What exactly is a seed phrase and why is it so dangerous if compromised?

A seed phrase is a 12 or 24-word master key generated by your cryptocurrency wallet that mathematically derives all private keys controlling your digital assets. Anyone with this phrase can access every coin in your wallet from any device worldwide, and because blockchain transactions are permanent, stolen funds cannot be recovered. This makes the seed phrase equivalent to having the master key to a bank account with no fraud protection or reversal mechanism.

Can legitimate companies like MetaMask or Coinbase ever ask me for my seed phrase?

Never. Absolutely no legitimate cryptocurrency company, exchange, wallet provider, or support representative will ever ask for your seed phrase through any communication channel—email, chat, phone, social media, or otherwise. These companies explicitly state in their official documentation that they will never request this information. If anyone asks, it is always a scam, with no exceptions.

I accidentally pasted my seed phrase into a fake website. What should I do immediately?

Move all cryptocurrency to a new wallet using a fresh seed phrase as quickly as possible—scammers can monitor the address and will attempt to drain funds immediately once they verify access. Use your original wallet application to transfer all assets out before the attacker moves the funds. After securing your remaining assets, report the fraud to the platform where your assets are stored and contact law enforcement, though recovery is unlikely since blockchain transactions are irreversible.

How can I tell the difference between a real security alert and a phishing attempt?

Legitimate alerts from wallet providers appear only within your official wallet application or your account dashboard on verified official websites—never in unsolicited emails, social media messages, or links. Real alerts will never ask you to verify anything by entering your seed phrase. If you suspect an alert might be legitimate, independently navigate to the official website by typing the URL yourself (not clicking a link) and check your account status directly.

Is a hardware wallet completely safe from seed phrase phishing?

A hardware wallet (like Ledger or Trezor) protects your private keys from digital theft, but seed phrase phishing still works if you're tricked into revealing the phrase that unlocks the hardware wallet. The hardware wallet is only as secure as your seed phrase; if you compromise the phrase, the attacker gains full access. Hardware wallets provide excellent security against digital malware and hacking, but they don't protect against social engineering—that depends entirely on you never revealing the seed phrase.

حرج متوسط الخسارة: $50,000 المدة المعتادة: 1-3 days

التصيد الاحتيالي لعبارات الاسترداد: دليل أمان محافظ العملات الرقمية

التصيد الاحتيالي لعبارات الاسترداد هو نوع من الاحتيال المستهدف في عالم العملات الرقمية حيث يخدع المهاجمون أصحاب المحافظ للكشف طوعًا عن عبارات الاسترداد الخاصة بهم — وهي تسلسلات من 12 إلى 24 كلمة توفر الوصول الكامل إلى محافظ البلوكشين. بمجرد حصول المحتال على هذه العبارة، يمكنه استيراد المحفظة إلى جهازه الخاص وسحب جميع العملات الرقمية خلال دقائق، مما يجعل الاسترداد شبه مستحيل. أبلغت لجنة التجارة الفيدرالية عن زيادة بنسبة 1100% في شكاوى الاحتيال بالعملات الرقمية بين 2020 و2023، حيث تمثل سرقة عبارات الاسترداد خسائر تقارب 14 مليار دولار سنويًا عبر جميع شبكات العملات الرقمية. هذا الهجوم مدمر بشكل خاص لأنه يتجاوز التحقق متعدد العوامل ولا يتطلب كلمة مرور الضحية — فعبارة الاسترداد نفسها هي المفتاح الرئيسي النهائي. عادةً ما يخسر الضحايا مبالغ تتراوح بين 10,000 و500,000 دولار، مع خسائر متوسطة حوالي 50,000 دولار، رغم أن بعض الأفراد ذوي الثروات العالية فقدوا ملايين. وعلى عكس التصيد التقليدي الذي يستهدف بيانات الاعتماد، فإن سرقة عبارات الاسترداد غالبًا ما تكون دائمة لأن معاملات البلوكشين غير قابلة للتغيير ولا يمكن للسلطات المركزية عكس التحويلات.

