رخ می‌دهد که شما روی لینک‌های مخرب کلیک کرده یا نرم‌افزارها یا آپدیت‌های جعلی را دانلود می‌کنید. بدافزار پس از دانلود شدن روی سیستم پخش شده و دسترسی‌های غیرمجاز را برای مهاجم فراهم می‌کند.

امضای کور

امضای کور یکی از دلایل اصلی سرقت ارزهای دیجیتال است. امضای کور یعنی تأیید تراکنش، بدون مشاهده همه اطلاعات آن به صورت خوانا. خیلی از والت‌ها اطلاعات تراکنش را با فرمت مبنای 16 نمایش می‌دهند؛ در نتیجه کاربران مجبور به اعتماد به اینترفیس اپلیکیشن هستند. این شرایط به مهاجمان امکان داده که با جعل اینترفیس‌ها یا مسموم سازی آدرس‌ها، کاربران را فریب دهند تا تراکنش‌های ناخواسته را امضاء کنند.

خطرات امضای کور در بزرگترین سرقت کریپتوی تاریخ که فوریه 2025 رخ داد، مشخص شدند. گروه هکری Lazarus، کارمندان بای‌بیت را فریب داد تا تراکنشی را که به ظاهر یک انتقال وجه داخلی روتین به نظر می‌رسید، امضاء کنند. آنها با دستکاری اینترفیس امضای تراکنش، موفق به سرقت 1.5 میلیارد دلار در قالب اتر شدند.

در ماه مارس سال 2026، یک کاربر پیام تأیید مخربی را که شبیه پیام‌های روتین به نظر می‌رسید امضاء کرد و حدود 1.76 میلیون دلار USDC را از دست داد. به همین دلیل، در ماه می 2026 اتریوم با همراهی لجر و سایر ارایه دهندگان والت، استاندارد امضای شفاف را طراحی کرد که محتوای تراکنش را به صورت خوانا نمایش می‌دهد.

چطور می‌توانید امنیت دارایی‌های خودتان را حفظ کنید؟

بیشتر این حملات با حفاظت از امنیت کلیدهای خصوصی، امضای شفاف و نگهداری از ارزهای دیجیتال به صورت آفلاین، قابل پیشگیری هستند. از جمله راهکارهای مفید می‌توان به موارد زیر اشاره کرد:

حفاظت از امنیت کلیدهای خصوصی و عبارت بازیابی

قانون طلایی حفاظت از ارزهای دیجیتال این است که هرگز نباید عبارت بازیابی شما با اینترنت در تماس باشد.

این عبارت 12 یا 24 کلمه‌ای، کلید اصلی دسترسی به همه والت‌های شماست. والت شما از آن برای تولید کلیدهای خصوصی استفاده می‌کند که تعیین می‌کند چه اشخاصی امکان دسترسی و تأیید تراکنش را دارند. همچنین این عبارت، نقش یک بکاپ را برای دسترسی به والت شما و بازیابی آن دارد. به همین دلیل باید کاملاً از آن مراقبت کنید.

می‌توانید این عبارت را روی کاغذ بنویسید اما امکان آسیب دیدن کاغذ وجود دارد؛ به همین دلیل راهکارهایی مثل لجر ریکاور و لجر ریکاوری کی طراحی شده‌اند.

لجر ریکاوری کی یک کارت فیزیکی رمز دار است که عبارت بازیابی را روی یک تراشه عنصر امن ذخیره می‌کند. لجر ریکاور هم یک سرویس اختیاری است که کلید خصوصی را به روش رمزنگاری شده و در قالب چند بخش ذخیره می‌کند.

جفت کردن والت نرم‌افزاری با ساینرهای لجر

اگر والت نرم‌افزاری تنها اینترفیس امضای شماست، در این صورت کلیدهای خصوصی در همان محیطی هستند که تهدیدات امنیتی در آن وجود دارند. در واقع، کلیدهای خصوصی شما در دستگاهی متصل به اینترنت ذخیره شده‌اند و اپلیکیشن‌ها، افزونه‌ها و لینک‌هایی که با آنها در تعامل هستید، می‌توانند کل موجودی شما را در معرض خطر قرار دهند.

جفت کردن والت نرم‌افزاری با ساینر لجر این شرایط را تغییر می‌دهد. ساینر شما تبدیل به نقطه نهایی تأیید هر تراکنش می‌شود و تأیید فیزیکی تراکنش روی نمایشگری امن و آفلاین الزامی خواهد بود. در واقع، والت نرم‌افزاری اینترفیس را مدیریت کرده و ساینر، کلیدهای خصوصی را. به این ترتیب ترکیبی از امنیت و کاربردپذیری را با هم خواهید داشت.

