عمليات احتيال NFT: كيف تكشفها وتتجنبها

أتاح سوق NFT فرصاً استثنائية للمجمّعين والفنانين والمستثمرين، غير أنه استقطب في الوقت ذاته موجة من الاحتيال تُكلّف المجتمع مئات الملايين من الدولارات سنوياً. من مواقع التصيد الاحتيالي المتقنة التي تستنسخ OpenSea حرفياً، إلى بوتات Discord التي تعد بـ airdrops حصرية، يزداد المحتالون احترافاً يوماً بعد يوم. فهم آليات هذه الهجمات هو خط الدفاع الأول لكل من يشارك في منظومة NFT على Ethereum وTON وSolana وغيرها من السلاسل.

أنواع عمليات احتيال NFT الشائعة

مواقع التصيد الاحتيالي والأسواق المزيفة

يُعدّ التصيد الاحتيالي الشكل الأكثر انتشاراً من أشكال احتيال NFT. يسجّل المهاجمون نطاقات تبدو متطابقة تقريباً مع المنصات الشرعية — مثل "0pensea.io" أو "opensea-nft.com" — ويملؤونها بنسخ مقنعة من واجهات الأسواق الحقيقية. حين تربط محفظتك وتوقّع معاملة على أحد هذه المواقع، قد تكون تمنح موافقتك على نقل جميع أصولك إلى عنوان المهاجم.

كثيراً ما تظهر هذه المواقع المزيفة في مقدمة نتائج البحث عبر الإعلانات المدفوعة. تصفّح دائماً إلى الأسواق بكتابة الرابط مباشرةً أو باستخدام إشارات مرجعية موثّقة، ولا تنقر أبداً على نتائج بحث مموّلة أو روابط في الرسائل المباشرة.

الـ Airdrops المزيفة والإصدارات الاحتيالية

كثيراً ما يُعلن المحتالون عن airdrops NFT "حصرية" عبر وسائل التواصل الاجتماعي أو البريد الإلكتروني أو قنوات المجتمع. للمطالبة بالـ NFT المجاني، يُطلب منك ربط محفظتك والتوقيع على معاملة. غير أن هذا التوقيع يُجيز نقل NFTs أو رموزك الموجودة، لا استلام جديد منها. تعتمد بعض الأساليب على إرسال NFT غير مطلوب إلى محفظتك أولاً، وحين تحاول عرضه أو بيعه في السوق، يُطلق ذلك عقداً خبيثاً.

ينبغي التعامل بحذر مع أي NFT يظهر في محفظتك دون طلب أو تفسير. لا تتفاعل معه مباشرةً من محفظتك الرئيسية.

عمليات Rug Pull

تحدث عملية Rug Pull حين يجمع فريق المشروع الأموال عبر بيع NFTs، ويبني ضجةً أوليةً وثقةً في المجتمع، ثم يتخلى فجأة عن المشروع ويمضي بالعائدات. غالباً ما تكون علامات التحذير ظاهرةً مسبقاً: فرق مجهولة الهوية دون تاريخ يمكن التحقق منه، وخرائط طريق ضبابية مليئة بالمصطلحات الرنانة دون تفاصيل تقنية، وأعداد أعضاء Discord مضخّمة اصطناعياً.

أثرت عمليات Rug Pull الشهيرة ملايين الدولارات للمحتالين. فمشروع Frosties مثلاً جمع نحو 1.3 مليون دولار من المشترين قبل أن يختفي منشئوه ليلاً. يبقى التدقيق في الفريق الذي يقف وراء أي مشروع أمراً لا غنى عنه قبل الالتزام بأي أموال.

NFTs المزيفة وانتحال المجموعات

إنشاء مجموعة NFT مزيفة تُحاكي مجموعة مشهورة أمر بالغ السهولة على أي بلوكتشين. يسكّ المحتالون رموزاً بأعمال فنية متطابقة أو شبه متطابقة وأسماء مضلِّلة، ثم يبيعونها في الأسواق الثانوية لمشترين مطمئنين يعتقدون أنهم يقتنون قطعاً أصيلة من مجموعات blue-chip. تحقّق دائماً من عنوان العقد الرسمي قبل الشراء. بالنسبة لـ NFTs على Ethereum، راجع التفاصيل في Etherscan. لـ Solana، استخدم Solscan. لـ NFTs على TON، ارجع إلى توثيق TON والصفحات الرسمية للمجموعات.

