How can I tell if a smart contract is legitimate before signing?

Always verify the contract address on Etherscan or your chain's block explorer, check that it matches the official project documentation (not just social media), and review the contract source code for suspicious functions. Look for transfers to unknown addresses, infinite approvals, or hidden drain mechanisms. If the code is unverified or you don't understand it, ask in legitimate community channels or use AI contract analysis tools, but never sign without understanding what permissions you're granting.

Can my funds be recovered after I sign a malicious smart contract?

Unfortunately, blockchain transactions are permanent and irreversible once confirmed. However, you should immediately revoke all token approvals using Revoke.cash, move any remaining funds to a secure wallet, and report the scam address to blockchain security platforms and the FBI's IC3. Some advanced recovery services can attempt to intercept pending transactions if you act within minutes, but success is extremely rare. Prevention is far more effective than recovery.

Why do legitimate-looking websites trick me into authorizing malicious contracts?

Scammers create pixel-perfect replicas of real DeFi platforms using stolen code and design assets, making them nearly indistinguishable from the original. They hide malicious smart contract code within seemingly normal transaction requests, exploiting the fact that most users don't read or understand the contract details they're authorizing. MetaMask and other wallets display warnings, but users often click through them without reading because legitimate transactions also generate these warnings.

What should I do immediately if I think I've signed a malicious contract?

First, stop using that wallet for any transactions. Immediately revoke all token approvals by visiting Revoke.cash or Etherscan's token approval page and disconnecting the malicious contract. Move any remaining funds to a secure wallet that has never been connected to the scam dApp. Do not sign any additional transactions from that wallet. Finally, document the scammer's wallet address and contract address, and report the incident to the FBI IC3 website and blockchain security platforms like Etherscan's abuse report feature.

How do I verify if a project announcement is real or a scam?

Treat all unsolicited announcements with extreme skepticism. Visit the official project website directly (type the URL yourself, don't click links) and check their primary verified social media accounts (marked with official blue checkmarks). Legitimate projects announce major updates on their official channels first, never through private messages or obscure links. If you're unsure, ask on the official verified Discord or Telegram, but be cautious of fake support accounts that may try to help you into a scam.

حرج متوسط الخسارة: $20,000 المدة المعتادة: 1-7 days

احتيالات الهندسة الاجتماعية لعقود ذكية

تمثل الهندسة الاجتماعية لعقود ذكية تهديدًا سريع التطور يستهدف حاملي العملات المشفرة، خاصة من لديهم معرفة تقنية متوسطة. على عكس التصيد البسيط، تستغل هذه الاحتيالات الطبيعة الشرعية الظاهرة لمعاملات البلوكشين بخداع المستخدمين لتوقيع عقود ذكية تمنح المحتالين حق الوصول إلى أصولهم الرقمية. عادةً ما تستمر عملية الاحتيال من 1 إلى 7 أيام، حيث يخسر الضحايا في المتوسط 20,000 دولار أمريكي، رغم أن الأهداف المتقدمة خسرت مبالغ أكبر بكثير. يستخدم المحتالون مزيجًا من المحتوى المُولد بالذكاء الاصطناعي، ومواقع مشاريع مزيفة، وانتحال بروتوكولات التمويل اللامركزي (DeFi) الحقيقية لخلق حالة من العجلة حول توزيعات رموز محدودة الوقت، وفرص الزراعة العائدية، أو فعاليات سك الرموز غير القابلة للاستبدال (NFT). وفقًا لشركة الأمن السيبراني Certik، زادت حوادث استغلال العقود الذكية والهندسة الاجتماعية بنسبة 156% في 2023، مع خسائر تجاوزت 14 مليار دولار في فئة الاحتيالات الأوسع في التمويل اللامركزي. ما يجعل هذا التهديد خطيرًا بشكل خاص هو أن معاملة البلوكشين نفسها دائمة ولا يمكن التراجع عنها بمجرد التوقيع، وغالبًا لا يدرك الضحايا أن أموالهم قد تم اختراقها إلا بعد أيام من التفويض الأولي.

