التاريخ الكامل لانهيارات العملات المشفرة 2010-2026: 53 كارثة و 12 درسًا قاسيًا

المقدمة: قائمة لمن يأتون بعدنا

اشتريت أول بتكوين لي عام 2017 عبر منصة إيطالية صغيرة تُسمى BitGrail. بضعة رموز NANO. بعد ثمانية أشهر انهارت المنصة، وتبيّن أن مؤسسها — Francesco Firano — كان يدير دفترين منفصلين للحسابات لسنوات. اختفى رصيدي الصغير مع رصيد جميع المستخدمين. ذلك الإحساس — حين ترى الرصيد على الشاشة لكنك لن تلمسه ثانية أبدًا — هو ما دفعني في النهاية إلى البدء بكتابة هذا الأرشيف.

هذه المقالة هي حجر الأساس للجناح العربي من «أرشيف العملات المشفرة». تضع على خط زمني واحد كل حدث «بجعة سوداء» تشفيري تمكّنت من التحقق منه ضد مصادر أولية: ملفات الإفلاس، شهادات المحاكم، تجزئات المعاملات على السلسلة، تقارير ما بعد الكارثة من المشاريع، وملفات التحقيق الفيدرالية. استبعدت ما لا يمكنني التحقق منه، وأدرجت ما تتجاهله القوائم الأخرى — كثغرة CVE-2010-5139 لتجاوز القيمة عام 2010 ودورات التنظيم الصينية وفك ربط USDC في مارس 2023 — لأنها تعلّم دروسًا لا تعلّمها الأحداث الأشهر.

الإصدار العربي ليس ترجمة حرفية للإصدار الإنجليزي. أضفت إليه طبقة بحثية خاصة بمنطقة الشرق الأوسط وشمال أفريقيا والخليج: إطار هيئة VARA في دبي وقانون الأصول الافتراضية الاتحادي رقم 4 لسنة 2022 في الإمارات، ووحدة الأصول المشفرة لدى البنك المركزي البحريني عام 2019، وموقف مؤسسة النقد العربي السعودي/البنك المركزي السعودي (SAMA) ابتداءً من 2018 وتحديثاته اللاحقة، وفتوى دار الإفتاء المصرية عام 2018 وإعادة النظر الجزئية في 2022، وحالات منصات مرخّصة مثل Rain Bahrain و BitOasis Dubai، وسياق وجود Do Kwon التشغيلي في الإمارات قبيل انهيار Luna، ومحاولة SBF الفاشلة لإنشاء FTX MENA من دبي قبل القبض عليه في الباهاما.

المقالة منظَّمة في سبعة فصول مرتّبة حسب الفئة:

• الفصل 1: انهيارات المنصات المركزية، التاريخ السابق للصناعة، 11 حدثًا.
• الفصل 2: مخططات بونزي في عصر ICO، 5 أحداث.
• الفصل 3: ثغرات DeFi وهجمات الجسور بين السلاسل، 8 أحداث.
• الفصل 4: شلال 2022 الذي امتد سبعة أشهر.
• الفصل 5: تاريخ فك ربط العملات المستقرة، 3 أحداث أقل شهرة.
• الفصل 6: محاسبة مستمرة 2023-2026، 9 أحداث بما فيها اختراق Bybit بقيمة 1.4 مليار دولار في فبراير 2025.
• الفصل 7: ملاحق على مستوى المشاريع إضافة إلى خمسة أحداث كلية وتنظيمية.
• اثنا عشر درسًا قاسيًا — الناتج العملي للأرشيف بأكمله.

يمكن قراءة الفصول بالترتيب أو القفز عبر جدول المحتويات. كل عنوان حدث يتضمن اسم المشروع والسنة والقيمة الدولارية حيث ينطبق، لتسهيل البحث. الدروس الاثنا عشر في الختام مستخلصة من تجربتي الشخصية ومن أربعين حدثًا فأكثر — هي القسم الذي يجب أن تقرأه حتى لو تجاهلت كل ما عداه.

الملخص · الأرقام الرئيسية

الفصل 1: انهيارات المنصات المركزية (2011-2020)

تتشارك السفن الإحدى عشرة في هذا الفصل بنية واحدة: محفظة ساخنة وحيدة مرهقة بالعمل، محاسبة لا توفّق إلا الأرصدة الإجمالية لا الحركات الفردية، مناصب امتثال ومالية شاغرة لشهور، ورئيس تنفيذي يحمل لقب رئيس تقني في الوقت ذاته. لم تنهَر هذه المنصات لأسباب متطورة — انهارت لأن أحدًا لم يبنِ الضوابط الهيكلية الأساسية التي تعدّها مؤسسة مالية منظَّمة من البديهيات.

1. اختراق Mt.Gox المبكر (يونيو 2011)

في مساء أحد أيام يونيو 2011، تسرّب مفتاح حساب مسؤول من Mt.Gox إلى قناة عامة بمحض الإهمال، فالتقطه مهاجم لم يحتج لأكثر من دقائق ليُغرق دفتر الطلبات بأوامر بيع ضخمة دفعت السعر الفوري إلى $0.01. حين أفاقت المنصة على ما جرى، كان نحو 65,000 BTC قد تبدّل ملاكه في تلك النافذة القصيرة. حاولت Mt.Gox التراجع عن الصفقات، لكن معظم التنفيذات بالسعر المتدني كانت قد عبرت إلى منصات أخرى ولم يعد بالإمكان إلغاؤها. بهذا أصبح هذا الحادث أول حالة موثّقة لاختراق منصة مركزية كبرى في تاريخ التشفير. شخصياً، أكثر ما يلفتني في إعادة قراءة وثائق ذلك اليوم هو أن وعد Mt.Gox العلني بـ«تشديد الصلاحيات» الذي أعقب الحادث كان آخر بيان أمني تصدره الشركة قبل إفلاسها بثلاث سنوات — كأن المؤسسة وقّعت على شهادة وفاتها دون أن تعرف.

2. هجوم تصيّد على Bitstamp (يناير 2015)

قصة Bitstamp في يناير 2015 لا تبدأ بسطر برمجي بل بمرفق Excel عادي وصل إلى صندوق بريد مدير عمليات. فُتح الملف، تثبّت برنامج وصول عن بعد بهدوء في الخلفية، وخلال أيام كان المهاجمون قد استخرجوا مفاتيح المحفظة الساخنة وحوّلوا منها نحو 19,000 BTC — ما يساوي وقتها قرابة $5 مليون، أي ما يربو على $1.1 مليار بأسعار 2026. الجزء الذي يُحفظ عن Bitstamp ليس الاختراق نفسه بل الاستجابة: علّقت المنصة عملياتها قرابة أسبوع، عادت إلى مساهميها القائمين بدلاً من البحث عن إنقاذ خارجي، جمعت رأس مال بديلاً، وعوّضت كل عميل بالكامل دون أن تعلن إفلاسها. كانت تلك أول مرة في تاريخ التشفير تستوعب فيها منصة اختراقاً كبيراً بدلاً من أن ينهار بها — ولا تزال Bitstamp تعمل في 2026، إحدى الأسماء النادرة قبل 2014 التي ما زالت على قيد التشغيل. في تجربتي كصحفي مالي خليجي تابع المنصة، الدرس الأهم ليس تقنياً بل تنظيمياً: ميزانية عمومية صلبة وهيكل ملكية واضح أنقذا العملاء حيث كانت تستطيع التأمين والوعود البيانية أن تخذلهم.

3. اختراق The DAO (يونيو 2016)

الخسارة: نحو 3.6 مليون ETH (حوالي $50 مليون وقتها). السبب: ثغرة re-entrancy في عقد The DAO الذكي. تمكّن المهاجم من استدعاء splitDAO بشكل تكراري قبل تحديث الأرصدة، فاستنزف العقد حتى أُفرغ. الحل: انقسم مجتمع Ethereum إلى معسكرين. الأكثرية أيّدت hard fork يعكس الهجوم — أصبح هذا الانقسام هو Ethereum الذي نستخدمه اليوم. الأقلية رفضت من باب المبدأ («الشيفرة قانون»)، فحافظت على السلسلة الأصلية التي صارت Ethereum Classic. الأهمية: المرة الوحيدة التي استخدمت فيها blockchain عامة كبرى الإجماع الاجتماعي لإلغاء معاملات على السلسلة. هوية المهاجم لم تُؤكَّد علنًا حتى اليوم.

4. اختراق Bitfinex 120K BTC (أغسطس 2016)

الخسارة: نحو 120,000 BTC (حوالي $72 مليون وقتها، نحو $8 مليار بأسعار 2026). السبب: تعرّضت محفظة multisig الساخنة المدعومة بـ BitGo للاختراق. حصل المهاجم على مفتاحين من ثلاثة. لم تكشف Bitfinex الطريقة التقنية الدقيقة بالكامل. الحل: لم تعلن Bitfinex إفلاسها — اجتاحت الخسارة على كل أرصدة العملاء (اقتطاع 36%) وأصدرت رمز BFX يمثل الخسارة، قابلًا لاحقًا للتحويل إلى حقوق ملكية في الشركة الأم iFinex. استرداد 2022: اعتقلت وزارة العدل الأمريكية Ilya Lichtenstein و Heather Morgan (ثنائي «Razzlekhan») في فبراير 2022 واستردت نحو 94,643 BTC — أكبر مصادرة منفردة لتشفير مسروق في التاريخ. من زاويتي بعد متابعة الملف ست سنوات، أكثر ما يلفتني هو أن نموذج «التوزيع المتكافئ للخسارة على كل الحسابات + رمز تعويض قابل للتحويل لحقوق ملكية» الذي ابتكرته Bitfinex هنا أصبح لاحقاً أحد الأنماط القياسية في إعادة هيكلة منصات التشفير المعسرة، وكنت أراه يُستعاد بصيغ مختلفة في إجراءات FTX و Celsius سنوات لاحقاً.

