كشف تقرير حديث من شركة كربيروس، وهي شركة أمنية لـWeb3، أن السلوك الإنساني أصبح الآن هو المخاطر الرئيسية في Web3.
تحدث فريق BeInCrypto مع الرئيس التنفيذي للشركة أليكس كاتز وCTO دانور كوهين لفهم لماذا لا يزال المستخدمون يقعون ضحايا للهجمات وما الذي يمكنهم القيام به لحماية أنفسهم بشكل أفضل.
Sponsoredالأخطاء البشرية تسبب خسائر كبيرة في Web3, تقرير كيربيروس يكشف
في آخر تقرير لها بعنوان "العامل البشري - الحماية في الوقت الحقيقي هي الطبقة التي لا تستهان بها في أمن Web3 (2025)"، كشفت كربيروس أن الهجمات التي تستهدف الإنسان كانت أخطر وسيلة هيكلية في Web3.
استشهد التقرير ببيانات تُظهر أن حصة كبيرة من خسائر الصناعات تنبع من أخطاء المستخدمين. حوالي 44% من سرقات العملات الرقمية في 2024 كانت نتيجة لسوء إدارة المفاتيح الخاصة. وأظهر بحث آخر أن الأخطاء البشرية متورطة في حوالي 60% من خروقات الأمان.
مع وجود 820 مليون محافظ نشطة في 2025، تتوسع بيئة التهديد بسرعة,وكل شخص يبقى في خطر. أوضح كاتز لـBeInCrypto أن الجهات الخبيثة تستهدف كل من المستخدمين الجدد والمستخدمين ذوي الخبرة، ولكن لأسباب مختلفة للغاية.
أضاف أن "المستخدمين الجدد جذابون لأنهم لم يفهموا بعد ما يبدو عليه السلوك 'العادي' لـWeb3."
أشار المدير التنفيذي بشكل مثير للاهتمام إلى أن المستخدمين القدامى أصبحوا أهدافًا أكثر قيمة مقارنةً بالمستخدمين الجدد. ووفقًا له،
"يتفاعل المستخدمون المخضرمون مع عدد أكبر بكثير من التطبيقات اللامركزية، ويوقعون على عدد أكبر من المعاملات،وينقلون مبالغ أكبر. وهذا يعني أن لحظة واحدة من التراخي يمكن أن تسبب أضرارًا أكبر بكثير. لذا فالمجموعة الأكثر عرضة للخطر اليوم هي أي شخص يفترض أنه ليس في خطر."
أضاف كوهين أن أحد أكبر المفاهيم الخاطئة في Web3 هو الاعتقاد بأن فشل الأمان ينبع من عدم فهم المستخدمين للتكنولوجيا. وتشير تحليلاته إلى الاتجاه المعاكس. الناس يُختَرَقون لأن النظام يضع عبئًا غير واقعي عليهم.
Sponsored Sponsoredقال كوهين "يفكر المستخدمون، 'أنا ذكي جدًا لأتعرض للسرقة، أعرف كيف تعمل المحافظ - أنا آمن.' ولكن بيئة التهديد تتغير أسرع من المستخدمين. لا يحاول المهاجمون أن يتفوقوا على محفظتك; بل يحاولون التفوق عليك. وهم جيدون جدًا في هذا. ما يسيء الناس فهمه هو أن Web3 يضع عبئًا عقليًا هائلاً على الفرد. يجب أن لا يضطر المستخدمون لتفسير الإشارات التقنية للبقاء آمنين - يجب أن يعمل الأمان لهم تلقائيًا," أضاف.
لماذا يستمر استنزاف المستخدمين الأذكياء في Web3 في عام 2025
تستمر هذه المخاطر البشرية رغم الإنفاق القياسي على الأمن في 2025. ذكر تقرير كربيروس أن الخدمات المرتبطة بالعملات الرقمية والمستثمرين فقدوا أكثر من 3٬1 مليار دولار بسبب الاختراقات والاحتيالات في النصف الأول من العام. وهذا بالفعل أكثر من إجمالي 2024.
يشمل هذا العدد اختراق Bybit التاريخي. باستثناء هذا، الهجمات الموجهة ضد البشر مثل التصيد الاحتيالي والهندسة الاجتماعية لا تزال تمثل ٦٠٠ مليون دولار. مثلت هذه الهجمات ٣٧٪ من المبلغ المتبقي وهو ١٬٦٤ مليار دولار في الخسائر.
ذكرت التقرير أن هذه الهجمات تتزايد مع تزايد التبني وتتجاوز الدفاعات التقنية بالكامل. هذا يجعل من الصعب على النماذج الأمنية التقليدية منعها.
