دادههای جدید DeFiLlama نشان میدهد که صنعت ارزهای دیجیتال از ابتدای شکلگیری تاکنون ۱۶.۶۹ میلیارد دلار در قالب هک و سرقت از دست داده است. تکاندهندهتر از این عدد، علت آن است: تقریباً ۴۰ درصد از این ضررها ناشی از سرقت یا افشای کلیدهای خصوصی بوده است، نه از آسیبپذیریهای قراردادهای هوشمند. این یافته باور رایج را درباره تهدیدات امنیتی کریپتو به چالش میکشد.
چرا کلیدهای خصوصی هدف اصلی هکرها شدهاند؟
کارشناسان امنیتی میگویند اکثر ضررها از شکستهای مدیریتی و عملیاتی در سیستمها، افراد و ابزارهای شخص ثالث ناشی میشود. برخلاف حملاتی که نیاز به تحلیل فنی عمیق کد دارند، سرقت کلید خصوصی معمولاً از ضعفهای انسانی یا عملیاتی بهره میبرد:
- حملات فیشینگ پیشرفته
- تهدیدات داخلی (insider threats)
- روشهای ذخیرهسازی ناامن
- زیرساختهای به خطر افتاده
- مهندسی اجتماعی (social engineering)
پروژهها با سرمایهگذاری سنگین بر روی ممیزی قراردادهای هوشمند، کد خود را ایمن کردهاند. در نتیجه، هکرها به اهداف سادهتر روی آوردهاند: فرآیندهای عملیاتی و نحوه ذخیره و مدیریت کلیدهای خصوصی.
آمار ترسناک سال ۲۰۲۶
در سه ماه اول ۲۰۲۶ تنها، هکرها حدود ۱۶۸.۶ میلیون دلار از ۳۴ پروتکل دیفای سرقت کردند. بزرگترین حمله این دوره — سرقت ۴۰ میلیون دلار از Step Finance — به سرقت کلید خصوصی نسبت داده شد. در طول ۵ ماه اول ۲۰۲۶، بیش از ۸۴۰ میلیون دلار در ۵۰ حادثه به سرقت رفت که نشاندهنده افزایش ۷۰ درصدی نسبت به سال گذشته است.
سایه لازاروس بر کریپتو
Chainalysis تخمین میزند که ۷۶ درصد از ضررهای هک جهانی در ۲۰۲۶ به بازیگران دولتی مرتبط با گروه لازاروس کره شمالی نسبت داده میشود. مجموع سرقتهای نسبت دادهشده به کره شمالی از ۲۰۱۷ تاکنون از ۶ میلیارد دلار گذشته است. کارشناسان امنیتی پیشبینی میکنند که ۲۰۲۶ شاهد حملات فیشینگ پیشرفتهتر و کلاهبرداریهای مبتنی بر هوش مصنوعی خواهد بود.
صنعت چه پاسخی میدهد؟
بخش کریپتو در حال پذیرش راهحلهای پیشرفتهتری است:
- محاسبات چند طرفه (MPC): تقسیم کلید خصوصی بین چند دستگاه تا هیچ نقطه شکست واحدی نداشته باشد
- Account Abstraction: کاهش وابستگی به کلیدهای خصوصی تکی
- استاندارد Clear Signing: بنیاد اتریوم در مه ۲۰۲۶ این استاندارد را با همکاری Ledger معرفی کرد تا توضیحات قابل خواندن برای تراکنشها جایگزین کدهای پیچیده شود
اگر میخواهید بدانید چطور رمزارزهای خود را ایمن نگه دارید، مطالعه راهنمای امنیت رمزارز میتواند مفید باشد. همچنین آشنایی با نکات امنیتی در معاملهگری توصیه میشود.
سوالات متداول
کلید خصوصی در ارز دیجیتال چیست؟
کلید خصوصی یک رشته رمزنگاریشده است که به صاحب کیف پول اجازه میدهد تراکنشها را امضا کند و به داراییهایش دسترسی داشته باشد. هر کسی که این کلید را داشته باشد میتواند همه داراییها را منتقل کند.
چطور از سرقت کلید خصوصی جلوگیری کنیم؟
از کیف پول سختافزاری (Hardware Wallet) استفاده کنید، عبارت بازیابی (seed phrase) را آفلاین نگه دارید، هرگز کلید خصوصی را آنلاین وارد نکنید و از کلیک روی لینکهای مشکوک خودداری کنید.
گروه لازاروس کره شمالی چقدر رمزارز دزدیده؟
بر اساس دادههای Chainalysis، گروه لازاروس از ۲۰۱۷ تاکنون بیش از ۶ میلیارد دلار رمزارز سرقت کرده و در سال ۲۰۲۶ مسئول ۷۶ درصد از کل هکهای جهانی بوده است.
آیا دیفای امن است؟
دیفای ریسکهای امنیتی جدی دارد، هم از نظر باگهای قرارداد هوشمند و هم از نظر سرقت کلید خصوصی. قبل از سرمایهگذاری در هر پروتکل دیفای، تحقیق کامل انجام دهید و فقط سرمایهای که توانایی از دست دادنش را دارید وارد کنید.