5. هروب مؤسس Cryptsy (مايو 2016)

الخسارة: نحو $9.7 مليون من أصول العملاء، إضافة إلى مبالغ غير مُفصح عنها من اختلاس المؤسس. السبب: كان المؤسس Paul Vernon يستخدم أموال العملاء في صفقات شخصية عالية المخاطر لسنوات وخسر معظمها. ثم أضافت سرقة 13,000 BTC (التي اعترف لاحقًا بأنها حقيقية) طبقة فوق الاختلاس. الحل: أوقف Vernon معالجة السحوبات في مايو 2016 وهرب إلى الصين. أصدرت محكمة فيدرالية أمريكية في فلوريدا حكمًا غيابيًا بـ $142 مليون ضده في 2017. لم يُعَد إلى الولايات المتحدة. الأهمية: قالب «منصة مسجّلة أمريكيًا تفر إلى الخارج بعد الانهيار» — وقد تكرر هذا القالب مرات عدة لاحقًا.

6. إفلاس Mt.Gox الرسمي (فبراير 2014)

الخسارة: نحو 850,000 BTC (750,000 للعملاء + 100,000 للشركة) إضافة إلى 2.8 مليار ¥ نقدًا. القيمة وقتها: نحو $480 مليون. القيمة بأسعار 2026: أكثر من $51 مليار. السبب: تسرّب متراكم لسنوات. هجمات داخلية من 2011، ثغرات malleability من 2013، عدم فصل أموال العملاء، عدم وجود تطابق لكل معاملة، مشكلة الرئيس التنفيذي بوصفه رئيسًا تقنيًا في الوقت ذاته. وجد تقرير أمين الإفلاس أنه لم يُجرَ على الإطلاق تدقيق موحّد للأرصدة بين العملاء والشركة. الحل: إجراءات إعادة تأهيل مدنية بدأت 2018. التوزيعات الأساسية الأولى للدائنين بدأت في يوليو 2024. حتى مايو 2026، تلقّى نحو 92% من الدائنين توزيعهم الأولي. المرجع الكامل: انظر سجلات الانهيارات المجلد الأول (بالصينية، 5,300 كلمة).

7. اختراق Coincheck NEM (يناير 2018)

الخسارة: نحو $534 مليون من رموز NEM (523 مليون NEM). السبب: مفاتيح المحفظة الساخنة كانت محمية بشكل غير كافٍ. لم تُطبَّق multisig. حصة غير متناسبة من NEM العملاء كانت في تخزين ساخن لا بارد. الحل: استخدمت Coincheck أموال الشركة لتعويض العملاء بـ 46.3 مليار ¥ (نحو $420 مليون) بما يعادلها بالين بالكامل. استحوذت عليها Monex Group في أبريل 2018. ما زالت تعمل. الأهمية: أكبر سرقة تشفير منفردة في تاريخ اليابان. حرّكت إشراف هيئة الخدمات المالية اليابانية (FSA) على جميع منصات التشفير في اليابان، بما يشمل إلزامية multisig للمحافظ الساخنة وفصل المحافظ الباردة وفصل أصول العملاء.

8. BitGrail $170M NANO (فبراير 2018)

الخسارة: نحو 17 مليون NANO (حوالي $170 مليون وقتها). السبب: كان المؤسس Francesco «The Bomber» Firano يختلس ودائع العملاء لتغطية خسائر تداول شخصية لفترة طويلة؛ كان يحتفظ بمجموعتي حسابات منفصلتين (واحدة تُعرض للعملاء، والأخرى تعكس الواقع). الحل: حكمت محكمة فلورنسا الإيطالية في 2019 بأن Firano مسؤول شخصيًا عن الخسائر. الاسترداد الفعلي أقل من 10%. ملاحظة شخصية: هذه هي المنصة التي خسرت فيها أول مركز NANO لي عام 2017. المبلغ بالدولار كان صغيرًا، لكن تجربة رؤية أرصدة لا يمكنني لمسها هي السبب وراء بدء هذا الأرشيف.

9. اختراق Cryptopia (يناير 2019)

الخسارة: نحو $30 مليون عبر رموز متعددة. السبب: منصة متوسطة في نيوزيلندا. محفظة ساخنة واحدة تحوي جميع أنواع العملات دون فصل لكل أصل. لوحظت سحوبات صغيرة مشبوهة قبل ثلاثة أشهر لكن لم يُعلَن عنها. الحل: أمرت المحكمة العليا في نيوزيلندا بالتصفية في مايو 2019. استرداد العملاء بطيء؛ معدل الاسترداد النهائي نحو 40%. الأهمية: عرض واضح لكيفية استنزاف منصة متوسطة بلا بنية أمنية أساسية بالكامل عبر هجوم مستهدف.

10. QuadrigaCX $160M ووفاة Cotten (يناير 2019)

الخسارة: نحو 200 مليون $C (حوالي $160 مليون أمريكي) من أصول العملاء. السبب: منصة كندية. توفي المؤسس Gerald Cotten في الهند في ديسمبر 2018 (أو، كما يدّعي بعضهم، زيّف وفاته). قيل إن مفاتيح المحافظ الباردة للعملاء كانت تحت سيطرة Cotten وحده. الاكتشاف: التحقيق الذي أجرته Ernst & Young وجد أن «المحافظ الباردة» كانت فارغة لشهور قبل وفاته. كان Cotten يستخدم أموال العملاء في صفقات شخصية عالية المخاطر ولم يستطع تغطية الخسائر. الحل: استرداد العملاء في إجراء الإفلاس الكندي أقل من 20%. الأهمية: أدخلت فئة «نقطة فشل وحيدة: المؤسس» إلى أطر مخاطر التشفير، وتكرّرت مع Karpelès و SBF وغيرهما.

11. اختراق KuCoin $281M (سبتمبر 2020)

الخسارة: نحو $281 مليون من عملات مشفرة مختلطة. السبب: سُحبت مفاتيح المحفظة الساخنة (الطريقة الدقيقة لم تُكشف). الحل: بقيت KuCoin عاملة. نسّق الرئيس التنفيذي Johnny Lyu مع Binance و Huobi و OKX ومعظم مُصدري الرموز الرئيسيين لتجميد وhard fork الرموز المسروقة. استُرد نحو 80% عبر هذا التعاون الصناعي. غطّت KuCoin الـ 20% المتبقية من احتياطيات الشركة. خسارة العملاء الصافية كانت صفرًا. الأهمية: حالة نادرة لـ «اختراق ينتهي بخسارة صفرية للعملاء» يبرهن أن التعاون الصناعي قادر على التخفيف حتى من الاختراقات الكبيرة.

الفصل 2: عصر بونزي ICO (2014-2019)

السفن الخمس في هذا الفصل تختلف عن سفن الفصل الأول. لم تفشل بسبب قصور تقني — فشلت لأنها كانت احتيالًا منذ اليوم الأول: عوائد موعودة لا يمكن توليدها، blockchain مزعومة لا وجود لها، هياكل تسويق هرمي لتجنيد المحالين كمروّجين. هذا هو العصر الذي جعل المستثمر الفردي في التشفير يفهم لأول مرة أن بعض المشاريع ليست شركات صادقة أخطأت — بل مخططات ثقة ترتدي زيّ التشفير.

12. BitConnect $2.4B بونزي (انهيار يناير 2018)

الخسارة: نحو $2.4 مليار مع هبوط رمز BCC من $400 إلى الصفر فعليًا خلال أسبوع. المخطط: وعدت BitConnect بـ«روبوت تداول آلي» يولّد 1% يوميًا (سنويًا 365%). يحوّل المستخدمون BTC إلى BCC، يقفلونها على المنصة، ويتلقّون «فائدة». لم يكن هناك روبوت تداول — العوائد كانت تُدفع من ودائع جديدة، بنية بونزي كلاسيكية. الحل: بدأت SEC وعدة هيئات تنظيمية بالولايات الأمريكية إنفاذًا في يناير 2018. أغلقت BitConnect منتج «الإقراض» بين عشية وضحاها؛ هبط BCC أكثر من 99% خلال أسبوع. لا يزال المؤسس Satish Kumbhani هاربًا في الهند ويواجه اتهامات أمريكية.

13. OneCoin $4 مليار+ ملكة التشفير (2014-2019)

الخسارة: ما لا يقل عن $4 مليار عبر نحو 3.5 مليون مستثمر في 175 دولة. المخطط: بنت المؤسسة البلغارية Ruja Ignatova OneCoin كهرم تسويق متعدد المستويات يدّعي أنه «قاتل البتكوين». لم يكن لـ OneCoin أي blockchain — كل «المعاملات» كانت إدخالات في قاعدة بيانات داخلية. عمولات التجنيد تُدفع لنمو المحالين، لا للمبيعات الحقيقية. تهرّب تنظيمي بلدًا بلدًا عبر هياكل شركات مطبّقة. الانتشار في الخليج: تشير تحقيقات صحفية في الإمارات والكويت إلى أن وكلاء OneCoin نشطوا في عدد من العواصم الخليجية بين 2015 و 2017 عبر ندوات فندقية ومجموعات «استثمارية» محلية، قبل أن تصدر البنوك المركزية في الإمارات والكويت والسعودية تحذيرات عامة في 2017-2018. الحل: اختفت Ignatova من مطار أثيني في أكتوبر 2017. لم يُعثر عليها قط وما زالت على قائمة FBI للعشرة الأكثر طلبًا. الأهمية: يُقدَّر أنه أكبر احتيال تشفير دولي في التاريخ.