بينما تستثمر الشركات بشكل كبير في عمليات التدقيق والمراقبة ومراجعات الشفرات، يستخدم المهاجمون بشكل متزايد الاستغلال المباشر للمستخدمين على مستوى المعاملات. لكن ما الذي يجعل البشر عرضة جدا لهذه الهجمات؟
Sponsoredأوضح كوهين أن البشر عرضة للاختراق لأن كل خدعة مصممة لاستغلال الطرق النفسية الطبيعية – مثل الاستعجال، السلطة، الألفة، الخوف من الفقدان، أو الراحة في الروتين. هذه ليست عيوبًا؛ فهي نفس الغرائز التي تمكننا من العمل في الحياة اليومية. لا يمكن للتكنولوجيا وحدها تغيير علم النفس البشري، ولكنها يمكن أن تلتقط اللحظة التي يتم فيها استغلال النفسية كسلاح.
وأكد أن أقوى أشكال الحماية ليست الاعتماد على المستخدمين لتجنب الأخطاء من خلال التعليم وحده، ولكن إيقاف الإجراءات الضارة في الوقت الفعلي قبل حدوث الضرر.
وأضاف كوهين أن "هذا هو السبب في أن الكشف في الوقت الفعلي مهم للغاية. إذا كان بإمكانك تحذير المستخدم في اللحظة الدقيقة التي يتم فيها التلاعب بثقته، يمكنك إيقاف معظم الخسائر قبل أن تحدث".
أشار المدير التنفيذي إلى أنه من غير الواقعي توقع أن يميز المستخدم العادي بين التطبيقات اللامركزية الضارة، وعروض الإيردروب، أو صفحات الصك. في كثير من الأحيان، تشبه المنصات الاحتيالية الحديثة تلك الشرعية عن كثب. هذا يجعلها تقريبا غير قابلة للتفريق.
وأضاف أن المستخدمين يمكنهم الضغط على روابط التصيد الاحتيالي بشكل متكرر. لا يفعلون ذلك بسبب الإهمال، ولكن لأن الهجمات مصممة عمداً لخداعهم.
حتى التحذيرات في الوقت الفعلي في بعض الأحيان يمكن أن تظهر كتنبؤات إيجابية كاذبة، مما يبرز الطبيعة المتقدمة لهذه الخدع.
Sponsored Sponsoredاقترح كوهين أن "لا ينبغي أن يتوقع من المستخدمين إجراء فحوصات جنائية. يجب أن تتحول العبء إلى الأدوات التي تحلل النية والسلوك في الوقت الفعلي".
أيضا، ينص التقرير على أن هذه الهجمات تستغل اللحظات التي يكون فيها المستخدمون أقل قدرة على تقييم التهديدات. قد يحدث ذلك عندما يقوم شخص ما بفحص محفظته بينما يكون مشتتًا في العمل، أو يرد على رسالة عاجلة تدعي أن حسابه سيتم تجميده، أو يوافق على معاملة في نهاية يوم طويل عندما يكون مرهقًا.
ووفقًا للنتائج، فقد تركز رد فعل الصناعة بشكل كبير على إضافة المزيد من التحذيرات وخطوات التحقق. لكن هذا النهج غالبًا ما يأتي بنتائج عكسية بسبب "إرهاق الأمان". عندما يصبح المستخدمون معتادين على التحذيرات المستمرة – العديد منها تكون إنذارات كاذبة تبطئهم ببساطة – تُقلل قدرتهم على اتخاذ القرارات بعناية تحت الضغط المستمر.
3 خطوات يمكن للمستخدمين اتخاذها ليكونوا أكثر أمانًا في Web3
كشف كاتز عن ثلاث ممارسات يمكن للمستخدمين تبنيها للحد من الخسائر في العالم الحقيقي. نصح المستخدمين بـ:
- التوقف قبل التوقيع: معظم الاختراقات تحدث في أقل من عشر ثوان. أخذ لحظة لقراءة التنبيه أو التأكد من توافق الطلب مع العمل المطلوب يمكن أن يمنع نسبة كبيرة من الهجمات الناجحة.
- فصل الأصول ذات القيمة العالية عن النشاط اليومي: استخدام محافظ متعددة يبقى أحد أكثر الوسائل الفعالة للحماية. اقترح أن يحتفظ المستخدمون بممتلكاتهم طويلة الأمد في محفظة باردة أو منخفضة الاستخدام ويستخدمون محفظة منفصلة للاستكشاف، والسك والتطبيقات اللامركزية. هذا الفصل يحد من الأضرار المحتملة.
- الاعتماد على الحماية الفورية للمعاملات: لأن العديد من التهديدات تتعلق بالهندسة الاجتماعية وليس الاستغلالات التقنية، يستفيد المستخدمون من الأدوات التي تفسر الإجراءات على السلسلة قبل أن تكتمل. هذه الطبقة الوحيدة من الدفاع تمنع العديد من الاحتيالات المتقدمة.
قال أن النية هي ليست تحويل المستخدمين إلى خبراء أمن، بل بناء حواجز تمنع الأخطاء من التحول إلى خسائر مالية.