می‌توانید مستقیماً از طریق اپلیکیشن لجر والت هم فعالیت‌های خودتان را مدیریت کنید.

لجر والت 4 چه امکاناتی دارد؟

لجر والت 4 به جای یک ابزار همراه برای ساینرها، یک اکوسیستم کامل در اختیار شما قرار می‌دهد. در این نرم‌افزار می‌توانید استیکینگ و سایر فعالیت‌های دیفای خودتان را مدیریت کنید و کارهایی مثل خرید استیبل کوین‌ها، بررسی جو احساسی بازار، بررسی لحظه‌ای قیمت‌ها، سوآپ کردن، انتقال وجه، ارتباط با اپلیکیشن‌های غیرمتمرکز و غیره را انجام دهید.

دسترسی به قابلیت‌های امضای شفاف و بررسی تراکنش

لجر برای مقابله با ریسک‌های امضای کور، قابلیت امضای شفاف (Clear Signing) را طراحی کرده که اطلاعات ناخوانا و پیچیده تراکنش‌ها و قراردادهای هوشمند را به فرمتی خوانا و واضح تبدیل می‌کند. با این قابلیت، به صورت دقیق مشخص می‌شود که قرار است چه مجوزی را امضاء کنید.

قابلیت بررسی تراکنش (Transaction Check) هم خروجی و نتیجه تراکنش‌ها را پیش از تأیید آنها مشخص می‌کند. این قابلیت، آدرس‌های اسکم شناخته شده، تخلیه کننده‌های والت و قراردادهای هوشمند مخرب را نشانه‌گذاری کرده و سپس مستقیماً روی ساینر، یک گزارش ریسک نمایش می‌دهد.

رعایت اصول امنیتی تراکنش

تخلیه کننده‌های والت بیشتر به این دلیل موفق می‌شوند که کاربران تراکنش‌های مخرب را بدون بررسی جزئیات آنها تأیید می‌کنند. می‌توانید با انجام کارهای زیر، از این مشکل پیشگیری کنید:

  • بررسی URL: مراقب سایت‌های جعلی که شبیه دامنه‌های اصلی به نظر می‌رسند و تنها یکسری کاراکتر خاص در آنها تغییر پیدا کرده باشید.
  • بررسی آدرس کامل والت: همیشه پیش از امضای تراکنش، آدرس مقصد را به صورت کامل بررسی کنید نه فقط ابتدا و انتهای آن.
  • نادیده گرفتن پیام‌های غیرمنتظره: پیام‌های ناشناس در شبکه‌های اجتماعی مثل تلگرام یا دیسکورد را یک خطر بالقوه در نظر بگیرید. تیم‌های پشتیبانی هرگز خودشان با کاربران تماس نمی‌گیرند.
  • امتحان کردن تراکنش: پیش از ارسال مبالغ قابل توجه، اول یک مبلغ کوچک فرستاده و مطمئن شوید که تراکنش به درستی اجرا شده باشد.
  • لغو دسترسی‌های غیرضروری: دسترسی ایجنت‌های هوش مصنوعی به اجرای مستقل تراکنش می‌تواند ریسک مهمی باشد. همچنین دسترسی‌های مربوط به قراردادهای هوشمند. هر از گاهی این دسترسی‌ها را مرور کرده و موارد غیرضروری را فسخ کنید.

جمع بندی

ارزهای دیجیتال با هدف حفظ مالکیت و استقلال مالی افراد ساخته شدند. زمانی که اکسچنج‌ها، پل‌های بلاک چین و کاربران طعمه هک و اسکم می‌شوند، این استقلال و مالکیت اهمیت خود را از دست می‌دهد.

اکوسیستم لجر، یک معماری امنیتی فراهم کرده که نحوه ذخیره عبارت بازیابی، نحوه امضای تراکنش‌ها و نحوه بازیابی دسترسی به موجودی شما را متحول می‌کند. این لایه‌ها در کنار هم کار مهاجمان را برای دسترسی غیرمجاز به دارایی شما سخت‌تر می‌کنند.

تماس با ما

آدرس آدرس 1 : تهران، جردن، خیابان تندیس، پلاک 34، واحد 6
آدرس آدرس 2  :  تهران، ولیعصر، نبش خیابان ناصری، برج کیان
 
تلفن تلفن واحد فروش : 26230198
پاسخگویی ساعات پاسخگویی : روزهای غیرتعطیل از 9 صبح الی 17 عصر
 امکان مراجعه حضوری نیست حتما برای مراجعه حضوری از قبل هماهنگ بفرمایید
 

شبکه های اجتماعی

کانال تلگرام
اینستاگرام 
بله 
 
تمامی حقوق مادی و معنوی برای ارز مدرن محفوظ می باشد.

طراحی سایت : ایران مدرن