الأساليب الشائعة كيف تتعرّف عليه كيف تحمي نفسك أمثلة حقيقية الأسئلة الشائعة أين تبلّغ

الأساليب الشائعة

• انتحال منصات العملات الرقمية الشرعية من خلال مواقع مزيفة تحمل أسماء نطاقات معدلة قليلاً (مثل 'metamaskk.io' بدلاً من 'metamask.io') تعرض صفحات تسجيل دخول أو مطالبات استرداد تبدو أصلية تطلب من المستخدمين إدخال عبارات الاسترداد الخاصة بهم.
• إرسال رسائل بريد إلكتروني عاجلة، أو رسائل على Discord، أو رسائل خاصة على تويتر تدعي حدوث حادث أمني وتوجه المستخدمين لـ'التحقق' من محافظهم عن طريق إدخال عبارة الاسترداد في نموذج رسمي المظهر أو موقع مرتبط.
• إنشاء حسابات دعم عملاء مزيفة على منصات مثل تويتر، Discord، أو تيليجرام، ثم مراسلة حاملي المحافظ بشكل خاص مدعين المساعدة في حل مشكلات الحساب مع طلب عبارة الاسترداد لـ'استعادة' أو 'تأمين' الحساب.
• توزيع إضافات متصفح خبيثة أو تطبيقات محفظة مزيفة تحاكي محافظ شهيرة مثل MetaMask، Trust Wallet، أو Ledger Live، تعرض شاشات استرداد تجمع عبارات الاسترداد المُدخلة في الوقت الحقيقي.
• تنفيذ هندسة اجتماعية عبر مكالمات دعم فني مزيفة أو جلسات دردشة، مدعين أنهم من Coinbase، Kraken، أو بورصات أخرى، ويزعمون وجود نشاط مريب في المحفظة ويطلبون التحقق الفوري من عبارة الاسترداد.
• النشر على Reddit، تويتر، ومنتديات العملات الرقمية كمستخدمين ذوي خبرة يعرضون مطالبات توزيعات مجانية، مكافآت NFT، أو رموز حصرية تتطلب من المستخدمين 'استيراد' محافظهم باستخدام عبارة الاسترداد في مواقع احتيالية.

كيف تتعرّف عليه

عنوان URL للموقع يختلف قليلاً عن عنوان المنصة الشرعية — تحقق من وجود أحرف إضافية، أرقام، أو امتدادات نطاق مختلفة (.io مقابل .com) قبل إدخال معلومات حساسة.
يُطلب منك كتابة أو لصق عبارة الاسترداد في موقع إلكتروني، نموذج عبر الإنترنت، أو دردشة دعم — الشركات الشرعية لا تطلب عبارات الاسترداد عبر القنوات الرقمية وستحذر صراحةً من مشاركتها.
تخلق الرسالة حالة استعجال مصطنعة بالادعاء أن حسابك مقفل، مخترق، أو سيُحذف خلال ساعات، مما يضغط عليك للتصرف فورًا دون تحقق.
تظهر شعارات المنصة الشرعية، لغة رسمية، أو سياسات خصوصية منسوخة في الرسائل أو البريد الإلكتروني، لكن عنوان البريد الإلكتروني للمرسل، ملفه على وسائل التواصل، أو طريقة الاتصال مختلفة قليلاً أو تستخدم خدمة بريد مجانية.
يُطلب منك 'التحقق'، 'التأكيد'، 'الاستيراد'، أو 'الاسترداد' لمحفظتك باستخدام عبارة الاسترداد على أي منصة غير تطبيق المحفظة الأصلي نفسه أثناء الإعداد الأولي.
عرض مكافآت مجانية، توزيعات، أو إجراءات أمان عاجلة للحساب تأتي من رسائل غير مرغوب فيها في الرسائل الخاصة، البريد الإلكتروني، أو وسائل التواصل الاجتماعي بدلاً من إشعارات رسمية داخل تطبيق المحفظة نفسه.

كيف تحمي نفسك

لا تكتب أو تلصق أو تلتقط صورة لعبارة الاسترداد في أي مكان سوى داخل تطبيق المحفظة الأصلي المثبت محليًا أثناء الإعداد الأولي — الشركات الشرعية لن تطلبها عبر البريد الإلكتروني، المواقع، أو الرسائل.
تحقق من عناوين المواقع حرفًا بحرف قبل إدخال أي بيانات اعتماد؛ احفظ الموقع الرسمي في المفضلة وادخل إليه فقط من خلال المفضلة، لا من نتائج البحث أو الروابط أو البريد الإلكتروني.
فعّل جميع ميزات الأمان المتاحة بما في ذلك استخدام محافظ الأجهزة (Ledger، Trezor)، المحافظ متعددة التوقيعات التي تتطلب موافقات متعددة، وقوائم السماح لعناوين IP في حسابات البورصات عند توفرها.
خزن عبارة الاسترداد ماديًا على ورق أو معدن في مكان آمن (خزنة، صندوق ودائع آمن)؛ لا تخزنها رقميًا، ولا تلتقط لقطات شاشة، ولا ترسلها عبر البريد الإلكتروني تحت أي ظرف.
تجاهل جميع الاتصالات غير المرغوب فيها التي تدعي أنها من مزودي المحافظ أو البورصات — استخدم فقط قنوات الدعم الرسمية المدرجة على المواقع الرسمية الموثوقة، ولا تتواصل عبر أرقام أو روابط من الرسائل.
افترض أن جميع عروض الرموز المجانية، التوزيعات، أو المكافآت التي تتطلب الوصول إلى المحفظة هي احتيالية؛ التوزيعات الشرعية لا تطلب استيراد المحفظة أو تقديم عبارات الاسترداد.