الأساليب الشائعة كيف تتعرّف عليه كيف تحمي نفسك أمثلة حقيقية الأسئلة الشائعة أين تبلّغ

الأساليب الشائعة

• إنشاء مواقع إلكترونية مقلدة مقنعة لمنصات التمويل اللامركزي الحقيقية مثل Uniswap أو OpenSea، مع استخدام العلامات التجارية المسروقة وعناوين URL متشابهة للغاية (مثل 'uniswap-swap.net' بدلاً من 'uniswap.org')، ثم تضمين كود عقد ذكي خبيث في الواجهة.
• إرسال رسائل مستهدفة عبر Discord أو Telegram تنتحل شخصية مشرفي المشاريع، تقدم تخصيصات حصرية للرموز أو وصولًا مبكرًا لعمليات البيع المسبق التي تتطلب ربط المحفظة عبر تطبيق لامركزي مزيف، مما يؤدي تلقائيًا إلى توقيع الموافقة على العقد.
• إنشاء فيديوهات على YouTube أو جلسات على Twitter Spaces مصنوعة بالذكاء الاصطناعي تظهر نسخًا مزيفة عميقة لمؤثرين في مجال العملات المشفرة يروجون لاستراتيجيات زراعة عائدات وهمية بعوائد سنوية تزيد عن 500%، موجهين المشاهدين إلى عقود احتيالية خلال دقائق.
• استخدام عقود فخ (honeypot) تبدو وكأنها تولد أرباحًا في معاملات اختبارية (تظهر مكاسب صغيرة بين 10-50 دولارًا) قبل أن يوقع الضحية العقد الفعلي الذي يستنزف الأموال، مستغلين الاعتقاد النفسي بأنهم تحققوا من صحة الفرصة.
• تضمين كود عقد خبيث داخل صفحات سك رموز NFT تبدو شرعية، حيث يصرح المستخدمون بحدود إنفاق الرموز (غالبًا ما تكون غير محدودة) معتقدين أنهم يدفعون فقط رسوم الغاز، ثم تُستنزف محافظهم بعد أسابيع.
• تنفيذ هندسة اجتماعية عكسية عن طريق اختراق حسابات وسائل التواصل الاجتماعي لمشاريع شرعية ونشر إعلانات سحب أو تبادل رموز مرتبطة بعقود احتيالية، مستغلين الثقة المجتمعية القائمة.

كيف تتعرّف عليه

تظهر في المحفظة المتصلة معاملات لم تقم بها، أو تتلقى إشعارات بموافقات رموز لا تتذكر تفويضها، مما يشير إلى تنفيذ عقد يحتوي على وظائف استنزاف مخفية.
وصلت إليك 'فرصة' جديدة عبر رسالة غير مرغوب فيها من شخص يدعي كونه مدير مشروع، يقدم وصولًا حصريًا يتجاوز القنوات العامة المعتادة مثل المواقع الرسمية.
عنوان الموقع يحتوي على أخطاء إملائية طفيفة أو يستخدم امتدادات نطاق مشابهة لكنها مختلفة (.net بدلاً من .org، أو يتضمن شرطات في أماكن غير معتادة) مقارنة بالموقع الرسمي للمشروع.
عند عرض العقد على مستكشفي البلوكشين مثل Etherscan، يكون كود المصدر غير موثق، أو تتضمن وظائف العقد أذونات مشبوهة مثل 'transferFrom' مع صلاحيات غير محدودة رغم الادعاء بأنها تسهل فقط تبادل الرموز.
تعد الفرصة بعوائد مستحيلة رياضيًا أو تتجاوز بشكل كبير معدلات السوق (عوائد سنوية تزيد عن 400%)، مع ضغط زمني شديد يفيد بانتهاء العرض خلال ساعات.
ينخفض رصيد محفظتك بمبالغ غير متوقعة بعد فترة قصيرة من تفويضك ما كنت تعتقد أنه تفاعل عقد غير ضار، مع سجلات بلوكشين تظهر تحويلات رموز إلى عناوين محفظة غير مألوفة.