14. معركة حوكمة Tezos ICO (2017-2018)

الخسارة: ليست خسارة مالية مباشرة، لكن نحو $232 مليون من تمويل ICO ظلّت مجمّدة قرابة عام. السبب: بعد إتمام Tezos طرح يوليو 2017، دخل رئيس المؤسسة Johann Gevers ومؤسسا المشروع Arthur و Kathleen Breitman في صراع سلطة طويل حول توزيع الرموز. الحل: تقاضٍ مكثّف ووساطة؛ تنحّى Gevers في يوليو 2018؛ أُطلقت الرموز في النهاية. تسوية دعوى جماعية عام 2020 بمبلغ $25 مليون. الأهمية: حالة دراسية لانهيار حوكمة عصر ICO؛ أجبرت كل مشروع لاحق على تعريف العلاقة بين المؤسسة وفريق التأسيس مسبقًا في ميثاقه.

15. Centra Tech ICO مع تأييد مشاهير (2017)

الخسارة: نحو $25 مليون من تمويل ICO. المخطط: ادّعت إطلاق «بطاقة خصم تشفيرية» بشراكة مع Visa و Mastercard؛ جنّدت Floyd Mayweather و DJ Khaled كمؤيدين مدفوعين (لكن غير مفصح عنهم). الواقع: شراكة Visa/Mastercard ملفّقة بالكامل؛ المنتج لم يُشحَن قط؛ زوّر المؤسسان Sohrab Sharma و Robert Farkas رسائل قانونية. الحل: إنفاذ SEC عام 2018؛ حُكم على Sharma بثماني سنوات سجنًا فيدراليًا. غُرِّم Mayweather و Khaled منفصلين لعدم الإفصاح عن الترويج المدفوع. الأهمية: أرست إنفاذ SEC ضد تأييد المشاهير غير المُفصح عنه في التشفير.

16. PlusToken $3 مليار+ بونزي (انهيار يونيو 2019)

في الأشهر الأخيرة قبل انهيار PlusToken، كانت مجموعات WeChat ومنتديات شرق آسيا تتباهى بلقطات شاشة للأرصدة المتنامية — محفظة «تداول آلي عالية العائد» تعد بـ 9-30% شهرياً، مغلّفة بواجهة موبايل أنيقة وحملة تسويق هرمي محبوكة. ثم في يونيو 2019 توقّفت السحوبات فجأة واختفى فريق التشغيل خلف خوادم مظلمة. ما تبيّن لاحقاً أن نحو 2 مليون ضحية كانوا قد أودعوا ما لا يقل عن $3 مليار — وبعض التقديرات يصل إلى $5 مليار — بأغلبية ساحقة من الصين وشرق آسيا، وإن وُجدت جيوب متضرّرين عرب نشطوا في مجموعات الترجمة العربية للمشروع. كسرت الشرطة الصينية القضية عام 2020 واتّهمت 109 مشتبه بهم، وأمرت المحاكم بمصادرة نحو 200,000 ETH و 19,000 BTC — أرقام ضخمة لكنها لا تكاد تغطي جزءاً من خسائر الأفراد. تبقى PlusToken أكبر قضية بونزي تشفيرية في تاريخ آسيا، ودليل دامغ على أن تطبيقات «المحفظة عالية العائد» قادرة على التوسّع عبر اللغات والثقافات بسرعة تُربك أي جهاز رقابة محلي.

الفصل 3: ثغرات DeFi وهجمات الجسور (2020-2022)

بعد انفجار DeFi عام 2020، ظهرت أسطح هجوم جديدة: ثغرات العقود الذكية، هجمات تركيب القروض السريعة، عيوب multisig في الجسور بين السلاسل. مجموع الأحداث الثمانية في هذا الفصل يتجاوز $2 مليار، وتتركز 80% منها في 2022.

17. هجمات bZx Flash Loan (فبراير 2020)

الخسارة: هجومان بمجموع نحو مليون دولار. السبب: الموجة الأولى من هجمات تركيب DeFi flash loan. اقترض المهاجم رأس مال ضخم غير مضمون → استخدمه للتلاعب بأسعار Uniswap oracle → استغل منتجات الرافعة لـ bZx بالسعر المتلاعب به. الأهمية: كشفت أن أي بروتوكول DeFi يستهلك oracle أسعار من طرف ثالث عرضة للتلاعب بـ flash loan. انتقلت البروتوكولات الكبرى لاحقًا إلى تسعير متوسط مرجح بالوقت (TWAP) أو Chainlink بمنطق مضاد للتلاعب.

18. Iron Finance / TITAN (يونيو 2021)

في عصر أحد أيام يونيو 2021، فتح المتداولون الذين يرصدون منظومة Polygon رسومهم البيانية ليجدوا TITAN يفقد ارتفاعه ساعةً بعد أخرى. بدأ السعر قرب $65، وخلال 24 ساعة كان عند الصفر فعلياً. الآلية، في تشريحها اللاحق، بسيطة بشكل مُحبط: كان IRON عملة مستقرة جزئياً خوارزمية بضمان USDC بنسبة 75% ورمز حوكمة TITAN بنسبة 25%؛ حين قرّر بائعون كبار التخارج من TITAN، فعّل عقد المراجحة سكّاً متواصلاً للرمز ورميه في السوق، ودوامة موت كاملة انبثقت خلال ساعات. تبخّر نحو $2 مليار من القيمة السوقية، واعترف Mark Cuban علناً على مدونته أنه كان طويلاً على TITAN دون عناية واجبة — تذكير بأن الثروة الشخصية لا تُغني عن قراءة ورقة بيضاء. سُمّي الحدث وقتها «أول دوامة موت لعملة مستقرة خوارزمية»، لكنه يقرأ اليوم كمعاينة كاملة لانهيار Luna بعد 11 شهراً. من زاوية مراقب خليجي تابع منظومة DeFi الناشئة وقتها، الدرس صار قاعدة: من فهم آلية Iron Finance في يونيو 2021 لم يفاجَأ بـ UST في مايو 2022.

19. Africrypt جنوب أفريقيا (أبريل 2021)

الخسارة: أُبلغ عنها أولًا بـ $3.6 مليار؛ راجعت تحليلات لاحقة الرقم إلى نحو 3.6 مليار ZAR (حوالي $200 مليون أمريكي). المخطط: أدار الأخوان Ameer و Raees Cajee منصة «تداول آلي تشفيري»؛ أصدرا في أبريل 2021 إشعار «إيقاف تداول» واختفيا. الحل: فرّ الأخوان إلى المملكة المتحدة؛ أصدرت المحكمة العليا في جنوب أفريقيا أوامر تجميد أصول؛ استمرت إجراءات التسليم حتى 2025. الأهمية: أكبر احتيال تشفيري موثّق في أفريقيا. أظهر أن قالب «تداول آلي + عائد مرتفع» يتكرر عالميًا بأقل تكييف ثقافي.

20. اختراق Poly Network $611M (أغسطس 2021)

الخسارة: نحو $611 مليون عبر سلاسل متعددة. أكبر هجوم DeFi وقتها. السبب: ثغرة في عقد جسر متعدد السلاسل. اكتشف المهاجم أن EthCrossChainManager يسمح برسائل عبر-سلسلة مزيّفة، فصاغ رسالة واحدة تعيد توجيه جميع الأصول المعبَّرة إلى عناوين خاضعة له. الحل: أعاد المهاجم المبلغ المسروق بأكمله خلال أسبوعين، مدّعيًا أنه «قبعة بيضاء» يعرض الثغرة. منحته Poly Network علنًا لقب «كبير مستشاري الأمن» ومكافأة $500,000. الأهمية: الهجوم الكبير الوحيد الذي أعاد فيه المهاجم الأموال طوعيًا.

21. جسر Wormhole $326M (فبراير 2022)

اكتُشفت ثغرة Wormhole في فبراير 2022 لا في ساحة معركة بل في مكان أبسط بكثير: في منطق التحقق من التوقيع بين جانبَي الجسر بين Solana و Ethereum. وجد المهاجم أنه قادر على تزوير توقيع «الجانب الإيثيري حرق العملات» دون أن يحرق فعلياً أي Ethereum، واستخدم ذلك التوقيع المزيف لسك 120,000 wETH مجاناً على Solana — ما يساوي وقتها $326 مليون. القصة كان يمكن أن تنتهي هنا كمأساة جديدة في سجل الجسور، لكن Jump Crypto، الشركة الأم لـ Wormhole، اتخذت خلال أقل من 24 ساعة قراراً نادراً: ضخّت $326 مليون رأس مال من خزينتها الخاصة لتغطية الفجوة بالكامل قبل أن يلمس أي مستخدم نتيجة الاختراق. خسارة المستخدمين الصافية انتهت عند الصفر. كانت هذه واحدة من الحالات النادرة التي يُحلّ فيها هجوم جسر دون أن يتحمّل المستخدم ثمنه، ومثال صريح على رأس المال المغامر يمتص آثار ثغرة تقنية. شخصياً، يبقى هذا الحدث مرجعاً ضمن ملفي لأنه يُذكّر أن قرار الإنقاذ الفوري أحياناً يكون مسألة حسابات سمعة طويلة الأمد، لا قرار محبة.

