iOS & Android

گزارش امنیت وب‌3 نیمه اول 2026: دفعات حملات 107 درصد افزایش یافته، 1.39 میلیارد دلار ناپدید شده است

نویسنده: Beosin

1. مرور کلی چشم‌انداز امنیت بلاکچین وب۳ برای نیمه اول ۲۰۲۵

بر اساس داده‌های نظارتی Beosin Alert، در نیمه اول سال ۲۰۲۶، مجموعاً ۱۸۷ حادثه امنیتی در فضای بلاکچین جهان رخ داده که زیان‌های تجمعی آن حدود ۱٫۳۹۰ میلیارد دلار بوده است. فراوانی حوادث امنیتی نسبت به مدت مشابه سال قبل ۱۰۷٫۷٪ افزایش یافته، در حالی که مجموع زیان ۳۵٪ کاهش یافته است. اگرچه میزان زیان در نیمه اول امسال کاهش یافته، اما حملات زنجیره‌ای همچنان مکرر است و بخش بلاکچین همچنان با چالش‌های شدید امنیتی روبرو است.

2. زیان‌ها بر اساس زنجیره

اتریوم همچنان بیشترین آسیب را دیده است، با ۷۹ حمله که حدود ۴۹۲ میلیون دلار زیان به همراه داشته و آن را به زنجیره عمومی با بالاترین میزان زیان و بیشترین تعداد حوادث حمله تبدیل کرده است.

سولانا به دلیل زیان عظیم ناشی از حادثه امنیتی Drift Protocol و سایر حملات دی‌فای، با مجموع زیان حدود ۳۲۸ میلیون دلار، دومین زنجیره پرضرر شد.

شبکه بیت‌کوین در رتبه سوم قرار دارد، جایی که یک نهنگ (سرمایه‌گذار بزرگ) حدود ۲۸۲ میلیون دلار را بر اثر حمله مهندسی اجتماعی از دست داد.

3. انواع پروژه‌های هدف قرار گرفته

دی‌فای پرشایع‌ترین نوع هدف حملات و بالاترین میزان زیان را متحمل شده است. در نیمه اول ۲۰۲۶، ۶۴ حادثه امنیتی در دی‌فای رخ داد که ۳۴٫۲۲٪ از کل حوادث را تشکیل می‌داد و زیان آن به ۴۶۸ میلیون دلار رسید.

شایان ذکر است که حملات هدفمند به کاربران عادی، توکن‌ها و قراردادهای ناشناخته در نیمه اول امسال مکرراً رخ داده که به ترتیب زیان‌های ۳۳۷ میلیون و ۳۰۳ میلیون دلار داشته، که نسبت به مدت مشابه سال قبل حدود ۲۷۴٪ افزایش داشته است.

4. تحلیل علل حملات

حملات مهندسی اجتماعی به تهدید اصلی تبدیل شد و با حملات به تیم‌های پروژه و نهنگ‌های فردی، حدود ۶۳۰ میلیون دلار زیان به بار آورد. تعداد حوادث امنیتی ناشی از آسیب‌پذیری‌های قراردادی ۹۴ مورد بود که مجموع زیان حدود ۷۱۳ میلیون دلار را در پی داشت؛ میزان زیان نسبت به مدت مشابه سال قبل تقریباً ثابت ماند، اما فراوانی ۴۹٫۲۱٪ افزایش یافت. در نیمه اول امسال، زیان ناشی از نشت کلید خصوصی نسبت به مدت مشابه سال قبل تقریباً ثابت بود و مجموعاً به ۹۹٫۴۱ میلیون دلار رسید که فراوانی آن نیز افزایش یافت.

5. تحلیل مقیاس زیان

در نیمه اول سال، ۴ حادثه امنیتی با زیان بیش از ۱۰۰ میلیون دلار رخ داد (KelpDAO با حدود ۲۹۰ میلیون دلار زیان، Drift Protocol با حدود ۲۸۵ میلیون دلار زیان، یک نهنگ فردی با حدود ۲۸۲ میلیون دلار زیان، و Rug Pull صرافی DSJ با حدود ۱۵۰ میلیون دلار زیان). ۱۰ حادثه امنیتی برتر مجموعاً حدود ۱٫۱۶۶ میلیارد دلار زیان داشتند که ۸۳٫۸۹٪ از کل زیان‌ها را تشکیل می‌دهد.

علاوه بر این، تیم امنیتی Beosin چندین حمله به توکن‌ها یا قراردادهای قدیمی کشف کرد که ب‌ان‌بی‌چین با ۳۳ حادثه، بیشترین تعداد را داشت. مقیاس زیان از ۱۰ هزار دلار تا چند صد هزار دلار متغیر بود. گمان می‌رود که مهاجمان از فناوری هوش مصنوعی برای اسکن و غربال دسته‌ای این نوع قراردادهای قدیمی استفاده می‌کنند و انتظار می‌رود حوادث در این مقیاس در آینده بیشتر رخ دهند.

6. خلاصه چشم‌انداز امنیت

در مقایسه با نیمه اول ۲۰۲۵، زیان ناشی از حوادث حمله در این نیمه حدود ۳۵٪ کاهش یافته است. با این حال، اگر زیان شدید ۱٫۴۴ میلیارد دلاری هک Bybit در سال گذشته را کنار بگذاریم، زیان در نیمه اول امسال جدی بوده و عمدتاً در پروژه‌های اکوسیستم زنجیره‌ای و کاربران عادی متمرکز شده است که حفاظت امنیتی آنها ضعیف‌تر از صرافی‌هاست. میزان زیان صرافی‌ها در نیمه اول امسال به شدت کاهش یافت، اما تعداد حملات و میزان زیان اکوسیستم‌های بلاکچین عمومی اصلی به طور کلی افزایش یافته است.

بیشترین زیان در نیمه اول سال مربوط به هک KelpDAO بود که تأثیر منفی عظیمی بر اکوسیستم دی‌فای گذاشت. پس از حمله، مهاجم با استفاده از قراردادهای وام‌دهی WETH قرض گرفت و بدهی‌های بدی برای کاربران آن پروتکل‌ها به جا گذاشت، از جمله بیش از ۲۰۰ میلیون دلار بدهی بد برای Aave. برای جلوگیری از پذیرش بدهی بد، کاربران شروع به برداشت وحشت‌زده دارایی‌ها از Aave کردند که فشار زیادی بر نقدینگی و قیمت سایر دارایی‌های کریپتو وارد کرد.

بر اساس نوع پروژه، حوادث حمله تمام حوزه‌های وب۳ را پوشش می‌دهند: صرافی‌ها، دی‌فای، کیف‌پول‌های شخصی، زیرساخت، قراردادهای توکن، اوراکل و غیره. تمام تیم‌های پروژه وب۳ و کاربران فردی باید با ذخیره‌سازی آفلاین کلید خصوصی، استفاده از امضای چندگانه، احتیاط نسبت به خدمات شخص ثالث و ارائه آموزش منظم امنیتی برای کارمندان ممتاز، هوشیار بمانند.

توجه*: محدوده آماری فوق فقط شامل دارایی‌های دزدیده شده زنجیره‌ای قابل ردیابی عمومی است و ضررهای فیشینگ کوچک، دزدی‌های داخلی شرکتی فاش نشده و سایر داده‌ها را پوشش نمی‌دهد. ارقام واقعی زیان بیشتر از مقادیر گزارش شده است.