كيف تحمي نفسك

تصفح منصات التمويل اللامركزي دائمًا عن طريق كتابة عنوان URL الرسمي الكامل مباشرة في المتصفح أو استخدام الإشارات المرجعية، ولا تنقر على روابط من وسائل التواصل الاجتماعي أو البريد الإلكتروني أو الرسائل مهما كانت موثوقة المصدر.
قبل ربط محفظتك بأي تطبيق لامركزي أو توقيع أي تفاعل عقد، تحقق من عنوان العقد على Etherscan أو PolygonScan، وتأكد من مطابقته لوثائق المشروع الرسمية، وافحص كود المصدر بحثًا عن تحويلات إلى عناوين مجهولة.
استخدم أدوات الموافقة على العقود مثل Revoke.cash أو صفحة موافقات الرموز على Etherscan لتقييد أذونات إنفاق الرموز إلى مبالغ أو عدد معاملات محددة بدلاً من منح موافقات غير محدودة.
أنشئ محافظ عملات مشفرة منفصلة مخصصة فقط لتفاعلات التمويل اللامركزي بمبالغ محدودة، مع الاحتفاظ بمعظم الأصول في محافظ أجهزة آمنة أو محافظ تخزين مخصصة لا تتصل بالتطبيقات اللامركزية.
فعّل أدوات محاكاة المعاملات المتوفرة عبر ميزات الأمان في MetaMask أو خدمات مستقلة مثل Tenderly لمعاينة ما سيفعله العقد الذكي قبل التوقيع، مع مراقبة أي تحويلات رموز غير مصرح بها.
تحقق من أي إعلانات رئيسية عبر قنوات المشروع الرسمية (الموقع الأساسي، حسابات تويتر الموثقة بعلامة زرقاء، Discord/Telegram الرسمي) قبل اتخاذ أي إجراء، وقارن المعلومات على مواقع أمن البلوكشين المستقلة مثل CertiK أو Trail of Bits.

أمثلة حقيقية

تلقى مستخدم رسالة على Discord من حساب يحمل شارة مشرف OpenSea (تم شراؤها عبر ميزة التحقق المدفوعة في Discord) تعرض وصولًا حصريًا مبكرًا لطرح NFT كبير. احتوت الرسالة على رابط لموقع مطابق بصريًا لـ OpenSea، حيث ربط المستخدم محفظة MetaMask لتأكيد الأهلية. عرضت صفحة الربط طلب موافقة على رمز لإدارة رسوم الغاز، ووقع المستخدم دون قراءة تفاصيل العقد. خلال ست ساعات، استُنزفت محفظة المستخدم من 15 إيثريوم (حوالي 27,000 دولار في ذلك الوقت) لأن العقد تضمن بند موافقة غير محدودة سمح للمحتال بسحب جميع رموز ERC-20.

وجد متداول عملات مشفرة فيديو على YouTube يظهر ما بدا أنه مؤثر معروف في التمويل اللامركزي (في الواقع نسخة مزيفة عميقة مولدة بالذكاء الاصطناعي) يعرض استراتيجية زراعة عائد جديدة على بروتوكول مجهول. أظهر الفيديو معاملات اختبارية تولد 8 إيثريوم كعوائد خلال 30 دقيقة. قدم المحتال رابطًا مختصرًا يوجه إلى واجهة العقد. بعد إيداع الضحية 2 إيثريوم وتلقيه 8 إيثريوم الموعودة (مموّلة من المحتال لبناء الثقة)، وقع تفويضًا ثانيًا لعقد 'رسوم السحب'، والذي تضمن وظيفة استنزاف نقلت فورًا كل 10 إيثريوم وعدة رموز أخرى إلى محفظة المحتال، بإجمالي خسائر 32,000 دولار.