22. Ronin Network $625M و Axie (مارس 2022)

بدأت قصة Ronin برسالة LinkedIn لمهندس كبير في Sky Mavis بمدينة هوشي منه — عرض عمل عالي الراتب يلوّح بفرصة عالمية. خلال مراحل المقابلة وصله ملف PDF مزيف، وعند فتحه دخلت برمجية خبيثة إلى محطة عمله بصمت. من تلك النقطة الواحدة، حصل المهاجمون على مفاتيح أربعة من تسع عُقد تصديق تشغّلها Sky Mavis على السلسلة الجانبية لـ Axie Infinity؛ وحين أضاف الحظ السيئ عقدةً فوّضتها Axie DAO مؤقتاً لاستيعاب موجة معاملات، بلغ المجموع خمسة تواقيع — العتبة الكاملة لـ 5/9 multisig. صاغ المهاجمون معاملة سحب مزيّفة واحدة استنزفت 173,600 ETH و $25.5M USDC دفعة واحدة، نحو $625 مليون بأسعار ذلك اليوم. الأسوأ: لم تكتشف Sky Mavis ما حدث إلا بعد ستة أيام، حين أبلغ مستخدم عن خلل في السحب. نسب FBI الحادث لاحقاً علناً إلى مجموعة Lazarus الكورية الشمالية، وضخّت Sky Mavis رأس مالها الخاص مع جمع طارئ بـ $150M لتعويض المستخدمين تدريجياً على مدى تسعة أشهر. الدرس الذي خرجت به صناعة الجسور بعدها قاسٍ في وضوحه: ما دامت جهة واحدة تشغّل 4 من 9 عُقد، فإن «5/9 multisig» هو رياضياً صحيح لكنه تشغيلياً لا يتجاوز 1/2 multisig.

23. هجوم حوكمة Beanstalk (أبريل 2022)

هجوم Beanstalk انتهى داخل كتلة واحدة. هذا ما يجعله مرعباً. حصل المهاجم على رمز الحوكمة BEAN عبر flash loan لحظياً، ما أعطاه فجأة أغلبية أصوات الحوكمة؛ قدّم مقترحاً مباشراً وحاسماً عنوانه «أحوّل كل خزائن البروتوكول إلى عنواني»؛ ثم صوّت لنفسه ونفّذ المقترح فوراً في النفس البلوكي ذاته. لم تكن هناك فترة تأخير بين الإقرار والتنفيذ، فصار التصويت هو السحب. تبخّر نحو $182 مليون في تلك العملية الواحدة، أُجبرت Beanstalk على الإيقاف ثم أعادت تصميم نظام الحوكمة من البداية، ولم تُستردّ الأموال أبداً. أضاف هذا الحدث إلى نموذج التهديد الخاص بـ DeFi فئة جديدة كاملة — «flash loan + هجوم الحوكمة» — وأجبر تقريباً كل بروتوكول DAO بعده على إقحام timelock بين الموافقة والتنفيذ، 24 إلى 48 ساعة كحد أدنى. مبدأ بسيط دفعت DeFi ثمنه باهظاً: لا بد من جدار زمني بين أي قرار حوكمة وأي حركة على الأصول.

24. Nomad Bridge $190M الاختراق الجماعي (أغسطس 2022)

الخسارة: نحو $190 مليون. السبب: عقد جسر Nomad به عيب تهيئة — ترك ترقية النشر حقل trustedRoot على القيمة الافتراضية 0x00. نتيجة لذلك، أي مكالمة مزيّفة لعقد الجسر تُعامل كصالحة. سمة فريدة: كان هذا الاختراق الجماعي الوحيد في تاريخ التشفير. حالما اكتُشفت الثغرة، كان أي شخص قادر على نسخ ولصق المعاملة قادرًا على استنزاف الأموال. شارك مئات العناوين في النهاية، بمبالغ مسروقة تتراوح بين $100 وعدة ملايين لكل واحد. الحل: طلبت Nomad علنًا من المشاركين «القبعات البيضاء» إعادة الأموال؛ أُعيد نحو 22%. الأهمية: دراسة حالة لكيفية تحوّل تهيئة نشر واحدة خاطئة إلى سرقة جماعية بحجم صناعي.

الفصل 4: سنة 2022 المتدحرجة

تكثّفت الأحداث السبعة في هذا الفصل بين شهري مايو ونوفمبر 2022. هذه الفترة هي ما تسمّيه الصناعة اليوم بداية «شتاء التشفير». التفاعل المتسلسل واضح: سقطت Luna → كانت 3AC تحتفظ بمراكز LUNA و stETH ضخمة وصُفّيت → كيانات أقرضت 3AC (Voyager و BlockFi و Celsius) ضعفت جميعًا → ضغط السوق ضخّم ضعف FTX الموجود → انهارت FTX في نوفمبر → الكيانات التي أقرضت FTX (Genesis، Gemini Earn) ضعفت في أوائل 2023.

25. TerraUSD / Luna دوامة موت 36 ساعة (مايو 2022)

الخسارة: نحو $40 مليار من القيمة السوقية تبخّرت. السبب: دوامة موت عملة مستقرة خوارزمية. فك ربط UST → بدّل المتداولون UST بـ LUNA → توسّع المعروض من LUNA من 350 مليون إلى 170 مليار رمز في 72 ساعة → انهار سعر LUNA إلى كسور سنت → هبط UST إلى $0.13. السياق الإماراتي: كان Do Kwon ومؤسسة Terraform Labs قد بنوا طبقة تشغيل ملحوظة في الإمارات بين 2021 و 2022 — مكاتب في دبي، خطاب رئيسي في قمم Crypto Bahamas و Dubai Crypto Week ربيع 2022، ومحاولات شراكة مع جهات إصدار بطاقات إماراتية لربط CHAI/UST ببطاقات خصم خليجية. بعد الانهيار في مايو 2022، علّقت بنوك إماراتية عمليات الحوالات إلى محافظ مرتبطة بـ Terraform، وكان ذلك من أوائل الأمثلة الموثّقة لتطبيق العناية الواجبة crypto-aware في الجهاز المصرفي الإماراتي. شخصياً، تابعت في تلك الأيام الأربعة بين 8 و 12 مايو 2022 الخط الزمني ساعة بساعة من مكتبي في الخليج، وأكتب اليوم بثقة أن الفرق بين من خرج بأقل الأضرار ومن خسر كل شيء لم يكن في معرفة «هل ستنهار UST؟» — بل في قراءة آلية الفداء بين LUNA و UST قبل أن يبدأ التدفق العكسي على Anchor Protocol. وضع Do Kwon: اعتُقل في الجبل الأسود في مارس 2023، سُلِّم إلى الولايات المتحدة في أوائل 2025، محاكمته الجنائية جارية في المحكمة الفيدرالية للمنطقة الجنوبية من نيويورك. المرجع الكامل: انظر سجلات الانهيارات المجلد الثاني (بالصينية، 4,800 كلمة).

26. انهيار Three Arrows Capital (يونيو 2022)

الخسارة: ~$10 مليار من الأصول المُدارة تبخّرت، مع آثار متتالية على الدائنين. السبب: احتفظت 3AC بنحو 2 مليون stETH + تعرض ضخم لـ LUNA + صفقات أخرى ذات رافعة عالية. حرّك انهيار Luna الضرر الأولي؛ ضاعف فك ربط stETH في يونيو 2022 الخسارة. لم تستطع 3AC الوفاء بنداءات الهامش. الحل: أمرت محكمة جزر العذراء البريطانية بالتصفية في 27 يونيو 2022. فرّ المؤسسان Su Zhu و Kyle Davies واستفزّا مجتمع التشفير بسخريتهما العلنية من الدائنين عبر Twitter. أصدرت سنغافورة مذكرات اعتقال في سبتمبر 2023. الأثر النظامي: كانت 3AC أكبر طرف مقابل لـ Voyager و BlockFi و Genesis و Celsius — فشلها دمّر مباشرة أربع منصات في الأسفل.

27. Celsius Network $4.7B (يونيو 2022)

الخسارة: نحو $4.7 مليار من ودائع العملاء مجمّدة. السبب: وعدت Celsius بـ 17% عائد سنوي على الودائع. العائد الفعلي كان يُولَّد بنشر أموال العملاء في Anchor Protocol (19.5%) + مراجحة stETH. قتل انهيار Luna Anchor؛ ضاعف فك ربط stETH الخسارة؛ علّقت Celsius السحوبات في 13 يونيو 2022. الحل: إجراء إفلاس 2022-2024؛ أُدين الرئيس التنفيذي Alex Mashinsky بسبع تهم جنائية تشمل احتيال الأوراق المالية في 2024. تلقى العملاء نحو 60% من قيمة العملة المشفرة و 20% أسهم في الكيان المعاد هيكلته.