الهندسة الاجتماعية على Discord وX (تويتر)

تتجمع مجتمعات NFT على Discord وX، مما يجعلهما ساحة صيد مثالية للمهندسين الاجتماعيين. تشمل الأساليب الشائعة: انتحال صفة مشرفي المشروع أو أعضاء الفريق في الرسائل المباشرة، وإنشاء قنوات دعم مزيفة يطلب فيها "الموظفون" بيانات المحفظة أو عبارة الاسترداد، واختراق حسابات المشاريع الحقيقية لنشر روابط إصدار احتيالية. في عام 2022، اخترق مجهولون حساب Bored Ape Yacht Club على Instagram ونشروا رابطاً للتصيد أفضى إلى استنزاف ما يقارب 2.8 مليون دولار من الأصول في غضون ساعات.

تذكّر: لن يطلب منك أي مشروع شرعي عبارة الاسترداد الخاصة بك أبداً. لا يُرسل المشرفون رسائل مباشرة غير مطلوبة لعرض المساعدة في مسائل المحفظة.

المؤشرات التحذيرية التي يجب رصدها

وعود غير واقعية. إذا ضمن مشروع عوائد مؤكدة، أو ادّعى أن كل حامل سيحصل على سيارة فارهة، أو عرض NFTs بأسعار أقل بكثير من قيمتها السوقية لمجموعات blue-chip، فتعامل معه بريبة شديدة. المشاريع الشرعية تترك أعمالها تتحدث عن نفسها.

الاستعجال المصطنع. "الإصدار يغلق خلال 10 دقائق!" أو "لم يتبقَّ إلا 5 مقاعد!" أساليب ضغط مصمَّمة لمنعك من إجراء التحقق الواجب. يعتمد المحتالون على القرارات المتسرعة. خذ الوقت الكافي.

عناوين عقود غير موثّقة. قبل التفاعل مع أي صفحة إصدار، تحقق من أن عنوان العقد المعروض يطابق ما نشره المشروع على موقعه الرسمي وحساباته على التواصل الاجتماعي. أي تناقض يُعدّ إشارة تحذير فورية.

رسائل مباشرة مريبة. تلقّي رسالة من شخص يدّعي أنه مؤسس المشروع أو مشرف أو حتى صديق يعرض عليك صفقة حصرية هو أسلوب هندسة اجتماعية كلاسيكي. تحقق من أي ادعاء عبر القنوات الرسمية قبل اتخاذ أي إجراء.

مواقع مُقلَّدة وتباينات طفيفة في الروابط. كثيراً ما تختلف مواقع الاحتيال عن الأصلية بحرف واحد أو حرفين مبدّلين أو كلمة إضافية. افحص الرابط كاملاً بعناية في شريط العنوان بمتصفحك.

فرق مجهولة أو غير قابلة للتحقق. رغم أن بعض المشاريع الشرعية يديرها منشئون بأسماء مستعارة، فإن المشاريع التي ترفض بنشاط أي شكل من أشكال المساءلة — دون كشف هوية، ودون أعمال سابقة يمكن التحقق منها، ودون كيان قانوني — تحمل خطراً أعلى من الـ Rug Pull.

كيفية حماية محفظتك ومجموعتك

استخدم محفظة أجهزة للـ NFTs الثمينة

تحتفظ محفظة الأجهزة (مثل Ledger أو Trezor) بمفاتيحك الخاصة في وضع غير متصل بالإنترنت، مما يجعل استنزاف أصولك بواسطة موقع تصيد أو عقد خبيث أمراً مستحيلاً دون الضغط على زر فيزيائي في الجهاز. لا ينبغي أبداً تخزين NFTs عالية القيمة في محفظة ساخنة متصلة بالإنترنت بشكل دائم. فكّر في محفظة "خزينة" مخصصة لا توصلها إلا عند الحاجة.

تحقق من عناوين العقود قبل كل تفاعل

احفظ صفحات المجموعات الرسمية في OpenSea وغيرها من الأسواق كإشارات مرجعية. قارن عنوان العقد بما هو منشور على الموقع الرسمي للمشروع وحساباته الموثّقة على التواصل الاجتماعي. بالنسبة لـ Ethereum، راجع تفاصيل العقد وسجل المعاملات على Etherscan. هذا لا يستغرق سوى ثلاثين ثانية وقد يُنقذ مجموعتك بأكملها.

استخدم الروابط الرسمية فحسب

اكتب الروابط مباشرةً في متصفحك، أو احتفظ بقائمة من الإشارات المرجعية الموثّقة. لا تنقر أبداً على روابط من رسائل مباشرة أو بريد إلكتروني أو نتائج بحث مموّلة في أي أمر يتعلق بمحفظتك. حين يُعلن مشروع عن إصدار، انتقل إليه عبر ملفه الرسمي على Twitter/X، لا عبر رابط يشاركه أحدهم في قناة Discord.

