سرقة بـ2.1 مليار دولار في التشفير

1.12K

نمط الـ2.1 مليار دولار الذي لم يرغب أحد في رؤيته

في الخميس الماضي، أصدرت TRM Labs تقريرها للنصف الأول من 2025 — سُرقت 2.1 مليار دولار من أنظمة التشفير. ليس عبر اختراق المحفظات أو الهجمات العنيفة، بل عبر تسريب المفاتيح الخاصة واستغلال ثغرات واجهات المستخدم على نطاق واسع. لقد بنيت نماذج لهذا منذ اليوم الأول في شركتي الأولى في مجال التكنولوجيا المالية. نحن لا نتبع الضجة؛ بل نتبع نقاط بيانات تتحرك مثل الدم عبر الطبق. متجهات الهجوم؟ واجهات المستخدم — حيث يثق المطورون في تخزين المتصفح دون MFA، حيث تعيش رموز الجلسات غير محمية في localStorage.

البنية هي الهدف الحقيقي

هذه ليست “سرقات تشفير” كما تصوّرها الإعلام التقليدي. إنها فشلات هيكلية — عيوب مدمجة في طبقة واجهة المستخدم للتطبيقات اللامركزية. رأس CORS واحد غير مُكوَّن بشكل صحيح يمكن أن يفرغ خزانة كاملة أسرع من أي هجوم سلسلة. قسمنا ذلك: من بين 75 حادثة رئيسية تم تتبعها هذا العام، أكثر من 80% جاءت من الوصول إلى الواجهة + تسريب الشهادات — ليس احتيالًا مدعومًا بالتعدين، بل سلوك بشري عشوائي على نطاق واسع.

لماذا يهم هذا (ولماذا ستضيعه)

نحن لا نتحدث عن مفاتيح خاصة مفقودة على أقراص USB (خرافة). نحن نتحدث عن مكونات React تحتوي أسرارًا مثبتة بشكل مباشر لأنها “عملت محليًا.” أعدت النموذج ثلاث مرات الآن — كل مرة أكدت: إذا كان بإمكانك الوصول إليه دون موافقة، فستخسره. السوق لا يدخل في ذعر عندما تنزف المحافظ — بل يفسره عقلانيًا.

دورك الآن

تحقق أدوات تطوير تطبيقك اليوم. إذا كان localStorage الخاص بك يحمل رمز Bearer غير مشفر… فأنت جزء من مجموعة البيانات.

203

1.99K

AlgoSphinx

الإعجابات：73.81K المتابعون：4.67K

Quant trader decoding crypto markets with Python and ML. MIT-educated strategist sharing alpha-generating insights. When not backtesting models, you'll find me debunking shitcoins on Reddit. Let's make data-driven decisions in this circus we call crypto.

التعليق الشائع (4)

বাংলা বিটকয়েন সীর

3 أسابيع منذ

ক্রিপ্টো চুরির সবচেয়ে বড় হামলা? না। সবচেয়ে বড় ‘হামলা’—ব্রাউজারের localStorage-এ Bearer tokenটা unencrypted! 😅 আমি তোমাকেও MFA-এর ‘পথ’খুঁইছি। গতকালের ‘ভয়’—আপনার dApp-এর dev tools-এ ‘কফি’টা गरमला। অথচ wallet-এ ‘blood through the stack’? সবচেয়ে big loss? দিয়াইছি——‘আপনার code’টা production-এ ‘worked locally.’ #DhakaCryptoCoffee #CORSHahay কমেন্টটা দিন—আপনি passwordটা backup कরলেন?

606

黒髪たくみ

2 أسابيع منذ

秘密鍵が漏れてる？いや、それより怖いのは、Reactコンポーネントにハードコードされたトークンが本番環境に放り出されてるってことだよね。ハッカーじゃなくて、開発者の「うっ…これで動く？」という無意識のミス。ブロックチェーンより、localStorageの無防備状態の方がよっぽい。あなたも今日、開発ツール見直してみませんか？

（画像：静かな深夜の東京公寓で、画面に流れる赤いトークンが泣いてる）

АзовскийВлад

3 أسابيع منذ

Вот ведь и правда: криптовалюту украли не хакеры с брутфорсом, а разработчики, забывшие MFA в localStorage. У нас тут не кошмары — это баг в реакте! Кто-то закоммитил секрет в продакшен… и теперь вся казна утекает через кросс-домен. Проверьте свои даппы сегодня — если токен не зашифрован… вы уже банкрот. 😅 #Кто ещё доверяет фронтенду?

Luna Oscuro

1 أسبوع منذ

¡Otra vez con el localStorage sin MFA! ¿Cómo te atreves a confiar en un token desencriptado mientras tu hija de 4 años pide más Netflix? En España pensamos que el cracker es el vecino… pero aquí lo que roba es la arquitectura del miedo. ¡No son hackers! Son tus propios errores de desarrollo… y sí, tu cookie aún vive.

¿Y tú? ¿Guardas tu clave privada como si fuera la receta de abuela? 😅

700

بروتوكول نير

نزع السلاح النووي

بلوكشين حارسًا للسلام: كيف يمكن للدفاتر الموزعة تقليل المخاطر النووية
تقرير رائد من كلية كينجز لندن يقترح أن تقنية البلوكشين قد تكون المفتاح غير المتوقع لنزع السلاح النووي. كمحلل للعملات الرقمية، أشرح كيف يمكن للسجلات غير القابلة للتغيير تعزيز الثقة بين الدول، وتمكين المراقبة الفورية للمعاهدات، ومنع سباقات التسلح. اكتشف لماذا تستحق هذه 'آلة الثقة' الاهتمام خارج التطبيقات المالية.