28. Voyager Digital $1.65B (يوليو 2022)

على الورق، كانت Voyager تفعل كل شيء بشكل صحيح: وسيط تشفيري أمريكي مدرج في البورصة، تقارير ربعية، إفصاحات خاطر صاغها محامون. لكن حين فُتح ملف الإفلاس علناً في يوليو 2022، اكتشف السوق أن المنصة كانت قد أقرضت نحو $670 مليون — أي ما يقارب نصف ودائع العملاء — إلى طرف مقابل واحد فقط: Three Arrows Capital. حين تعثّرت 3AC في يونيو، تبخّرت إمكانية الاسترداد في لحظتها. بلغ إجمالي أصول العملاء المجمّدة نحو $1.65 مليار، واكتمل توزيع الإفلاس في مايو 2023 بنسبة استرداد نحو 35% فقط. حين يعود المرء اليوم إلى تقارير Voyager الفصلية ما قبل الانهيار، يجد بالفعل مصطلح «مخاطر التركّز» مذكوراً — لكن دون اسم 3AC، ودون الرقم $670 مليون. حالة دراسية أصبحت لاحقاً نموذجاً قياسياً في كل ندوة امتثال بمنطقة الخليج: كيف يستطيع نموذج الإفصاح الأمريكي القياسي أن يفشل بصمت تام، وكيف انتقلت وساطة التشفير بعدها إلى وضع «حد تركّز للطرف المقابل الواحد» في رأس قائمة إدارة المخاطر.

29. انهيار إمبراطورية FTX $8B (نوفمبر 2022)

الخسارة: نحو $8 مليار عجز في أموال العملاء. السبب: كانت Alameda Research (شركة التداول التابعة التي يسيطر عليها SBF) تختلس ودائع عملاء FTX لسنوات. كشف CoinDesk في 2 نوفمبر عن تركّز ضمان FTT أطلق تدفّق السحوبات. السياق الإماراتي: كان SBF قد بدأ في صيف 2022 محادثات مع جهات تنظيمية إماراتية لإطلاق FTX MENA في دبي، مع استئجار مكاتب في DIFC وتجهيز ملف ترخيص VARA. كانت رحلته إلى الإمارات مخططة لشهر ديسمبر 2022 لإطلاق المنصة محليًا. اعتُقل في الباهاما في 12 ديسمبر — قبل أيام من تاريخ رحلته الإماراتية. لم تتقدّم FTX MENA في نموذج VARA بعد ذلك. الحل الكامل: انظر سجلات الانهيارات المجلد الثالث (بالصينية، 5,100 كلمة، إعادة بناء كاملة لتسعة أيام). وضع SBF: أُدين بكل التهم السبع في نوفمبر 2023؛ حُكم عليه بالسجن 25 عامًا + مصادرة $11 مليار في مارس 2024.

30. إفلاس BlockFi (نوفمبر 2022)

الخسارة: نحو $300 مليون من أصول العملاء مجمّدة. السبب: قبلت BlockFi خط ائتمان طارئًا قيمته $400M من FTX في منتصف 2022 (معتقدة أن FTX سند ثابت). حين انهارت FTX، أصبح تعرّضها لـ FTX/Alameda مقرونًا بتعرضها لـ 3AC غير قابل للاسترداد. الإفلاس في 28 نوفمبر 2022. الأهمية: حالة واضحة لـ«الكيان الذي اعتقدت أنه ينقذك كان هو الخطر النظامي».

31. Genesis Global Capital (يناير 2023)

الخسارة: نحو $1.7 مليار قروض مستحقة. السبب: أقرضت Genesis $2.4 مليار لـ 3AC (كشف لاحق)؛ الخسارة غير قابلة للاسترداد. كذلك خسرت $175M من ودائع Alameda حين انهارت FTX. الإفلاس في 19 يناير 2023. الأثر المتسلسل: تم تشغيل منتج Gemini Earn عبر Genesis. حين توقفت Genesis، تجمّدت $900 مليون من أموال عملاء Gemini Earn. تصاعد الخلاف بين Gemini والشركة الأم لـ Genesis (Digital Currency Group) إلى عداء علني نادر بين Cameron Winklevoss و Barry Silbert.

الفصل 5: تاريخ فك ربط العملات المستقرة

يجمع هذا الفصل الأحداث الخاصة بالعملات المستقرة. الدرس هنا أن Terra/UST لم يكن أول عملة مستقرة خوارزمية تفشل. كان آخر سلالة طويلة. أي شخص درس تاريخ العملات المستقرة قبل مايو 2022 كان يعرف بالضبط ما الذي سيحدث.

32. NuBits (يونيو 2016 / مارس 2018)

قبل أن يولد UST بست سنوات، كانت NuBits قد رسمت الخريطة كاملة. عملة مستقرة خوارزمية مقترنة برمز حوكمة NuShares، وتصميم آلية امتصاص التقلّب تكاد تكون نسخة طبق الأصل من ما سيُسوَّق لاحقاً تحت اسم Terra/Luna. جاء فك الربط الأول في يونيو 2016 ليُهبط NuBits إلى $0.21 قبل أن يلتقط أنفاسه؛ والتعافي خدع كثيراً ممن قرأوه إشارةً على «نضج» النظام. ثم جاءت ضربة مارس 2018 لتُسقطه إلى $0.04 هذه المرة دون عودة، وتآكلت قيمة سوقية تراكمية بنحو $15 مليون عبر الحدثين. الرقم متواضع لكن المغزى ضخم: كانت هذه أول حالة دوامة موت كاملة موثّقة في تاريخ التشفير. في تجربتي مع قراءة الأوراق البيضاء عام 2018، الأكثر إثارةً للقلق أن أوراق Terra/Luna البيضاء لم تستشهد بـ NuBits قط، وهو غياب أراه اليوم بعد انهيار 2022 وكأنه إخفاء متعمد — أي مصمم لعملة مستقرة خوارزمية كان عليه، قبل توقيع أوراق التأسيس، أن يقرأ هذه الحالة كأول واجب منزلي.

33. فك ربط BitUSD الدائم (2014 فصاعدًا)

الخسارة: يصعب تحديدها بدقة لكنها ضرر نظامي كبير. الآلية: عملة مستقرة مدعومة بضمان BTS من BitShares؛ ضمان زائد من BTS لسك BitUSD. النتيجة: انخفاضات سعر BTS تسببت في فك ربط متكرر لـ BitUSD إلى نطاق $0.70-0.80؛ فقد السيولة الفعالة بحلول 2018.

34. Neutrino USDN (أبريل 2022)

الخسارة: فك ربط USDN إلى $0.70؛ خسارة غير مباشرة بنحو $500 مليون عبر منظومة Waves chain. الآلية: عملة مستقرة خوارزمية على Waves تستخدم رمز حوكمة WAVES لامتصاص تقلب السعر — شبيهة بـ UST. النتيجة: فك ربط أول في أبريل 2022، تعافى مؤقتًا؛ يونيو 2022 (شهر بعد انهيار Luna) فك ربط مجددًا ولم يتعافَ. الأهمية: حدث في نافذة كانت ثقة السوق في العملات المستقرة الخوارزمية فيها في سقوط حر بالفعل بعد Luna.

الفصل 6: المحاسبة المستمرة 2023-2026

بعد شلال 2022، دخلت الصناعة مرحلة تسويات مستمرة. الأحداث التسعة في هذا الفصل تتشارك سمات: هجمات مجموعة Lazarus (DMM / WazirX / Atomic / Bybit)، فشل نقطة وحيدة (PlayDapp / Multichain)، وعودة ثغرات العقود الذكية القديمة (Curve / Mixin).

35. Atomic Wallet $100M (يونيو 2023)

الخسارة: نحو $100 مليون عبر سلاسل وعملات متعددة. السبب: لاحظ مستخدمو تطبيق Atomic Wallet حركات أموال غير مصرّح بها على نطاق واسع في 2 يونيو 2023. الآلية الدقيقة لم تُكشف بالكامل علنًا — قد تكون خللًا في معالجة المفتاح الخاص في تحديث للتطبيق، أو هجوم سلسلة توريد عبر تبعية خبيثة. التنسيب: نسبته Elliptic إلى مجموعة Lazarus. الحل: لم تقدّم Atomic Wallet خطة تعويض كاملة؛ الاسترداد الفعلي أقل من 5%. الأهمية: أول حادثة كبرى تُظهر أن «تطبيقات المحفظة غير الوصائية» هي بذاتها نقطة فشل واحدة منفصلة عن البروتوكول الأساسي.

36. ثغرة Curve Finance Vyper (يوليو 2023)

الخسارة: نحو $65 مليون عبر برك Curve متعددة. السبب: ليس كود Curve — مترجم Vyper إصدارات 0.2.15 و 0.2.16 و 0.3.0 به فشل في حماية re-entrancy. البرك المكتوبة بتلك الإصدارات كانت عُرضة. مخاطر مرتبطة: انهار سعر CRV بحدة، ما أوشك يحرّك تصفية قسرية لمراكز إقراض شخصية للمؤسس Michael Egorov. باع Egorov كميات كبيرة من CRV في صفقات OTC إلى Justin Sun و Vitalik Buterin وحاملين كبار آخرين لمنع التصفية. الأهمية: كشفت مخاطر سلسلة التوريد المتأصلة في العقود الذكية — قد يكون بروتوكولك آمنًا تمامًا، لكن إن كان للمترجم خلل، تبقى عرضة.