اسحب موافقات الرموز بانتظام

في كل مرة تتفاعل فيها مع سوق أو dApp، قد تمنحه إذناً بإنفاق رموزك أو نقل NFTs الخاصة بك. هذه الموافقات سارية إلى أجل غير مسمى ما لم تُسحب. راجع وأزل الموافقات غير الضرورية بصفة دورية باستخدام أدوات مثل Revoke.cash لـ Ethereum. سحب الموافقات عن العقود التي لم تعد تستخدمها يُقلّص مساحة الهجوم بشكل ملحوظ.

افصل محافظك حسب مستوى المخاطرة

احتفظ بمحفظتين على الأقل: محفظة "ساخنة" للتفاعلات اليومية والإصدارات (محملة بما أنت مستعد لخسارته فحسب)، ومحفظة "باردة" للاحتفاظ بالأصول القيّمة طويلة الأمد. لا توصل محفظة التخزين البارد أبداً بـ dApps مجهولة. يحدّ هذا الفصل من نطاق الضرر إذا حدث أي خطأ.

ماذا تفعل إذا تعرضت لمحاولة احتيال

تصرّف فوراً لسحب الصلاحيات. إذا وقّعت على معاملة مريبة، توجّه على الفور إلى Revoke.cash أو أداة مماثلة، واسحب جميع الموافقات المرتبطة بالعقد الخبيث قبل استنزاف المزيد من الأصول. السرعة حاسمة — بعض عقود الاستنزاف مؤتمتة وتجتاح الأصول في ثوانٍ.

انقل الأصول المتبقية إلى محفظة نظيفة. إذا تعرضت محفظتك للاختراق، حوّل NFTs والرموز المتبقية إلى عنوان محفظة جديد لم يُكشف من قبل. افعل ذلك من جهاز نظيف أيضاً — إذا نقرت على رابط خبيث، أجرِ فحصاً بالمضاد الفيروسي أولاً.

أبلغ الأسواق. أبلغ عن المجموعة الاحتيالية أو الحساب المخترق في منصات مثل OpenSea وMagic Eden وGetgems. تمتلك معظم الأسواق الكبرى إجراءات للإبلاغ عن المجموعات المزيفة وإزالتها.

حذّر المجتمع. انشر تقريراً واضحاً وموضوعياً عمّا جرى في خوادم Discord ذات الصلة وغرف Reddit وخيوط X. أدرج عنوان العقد الاحتيالي أو النطاق أو عنوان محفظة المهاجم. تحذيرات المجتمع ذات أثر حقيقي — وكثيراً ما تحول دون وقوع عشرات أو مئات المستخدمين الآخرين ضحية للمخطط ذاته قبل أن تتمكن المنصات من الاستجابة.

خاتمة

تزدهر عمليات احتيال NFT بفضل الحماس والاستعجال وعدم تكافؤ المعلومات. أفضل دفاع هو الجمع بين الضمانات التقنية — محافظ الأجهزة وسحب الموافقات الدوري وتصنيف المحافظ حسب المخاطرة — والتشكيك الصحّي في كل ما يعد بأرباح سهلة أو يدفعك للتصرف دون تفكير.

تقدّم منظومة NFT على Ethereum وTON وSolana وما بعدها إمكانيات مثيرة حقاً للمجمّعين والمنشئين. حماية مشاركتك في هذه المنظومة تعني التعامل مع الأمان بوصفه ممارسة مستمرة لا إعداداً يُنجز مرة واحدة. احفظ أدوات التحقق في مفضّلاتك، وتحقق قبل التوقيع، وتذكر أن أي مشروع شرعي لن يطلب منك أبداً عبارة الاسترداد.

المصادر

  1. OpenSea — السوق الرسمي: opensea.io
  2. Etherscan — مستكشف بلوكتشين Ethereum: etherscan.io
  3. Solscan — مستكشف بلوكتشين Solana: solscan.io
  4. توثيق TON: docs.ton.org
  5. Revoke.cash — أداة إدارة موافقات الرموز: revoke.cash
  6. FBI IC3 — الإبلاغ عن الجرائم الإلكترونية: ic3.gov
  7. تقرير جرائم العملات المشفرة لـ Chainalysis 2023 — بيانات صناعية حول خسائر الاحتيال في NFT
  8. Magic Eden — سوق NFT: magiceden.io