أعلن عضو في مجموعة Telegram عن توزيع رموز حوكمة DeFi محدود الوقت، مدعيًا توفر 10,000 رمز لأول 100 عضو يتصلون بمحافظهم ويتحققون من هويتهم. تطلب الأمر توقيع تفاعل عقد خلال ساعتين. توجه الضحية إلى الموقع المقدم، وربط محفظته، ووقع عقد مطالبة رموز عاديًا. دون علمه، تضمن العقد كودًا مخفيًا يراقب المحفظة لأي رموز معتمدة وينقلها تلقائيًا إلى عنوان المحتال. خلال الأيام الثلاثة التالية، وأثناء تفاعل الضحية مع بروتوكولات شرعية، حدثت عدة تحويلات غير مصرح بها، مما أدى إلى خسائر بقيمة 18,500 دولار عبر رموز متعددة.

الأسئلة الشائعة

كيف يمكنني التأكد من شرعية العقد الذكي قبل التوقيع؟

تحقق دائمًا من عنوان العقد على Etherscan أو مستكشف البلوكشين الخاص بسلسلتك، وتأكد من مطابقته لوثائق المشروع الرسمية (وليس فقط وسائل التواصل الاجتماعي)، وراجع كود المصدر بحثًا عن وظائف مشبوهة. ابحث عن تحويلات إلى عناوين مجهولة، موافقات غير محدودة، أو آليات استنزاف مخفية. إذا كان الكود غير موثق أو لم تفهمه، اسأل في قنوات المجتمع الشرعية أو استخدم أدوات تحليل العقود بالذكاء الاصطناعي، لكن لا توقع أبدًا دون فهم كامل للأذونات التي تمنحها.

هل يمكن استرداد أموالي بعد توقيع عقد ذكي خبيث؟

للأسف، معاملات البلوكشين دائمة ولا يمكن التراجع عنها بمجرد تأكيدها. مع ذلك، يجب عليك فورًا إلغاء جميع موافقات الرموز باستخدام Revoke.cash، ونقل أي أموال متبقية إلى محفظة آمنة، والإبلاغ عن عنوان الاحتيال إلى منصات أمن البلوكشين ومكتب التحقيقات الفيدرالي (FBI) عبر IC3. بعض خدمات الاسترداد المتقدمة قد تحاول اعتراض المعاملات المعلقة إذا تصرفت خلال دقائق، لكن النجاح نادر جدًا. الوقاية أفضل بكثير من الاسترداد.

أين تبلّغ — الدول العربية

القنوات الرسمية في منطقتك للإبلاغ عن هذا الاحتيال.

هيئة تنظيم الاتصالات السعودية

إبلاغ

بلاغات الاتصالات والاحتيال الرقمي في المملكة العربية السعودية.

1933 زيارة →

الإمارات - عقاب

الجرائم الإلكترونية

منصة شرطة دبي للإبلاغ عن الجرائم الإلكترونية.

زيارة →

مصر - الإدارة العامة لمكافحة جرائم الإنترنت

الجرائم الإلكترونية

الإدارة العامة لمكافحة جرائم الحاسبات والشبكات بوزارة الداخلية المصرية.

108 زيارة →

AECERT (الإمارات)

إبلاغ

الفريق الوطني للاستجابة لطوارئ الحاسب الآلي.

زيارة →

هل تعتقد أنك واجهت هذا الاحتيال؟

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), احتيالات الهندسة الاجتماعية لعقود ذكية is described at https://scamlens.org/ar/encyclopedia/smart-contract-social-engineering.

https://scamlens.org/ar/encyclopedia/smart-contract-social-engineering

ابدأ من هنا

فحص الأمان

الاستخبارات

الأدوات والتقارير

الخدمات المميزة

الإضافة وAPI