37. اختفاء جسر Multichain (يوليو 2023)

الخسارة: نحو $126 مليون من أموال المستخدمين مجمّدة. السبب: بروتوكول جسر Multichain (سابقًا Anyswap). اختفى الرئيس التنفيذي Zhaojun He في مايو 2023، وبعدها لم يعد ممكنًا معالجة المعاملات. أعلن البروتوكول رسميًا «عدم القدرة على مواصلة العمليات» في يوليو. تطورات مرتبطة: تشارك الشرطة الصينية؛ He يُذكَر أنه في عُهدتها. الأهمية: برهان آخر على أن نماذج أمن جسور blockchain تعتمد جوهريًا على عدد قليل من أعضاء الفريق الأساسي.

38. Mixin Network $200M (سبتمبر 2023)

الخسارة: نحو $200 مليون. السبب: Mixin بروتوكول متعدد السلاسل يقوده فريق من هونغ كونغ. في سبتمبر 2023 أدى خرق قاعدة بيانات لمزود خدمة سحابي إلى كشف جزئي للمفاتيح الخاصة. الحل: تفاوضت Mixin مع المستخدمين على شرائح؛ قبل نحو 50% من المستخدمين خطة هجينة «50% تعويض بالعملة المشفرة + 50% برموز MXN». الأهمية: أضافت «مزود خدمة سحابية» كناقل هجوم جديد. قد يكون بروتوكولك آمنًا، لكن إذا اختُرق مزودك السحابي، يصبح مكشوفًا.

39. اختراقات HTX (Huobi) (نوفمبر 2023)

الخسارة: نحو $200 مليون عبر حوادث متعددة في 2023. السبب: أبلغت HTX عن اختراقات متتالية للمحافظ الساخنة في سبتمبر ونوفمبر 2023. السياق: كانت HTX تحت سيطرة Justin Sun تشغيليًا في تلك الفترة. التزم Sun علنًا بأموال شخصية لتغطية خسائر العملاء؛ خسارة العملاء الصافية: صفر. الأهمية: مشابهة هيكليًا لـ KuCoin 2020.

40. PlayDapp $290M ثغرة سك (فبراير 2024)

الخسارة: نحو $290 مليون أثر على عرض رمز PLA (سُكّت 20 مليار PLA وبيع جزء منها). السبب: اختراق المفتاح الخاص منح المهاجم صلاحية سك على عقد رمز PLA. سكّ المهاجم 20 مليار PLA — نحو 30 ضعف العرض المتداول — ورمى بها تدريجيًا على المنصات. الحل: نسّقت PlayDapp مع منصات كبرى لتجميد بعض الرموز، لكن سعر PLA انهار بشكل لا رجعة فيه؛ المشروع منتهٍ فعليًا. الأهمية: أبرزت مخاطر «إدارة صلاحية سك الرموز» في العقود الذكية.

41. DMM Bitcoin $482M اليابان (مايو 2024)

في صباح أيام مايو 2024، اكتشفت منصة DMM Bitcoin اليابانية أن نحو 4,502 BTC — ما يساوي $482 مليون — قد غادرت محفظتها الساخنة في معاملة واحدة. الآلية التقنية لا تزال جزئياً تحت الحظر القضائي الياباني، لكن تحقيق FSA اليابانية خلص إلى أن مفاتيح المحفظة الساخنة استُخرجت عن بُعد بأسلوب يُذكّر بأنماط استخدمتها مجموعة Lazarus الكورية الشمالية في حوادث سابقة، وهو ما أكّده تنسيب مشترك لاحق من FBI والشرطة اليابانية. الجزء الذي يميّز هذه القصة عن غيرها جاء من شريك المجموعة الأم: ضخّت مجموعة DMM، وهي تكتل ياباني عملاق تمتد أعماله من السلع إلى الترفيه، رأس مال كافياً لتعويض كل عميل بالكامل من جيبها الخاص. لكن في ديسمبر 2024 اتخذت قراراً أكثر دلالة من التعويض ذاته: أعلنت إغلاق نشاطها التشفيري بالكامل ونقلت أصول العملاء إلى SBI VC Trade. كانت هذه أول حالة كبرى موثّقة من نوع «اختراق ← تعويض كامل ← خروج طوعي من السوق»، وأبلغ ما تقوله: حتى التعويض الكامل قد يترك ندوب يلوذ المشغّل بعدها بالانسحاب.

42. WazirX $230M الهند (يوليو 2024)

الخسارة: نحو $230 مليون. السبب: أكبر منصة تشفير في الهند. اختُرقت بنية multisig الساخنة (4-of-6 multisig) — حصل المهاجمون على 4 من 6 مفاتيح. التنسيب: نُسب التحليل إلى مجموعة Lazarus. الحل: دخلت WazirX إجراءات إفلاس في سنغافورة؛ التوزيع بطيء، معدل الاسترداد نحو 55%. التأثير على الخليج: WazirX كانت من أكثر المنصات استخدامًا بين المغتربين الهنود في دول مجلس التعاون — يقدّر بنك CoinDCX الهندي أن نحو 18% من قاعدة مستخدمي WazirX كانت مقيمة في الإمارات وقطر والسعودية. شكّل الاختراق ضربة مباشرة للمستثمرين الفرديين الهنود في الخليج الذين كانوا يستخدمون المنصة لتحويلات USDT من رواتب خليجية إلى عوائل في الهند. أعادت السلطات الإماراتية بعد الحادثة توجيه نصائحها للمستخدمين الهنود نحو منصات مرخصة من VARA. الأهمية: أكّدت أن multisig الساخنة ليست «آمنة مطلقًا» — نموذج 4-of-6 يصبح وظيفيًا 1-of-1 إن استطاع المهاجمون اختراق ما يكفي من أجهزة التوقيع التي تسيطر عليها منظمة واحدة.

43. Bybit $1.4B اختطاف الواجهة الأمامية (فبراير 2025)

في 21 فبراير 2025، كان فريق أمن Bybit ينفّذ ما يعدّه روتيناً يومياً: معاملة multisig اعتيادية بنقل سيولة من المحفظة الباردة إلى الساخنة. شاهد الموقّعون على شاشاتهم واجهة تحويل مألوفة، ضغطوا على «موافقة» واحداً تلو الآخر، ثم رصدت لوحة المراقبة شيئاً غير متوقّع: 400,000 ETH — نحو $1.4 مليار — يتحرك في كتلة واحدة إلى عنوان لا تعرفه المنصة. سُجِّل أكبر اختراق منفرد في تاريخ التشفير في تلك اللحظة. الفحص الجنائي اللاحق كشف ما يجعل الحدث أعمق رعباً: لم تُسرق أي مفاتيح ولم تُخترق أي محفظة باردة، فقط حُقن JavaScript خبيث في الواجهة الأمامية لصفحة التوقيع، بحيث رأى الموقّعون «تحويلاً عادياً» بينما وقّعت أجهزتهم على أمر مختلف تماماً يفوّض عنواناً يسيطر عليه المهاجم. نسبت FBI الحدث علناً إلى مجموعة Lazarus. من زاوية مراقب خليجي، هذا أكثر حدث صدمني شخصياً في 2025 — ليس لحجم الخسارة بل لأن Bybit مرخّصة من VARA في دبي منذ 2023 ومقرها التشغيلي هناك، وقد أدارت VARA الاستجابة التنظيمية بسرعة لافتة: تنسيق فوري لضمان السيولة، مراجعة جذرية لمتطلبات أمان الواجهة الأمامية لكل المنصات المرخصة. خلال 48 ساعة فقط استعادت Bybit قدرة العملاء على السحب بالكامل عبر تمويل ذاتي واقتراض، وبنهاية الشهر أعلنت رسمياً «خسارة صفرية للعملاء». ميزانية عمومية واحدة امتصّت $1.4 مليار. الدرس الذي علّقته على لوحتي بعد هذا الحدث هو أن الترخيص الإقليمي ليس درعاً تقنياً بحد ذاته، وأن «اختطاف صفحة التوقيع» أصبح ناقل هجوم من الدرجة الأولى — نفس فئة ثغرة Ledger Connect Kit 2023 لكن بحجم 2,000 ضعف.

الفصل 7: ملاحق المشاريع + الأحداث الكلية والتنظيمية

غطّت الفصول الستة السابقة 43 حدثًا على مستوى المشاريع. يضيف هذا الفصل عشرة آخرين: خمسة على مستوى المشاريع تجاوزتها الفصول السابقة، وخمسة على المستوى الكلي/التنظيمي — أحداث لم تستهدف مشروعًا بعينه لكنها أسقطت السوق بأكمله 30-57% خلال 24-72 ساعة.

أ. ملاحق المشاريع

44. ثغرة CVE-2010-5139 لتجاوز القيمة · 184.4 مليار BTC من التضخم (15 أغسطس 2010)

في الخامس عشر من أغسطس 2010، صاغ مهاجم لم تُكشف هويته معاملة بتكوين واحدة استفادت من ثغرة تجاوز القيمة في مخرجات المعاملة — المعروفة رسمياً بـ CVE-2010-5139 — فسكّت 184.4 مليار BTC مباشرة في محفظته. لوضع هذا في سياقه: إجمالي العرض المتداول وقتها لم يتجاوز 7 ملايين عملة، أي أن المعاملة الواحدة أصدرت نحو 26,000 ضعف من الموجود. كانت الخسارة الدولارية صفراً، لأن BTC لم يكن له بعدُ سعر سوقي ذو معنى، لكن الخسارة الفلسفية كان يمكن أن تكون نهائية: مفهوم «الندرة المبرمجة» كله مهدّد بمعاملة واحدة. أصدر Satoshi Nakamoto ومجموعة المطورين الأوائل الإصدار 0.3.10 خلال خمس ساعات، ونفّذ المجتمع جماعياً hard fork أبطل المعاملة وأيتم نحو 53 كتلة. هكذا انتهت أول كارثة on-chain كبرى — لا بقانون السلسلة، بل بقرار اجتماعي طارئ يقول إن «عدم قابلية تغيير blockchain» مبدأ راسخ في الظروف العادية، يخضع لإجماع المجتمع وحده في اللحظات القصوى. هذه القاعدة، المكتوبة بالحبر الأبيض على هامش 2010، عادت لتُستدعى ست سنوات لاحقاً في هارد فورك DAO، وستظل دائماً جاهزة للاستخدام في الأزمة التالية. توضيح اصطلاحي: BIP30 هو إصلاح لاحق للحادث في 2012 يمنع إعادة استخدام معرف معاملة coinbase، وليس الثغرة نفسها؛ المعرف الفعلي للخلل هو CVE-2010-5139.