أمثلة حقيقية

تلقى مستثمر في العملات الرقمية رسالة مباشرة على تويتر من حساب يدعي تمثيل دعم MetaMask، مع صورة ملف وعدد متابعين مشابهين تقريبًا للحساب الرسمي. نصت الرسالة على اكتشاف تسجيل دخول مريب وطلبت التحقق الفوري بإدخال عبارة الاسترداد في 'بوابة أمان' مرتبطة. وبثقة في الحساب الرسمي المظهر، أدخل الضحية عبارة الاسترداد المكونة من 12 كلمة في الموقع. خلال 15 دقيقة، نقل المحتال 87,000 دولار من إيثيريوم من محفظة الضحية إلى عنوان غير قابل للتتبع، وكانت المعاملة غير قابلة للعكس على البلوكشين.

تلقى متداول يحمل 150,000 دولار من العملات الرقمية بريدًا إلكترونيًا يبدو صادرًا من Coinbase بعنوان 'عاجل: تحقق من حسابك فورًا'. احتوى البريد على شعار Coinbase الأصلي ولغة تحذيرية حول نشاط مريب، مع زر يربط بصفحة تسجيل دخول Coinbase مزيفة. عند النقر وإدخال بيانات الاعتماد، ظهر طلب ثانٍ يطالب بعبارة الاسترداد لإكمال التحقق من الهوية. استخدم المهاجم العبارة لسحب كامل الحساب خلال ساعة، محولًا الأموال عبر بورصات متعددة لإخفاء المسار.

تلقى عضو في مجتمع تداول العملات الرقمية على Discord رسالة خاصة من ملف يدعي كونه مشرف Discord يعرض توزيعًا حصريًا لرمز جديد بقيمة 50,000 دولار. لاستلامه، كان على المستخدم 'استيراد' محفظته إلى تطبيق ويب بلصق عبارة الاسترداد. وبحماس للربح المحتمل، استجاب الضحية خلال دقائق. استخدم المحتال العبارة فورًا للوصول إلى المحفظة وسرق 73,000 دولار من بيتكوين وإيثيريوم، تاركًا الضحية بلا حل لأن معاملات البلوكشين لا يمكن عكسها.

الأسئلة الشائعة

ما هي عبارة الاسترداد بالضبط ولماذا تعتبر خطيرة جدًا إذا تم اختراقها؟

عبارة الاسترداد هي مفتاح رئيسي مكون من 12 أو 24 كلمة يتم إنشاؤه بواسطة محفظة العملات الرقمية الخاصة بك، ويشتق رياضيًا جميع المفاتيح الخاصة التي تتحكم في أصولك الرقمية. أي شخص يمتلك هذه العبارة يمكنه الوصول إلى كل العملات في محفظتك من أي جهاز حول العالم، وبما أن معاملات البلوكشين دائمة، لا يمكن استرداد الأموال المسروقة. هذا يجعل عبارة الاسترداد تعادل امتلاك المفتاح الرئيسي لحساب مصرفي بدون حماية من الاحتيال أو آلية عكس.

أين تبلّغ — الدول العربية

القنوات الرسمية في منطقتك للإبلاغ عن هذا الاحتيال.

هيئة تنظيم الاتصالات السعودية

إبلاغ

بلاغات الاتصالات والاحتيال الرقمي في المملكة العربية السعودية.

1933 زيارة →

الإمارات - عقاب

الجرائم الإلكترونية

منصة شرطة دبي للإبلاغ عن الجرائم الإلكترونية.

زيارة →

مصر - الإدارة العامة لمكافحة جرائم الإنترنت

الجرائم الإلكترونية

الإدارة العامة لمكافحة جرائم الحاسبات والشبكات بوزارة الداخلية المصرية.

108 زيارة →

AECERT (الإمارات)

إبلاغ

الفريق الوطني للاستجابة لطوارئ الحاسب الآلي.

زيارة →

هل تعتقد أنك واجهت هذا الاحتيال؟

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), التصيد الاحتيالي لعبارات الاسترداد: دليل أمان محافظ العملات الرقمية is described at https://scamlens.org/ar/encyclopedia/seed-phrase-phishing.

https://scamlens.org/ar/encyclopedia/seed-phrase-phishing

ابدأ من هنا

فحص الأمان

الاستخبارات

الأدوات والتقارير

الخدمات المميزة

الإضافة وAPI