45. تلاعب حوكمة Mango Markets (11 أكتوبر 2022)

الخسارة: نحو $114 مليون. السبب: استخدم Avraham Eisenberg نحو $10 مليون USDC لفتح مراكز شراء وبيع متزامنة على MNGO على Mango Markets (بروتوكول دائمات لامركزي على Solana). ثم تلاعب بسعر MNGO الفوري صعودًا بنحو 1300% على منصات خارجية، استخدم MNGO المتضخّمة كضمان، واقترض كامل سيولة البروتوكول $114M. ادّعى Eisenberg علنًا أنها «استراتيجية تداول مشروعة». الحل: اعتُقل في بورتوريكو في ديسمبر 2022؛ أُدين بالاحتيال السلكي والاحتيال السلعي والتلاعب بالسوق من قبل هيئة محلفين في أبريل 2024.

46. فك ربط USDC · أزمة SVB (10-13 مارس 2023)

الخسارة: تداول USDC هابطًا إلى $0.88 لفترة وجيزة؛ نحو $3.3 مليار من احتياطيات Circle USDC محبوسة في SVB. السبب: أعلن SVB إفلاسه في 10 مارس 2023. كشفت Circle أن $3.3 مليار من احتياطي USDC البالغ $40 مليار (نحو 8.25%) كانت نقدًا في SVB. هلع السوق — لو لم يُجَب مودعو SVB 100%، لكان لدى Circle عجز فوري. هبط USDC إلى $0.88 خلال 24 ساعة. الحل: في 13 مارس (أحد المساء)، أعلنت الخزانة الأمريكية و FDIC والفيدرالي حماية كاملة لجميع مودعي SVB. استعادت Circle احتياطياتها واستعاد USDC ربطه خلال 36 ساعة. الأهمية: أكبر حدث فك ربط منفرد. أظهر أن «العملات المستقرة المدعومة 100% نقدًا» لا تزال تحمل مخاطر مصرفية نظامية.

47. Euler Finance $197M (مارس 2023)

الخسارة: نحو $197 مليون (أكبر هجوم DeFi منفرد في 2023). السبب: لبروتوكول إقراض Euler V2 خلل في دالة donateToReserves — استخدم المهاجم تركيبات اقتراض-ذاتي وضمان-ذاتي مع flash loan لتجاوز فحص عامل الصحة واستنزاف عدة برك. الحل: في 22 مارس أعاد المهاجم نحو 90% من الأموال بعد تفاوض on-chain؛ استرداد إضافي عبر جولات تفاوض. في 2024 استخدمت Euler DAO احتياطيات البروتوكول لتعويض 100%. الأهمية: ثاني حالة موثّقة لـ«إعادة طوعية لمعظم الأموال». أرست «التفاوض العلني on-chain» كخيار غير قياسي معترف به.

48. انقطاعات شبكة Solana الرئيسية (2021-2024)

الخسارة: لا خسارة أصول مباشرة لكل حادثة، لكن كل انقطاع أوقف بروتوكولات DeFi على Solana، وتدفقات الإيداع والسحب من المنصات، وتداول NFT. الانقطاعات الكبرى: سبتمبر 2021 — 17 ساعة؛ يناير 2022 — 30 ساعة؛ مايو 2022 — 7 ساعات؛ يونيو 2022 — 4 ساعات؛ فبراير 2023 — 19 ساعة؛ فبراير 2024 — انقطاع قصير. الأهمية: Solana هي الأكثر تكرارًا — انقطاع كل 6-9 أشهر تقريبًا. من يحتفظ بأصول على Layer-1 يجب أن يعامل «انقطاع السلسلة» كمخاطرة روتينية لا حدثًا نادرًا.

ب. الأحداث الكلية والتنظيمية

49. حظر الوزارات الخمس الصيني (5 ديسمبر 2013)

أثر السوق: هبط BTC من نحو ¥7,000 إلى ¥3,000 (-57% في 24 ساعة)؛ القيمة السوقية العالمية للتشفير هبطت نحو 50%. السبب: أصدر بنك الشعب الصيني وأربع وزارات أخرى «إشعار منع مخاطر البتكوين» — منع المؤسسات المالية من تقديم خدمات بتكوين، نفي صفة العملة عن البتكوين، إلزام مزودي الدفع الثالث بوقف خدمة منصات التشفير. النتيجة: المنصات الصينية الثلاث الكبرى (Huobi، OKCoin، BTCChina، الثلاثة الكبرى عالميًا وقتها) قُطعت مداخلها النقدية خلال 60 يومًا. الأهمية: أول مرة تهبط فيها أسواق التشفير حدة بسبب عمل تنظيمي سيادي.

50. حظر ICO الصيني 9.4 (4 سبتمبر 2017)

أثر السوق: هبط BTC من $4,900 إلى $3,000 (-39%)، ETH من $390 إلى $220 (-44%). السبب: بنك الشعب الصيني وست وزارات أصدروا «إشعار منع مخاطر إصدار وتمويل الرموز» — حظر ICOs، أمر إغلاق المنصات المحلية، إلزام المشاريع برد العائدات. النتيجة: توقفت Huobi و OKCoin و BTCChina عن تداول اليوان خلال 60 يومًا. تمويل ICO العالمي هبط من ذروة 6.6 مليار في الربع الثالث من 2017 إلى ما يقارب الصفر بحلول 2019. الأهمية: أول دخول للتشفير في «نمط تسارع سوق هابطة عالمية» بسبب تنظيم بلد واحد.

51. الخميس الأسود · أزمة سيولة كوفيد (12 مارس 2020)

أثر السوق: هبط BTC من $7,900 إلى $3,850 في 24 ساعة (-51%) — أكبر هبوط يومي في تاريخ التشفير. تبخّر نحو $150 مليار من القيمة السوقية. السبب: أزمة سيولة عالمية ناتجة عن جائحة كوفيد. بيعت جميع الأصول عالية المخاطر بتزامن، لكن التشفير هبط 2-3 أضعاف الأسهم. الحل: تعطّل BitMEX مؤقتًا، ما حمى المستخدمين عرضًا من تصفيات قسرية. تجاوزت التصفيات اليومية $1.8 مليار. تعافى BTC إلى $5,500 خلال 48 ساعة وتجاوز مستويات ما قبل الحدث بحلول أغسطس. الأهمية: أثبت أن التشفير ليس «أصل ملاذ» في أزمات السيولة الكلية — هو «أصل تضخيم مخاطر».

52. حظر التعدين الصيني (19 مايو 2021)

أثر السوق: هبط BTC من $43,000 إلى $30,000 في يوم واحد (-30%)، ETH -40%؛ تبخّر نحو $300 مليار — ثاني أكبر هبوط يومي. السبب: لجنة الاستقرار المالي للمجلس الصيني صرّحت في 21 مايو بـ«ضرب تعدين البتكوين والتداول». تباعًا أصدرت منغوليا الداخلية وشينجيانغ وسيتشوان وتشينغهاي ويونان سياسات تنظيف محددة. وقتها استضافت الصين 60-65% من معدل التجزئة العالمي. النتيجة: هبط معدل التجزئة العالمي من 180 إلى 90 EH/s (-50%) خلال 60 يومًا. هاجر المعدّنون إلى أمريكا الشمالية (تكساس بشكل رئيسي)، كازاخستان، روسيا. امتد وقت كتلة BTC من 10 دقائق إلى أكثر من 18 دقيقة لأشهر. الأهمية: أكبر إعادة توزيع جغرافي لمعدل التجزئة في تاريخ التشفير.

53. عقوبات Tornado Cash · سابقة الشيفرة المفتوحة المصدر (8 أغسطس 2022)

أثر السوق: مكتوم نسبيًا (BTC -5%) لكن أثر مجتمع المطورين هائل؛ TORN -50%؛ عناوين Ethereum المرتبطة بـ Tornado Cash أُدرجت بشكل استباقي في القوائم السوداء لـ Aave و Uniswap و dYdX. السبب: أضاف OFAC الأمريكي Tornado Cash، خلاطة شيفرة مفتوحة المصدر، إلى قائمة SDN. كانت هذه أول مرة تفرض فيها الولايات المتحدة عقوبات على «برمجية مفتوحة المصدر». في الشهر نفسه اعتُقل المطور Alexey Pertsev في هولندا. تطورات لاحقة: أغسطس 2023، اعتُقل المطور الأمريكي Roman Storm بتهم غسيل أموال؛ أغسطس 2024، قضت محكمة الاستئناف الفيدرالية للدائرة الخامسة بأن عقوبات OFAC على الشيفرة المفتوحة «تجاوزت السلطة القانونية» ونقضتها جزئيًا. الأهمية: دفعت سؤال «هل يمكن أن تُعاقَب الشيفرة بحد ذاتها» إلى المحاكم الفيدرالية لأول مرة.

منظور خليجي · MENA: التنظيم والامتثال والفقه

هذا القسم خاص بالقارئ في منطقة الشرق الأوسط وشمال أفريقيا والخليج. لا توجد في الإصدار الإنجليزي. سبب وجوده: الإطار التنظيمي للأصول المشفرة في المنطقة تطور بسرعة بين 2019 و 2026، والقرارات التي يتخذها المستثمر الفردي في الرياض أو دبي أو المنامة أو القاهرة لا يمكن أن تستند فقط إلى الأطر الأمريكية أو الأوروبية. هنا مسح موجز للأطر التي يجب أن تعرفها قبل تطبيق الدروس الاثني عشر.

الإمارات: هيئة VARA والقانون الاتحادي 4/2022

أنشأت إمارة دبي عام 2022 «هيئة تنظيم الأصول الافتراضية» (Virtual Assets Regulatory Authority — VARA) كأول جهة تنظيمية مستقلة مخصصة للأصول المشفرة في العالم. تصدر VARA تراخيص ضمن مراحل: Initial Approval، Minimum Viable Product (MVP)، ثم Full Market Product (FMP). بحلول مايو 2026، حصلت Binance و OKX و Crypto.com و Bybit و Rain و BitOasis على تراخيص ضمن مراحل مختلفة. على المستوى الاتحادي، أصدرت الإمارات في 2022 المرسوم بقانون اتحادي رقم 4 لسنة 2022 بشأن تنظيم الأصول الافتراضية، الذي أرسى الإطار القانوني العام للدولة. في أبوظبي، تشرف هيئة تنظيم الخدمات المالية (FSRA) في سوق أبوظبي العالمي (ADGM) على نظام منفصل سبق VARA زمنيًا (منذ 2018) ويستضيف منصات مثل M2 و Hayvn.

البحرين: وحدة الأصول المشفرة لدى CBB

أصدر مصرف البحرين المركزي (CBB) عام 2019 «وحدة الأصول المشفرة» (Crypto-asset Module) — كانت من أوائل الأطر التشريعية الخاصة بالتشفير في العالم العربي. تُرخّص CBB فئات أربع: تشغيل منصة تداول، أمين عُهدة، خدمات استشارية، إدارة محافظ. Rain Bahrain كانت أول منصة مرخصة (2019)، تلتها CoinMENA. الإطار البحريني تركز تاريخيًا على فصل أصول العملاء واشتراطات رأس مال أدنى مرتفعة نسبيًا، وقد استُخدم كنموذج مرجعي عند صياغة بعض جوانب إطار VARA.

المملكة العربية السعودية: موقف SAMA

في 2018 أصدر البنك المركزي السعودي (SAMA، آنذاك مؤسسة النقد العربي السعودي) بيانًا مشتركًا مع هيئة السوق المالية يحذّر من تداول البتكوين والعملات المشفرة الأخرى، مع التنويه إلى عدم الترخيص لأي جهة لتقديم هذه الخدمات داخل المملكة. في 2024 و 2025 تطور الموقف نحو إطار أكثر تمايزًا: مشروع Aber المشترك مع المصرف المركزي الإماراتي (عملة جملة بنكية رقمية)، ومشاركات SAMA في عمل BIS Project Agorá. لا يزال تداول التشفير في السعودية يقع في منطقة رمادية تنظيميًا للمستثمر الفرد بحلول 2026.

مصر: فتوى دار الإفتاء 2018 وإعادة النظر 2022

أصدر مفتي الجمهورية شوقي علام عام 2018 فتوى تحرّم تداول البتكوين، مستندةً إلى الغرر والمضاربة والاستخدامات في الجرائم. في 2022 أعادت دار الإفتاء النظر جزئيًا لتفرّق بين الاستخدامات المضاربية البحتة (تبقى محرّمة) والاستخدامات التطبيقية المعزولة (مثل التطبيقات على blockchain دون تداول مضاربي). البنك المركزي المصري حظر التداول رسميًا في 2018 وما زال الحظر ساريًا في 2026 على المستوى المصرفي.

أمثلة منصات إقليمية

• Rain: تأسست في البحرين 2017، أول منصة تشفير مرخصة في الشرق الأوسط (CBB 2019)، توسعت إلى أبوظبي عبر ADGM FSRA، تركّز على عملاء التجزئة الإقليميين.
• BitOasis: تأسست في دبي 2015، حصلت على ترخيص MVP من VARA. اعترضها عدد من تحديات الامتثال بين 2023 و 2024 — توقفت عن قبول عملاء من السعودية والكويت في 2024 إثر مراجعات تنظيمية.
• CoinMENA: مرخصة من CBB البحرين 2021، تستهدف ست دول خليجية.

★ 12 درسًا قاسيًا (الخلاصة)

هذه الدروس الاثنا عشر هي إطار عملي مستخلَص من الأحداث الـ 53 أعلاه. كل درس مقترن بالأحداث المحددة التي أرسته. إن أخذت شيئًا واحدًا من هذه الوثيقة البالغة 6,800 كلمة، فلتأخذ هذه الاثني عشر.

أ. حفظ الأصول في المنصات المركزية (الدروس 1-3)

1. اختر المنصات بإثبات الاحتياطيات، لا بكاريزما الرئيس التنفيذي. Karpelès و Bankman-Fried و Mashinsky كلهم حظوا بتغطية لامعة قبل الانهيار. التغطية مدفوعة، أما PoR فبنية. اطلب تدقيقًا شهريًا من طرف ثالث مستقل مع براهين zk-SNARK.
2. شركات التداول التابعة غير المفصولة مخطط للانهيار. FTX-Alameda، Voyager-3AC، سجلات Celsius الداخلية شاركت النمط. تحقق إن كانت الشركة الأم لمنصتك تشغّل صانع سوق أو صندوق تحوط دون فصل مُفصح.
3. تعليق السحوبات إشارة إعسار بنسبة 95%. Mt.Gox، FTX، Celsius، Voyager، Cryptopia، Multichain — لم تستأنف بشكل طبيعي. Bitstamp 2014 و Bybit 2025 الاستثناءان النادران. تعامل مع الإعلان كإنذار إخلاء.

ب. العملات المستقرة (الدروس 4-5)

4. «العملة المستقرة» علامة تسويقية — تحقق دائمًا من آلية الاحتياطي. المدعومة مركزيًا (USDT/USDC/FDUSD) تعتمد على ملاءة المُصدر + أمان الشركاء المصرفيين (USDC SVB 2023). الخوارزمية (UST/USDN/NuBits) تعتمد على استمرار الثقة في رمز الحوكمة. كلاهما يفشل بطرق مختلفة.
5. العملات المستقرة الخوارزمية البحتة ميتة هيكليًا. NuBits، BitUSD، Iron Finance/TITAN، Terra/UST، Neutrino USDN — خمس حالات فك ربط إلى الصفر تثبت نمط دوامة الموت. لا تنخدع بتسويق «الخوارزمية 2.0».

ج. DeFi والجسور (الدروس 6-8)

6. الجسور بين السلاسل أكبر سطح هجوم واحد، استخدمها بأقل قدر. خسائر الجسور التراكمية تتجاوز $2 مليار. إن اضطررت لعبور سلاسل، فضّل التحويل الداخلي للمنصات المركزية على بروتوكولات الجسور.
7. قروض flash مع هجمات الحوكمة تجعل أي بركة رمز حوكمة منخفضة السيولة عُرضة. Beanstalk و Mango Markets يُظهران النمط. تحقق إن كانت مراكزك في بروتوكولات لديها timelock حوكمة (24-48 ساعة).
8. المحافظ الجهازية توقف سرقة المفاتيح لا توقيع محتوى خاطئ. Bybit 2025 ($1.4 مليار)، Ledger Connect Kit 2023، تصيّد Permit2 — كلها شملت توقيع المستخدمين على محتوى مختطف على أجهزة سليمة. الجهاز ضروري لكنه غير كافٍ.

د. الحفظ الذاتي (الدرس 9)

9. لا تركّز أبدًا على ناقل واحد. التوزيع المقترح: نحو 30% على منصة منظَّمة (مع PoR)، 50% على تخزين بارد بمحفظة جهازية، 20% على وصاية متعددة التواقيع أو طرف ثالث. عملاء FTX المتركّزون خسروا 100% في 11 نوفمبر 2022.

هـ. ICO والمشاريع (الدروس 10-11)

10. «العائد المضمون» علامة بونزي باحتمال 99%. BitConnect 1% يوميًا، OneCoin الغامضة، Anchor 19.5%، Celsius 17%، PlusToken 9-30% شهريًا — وعدت بعوائد لا تستطيع توليدها. أي مشروع لا يشرح مصدر عائده في ثلاث جمل يجب التعامل معه افتراضيًا كبونزي.
11. تأييد المشاهير ليس مصادقة. Mayweather و DJ Khaled روجا Centra Tech؛ Tom Brady ظهر مع FTX؛ سياسيون مع OneCoin. اخصم أي مشروع يعتمد على انتباه المشاهير.

و. الدرس الميتا (الدرس 12)