بازار ارزهای دیجیتال، با رشد انفجاری و فرصتهای بیسابقه سرمایهگذاری، نهتنها توجه میلیونها کاربر و سرمایهگذار را جلب کرده، بلکه به بهشت کلاهبرداران و سودجویان هم تبدیل شده است. ماهیت غیرمتمرکز، تراکنشهای غیرقابل بازگشت و پیچیدگیهای فنی این بازار باعث شده که بسیاری از کاربران—بهویژه تازهواردان—در دام انواع طرحهای کلاهبرداری گرفتار شوند.
بر اساس آمارهای جهانی، تنها در سال ۲۰۲۴ بیش از ۴.۵ میلیارد دلار از سرمایه کاربران در نتیجه کلاهبرداریهای مرتبط با رمزارزها از بین رفته است. در ایران هم، با وجود محدودیتهای قانونی و تحریمها، گزارشهای متعددی از سوءاستفادههای مالی، پروژههای جعلی و سرقت داراییهای دیجیتال منتشر شده که نشان میدهد خطر برای کاربران داخلی دوچندان است.
در این مقاله، آکادمی همیارکریپتو با رویکردی آموزشی و بر اساس جدیدترین دادهها، به بررسی جامع انواع کلاهبرداری ارز دیجیتال، نشانههای شناسایی پروژههای اسکم و روشهای عملی برای پیشگیری از این تهدیدها میپردازد. همچنین، در پایان یک چکلیست کامل امنیتی ارائه میکنیم تا قبل از هر سرمایهگذاری یا تعامل با پروژههای کریپتویی، بتوانید در کمترین زمان تصمیم درست بگیرید.
انواع کلاهبرداری ارز دیجیتال
کلاهبرداریهای مبتنی بر بازار (Market Manipulation)
این دسته از کلاهبرداریها مستقیماً با دستکاری قیمت، حجم معاملات و نقدینگی بازار سروکار دارند. هدف کلاهبرداران این است که با ایجاد شرایط غیرواقعی در بازار، احساس «ترس از جا ماندن» (FOMO) یا «ترس از ضرر» (FUD) را در میان سرمایهگذاران تحریک کنند تا بتوانند در کوتاهترین زمان ممکن بیشترین سود را به جیب بزنند.
پامپ و دامپ (Pump and Dump)
تعریف:
یک گروه یا تیم، توکنی را که معمولاً ارزش بازار پایینی دارد انتخاب میکند، حجم زیادی از آن را میخرد و همزمان با تبلیغات سنگین و هماهنگ، قیمت را بهطور مصنوعی افزایش میدهد (پامپ). وقتی قیمت به حد دلخواهشان رسید، بهصورت ناگهانی تمام دارایی خود را میفروشند (دامپ) و باعث سقوط شدید قیمت میشوند. تازهواردهایی که در قیمتهای بالا خریدهاند، با ضرر سنگین مواجه میشوند.
نشانهها:
رشد چند صد درصدی در بازه زمانی کوتاه (چند دقیقه تا چند روز) بدون هیچ خبر یا همکاری رسمی مهم
فعالیت شدید در شبکههای اجتماعی با پیامهای هیجانی مثل «فرصت طلایی!» یا «این توکن قراره ۱۰۰ برابر بشه!»
حجم معاملات ناگهانی و غیرعادی نسبت به سابقه نمودار
روش پیشگیری:
قبل از خرید، بررسی کنید که افزایش قیمت ناشی از خبر واقعی و معتبر باشد نه صرفاً هیاهوی شبکههای اجتماعی.
از ورود به توکنهای گمنام در اوج هیجان بازار خودداری کنید.
حجم نقدینگی و تعداد آدرسهای فعال را از طریق سایتهایی مثل DexTools یا CoinMarketCap چک کنید.
مثال واقعی:
توکن Squid Game در سال ۲۰۲۱ طی چند روز بیش از ۲۳۰۰٪ رشد کرد، اما تنها ساعاتی بعد، توسعهدهندگان همه داراییها را فروختند و قیمت آن به تقریباً صفر رسید.
طرح راگ پول (Rug Pull)
تعریف:
یک پروژه دیفای یا توکن جدید راهاندازی میشود، تیم توسعه با وعدههای بزرگ کاربران را جذب میکند و سرمایه زیادی به استخر نقدینگی واریز میشود. اما بهمحض رسیدن به هدفشان، تیم نقدینگی را خارج میکند و پروژه را رها میسازد.
نشانهها:
نقدینگی قفل نشده یا مدتزمان قفل بسیار کوتاه (کمتر از ۶ ماه)
نبود حسابرسی (Audit) معتبر قرارداد هوشمند
تیم توسعه ناشناس و بدون اطلاعات تماس معتبر
فعالیت تبلیغاتی پرحجم و عجولانه برای جذب سرمایه
روش پیشگیری:
قفل بودن نقدینگی را از طریق پلتفرمهایی مانند Unicrypt یا Team Finance بررسی کنید.
به پروژههایی که هنوز حسابرسی امنیتی معتبر ندارند سرمایهگذاری سنگین نکنید.
سوابق تیم توسعه را در لینکدین، گیتهاب یا رسانههای معتبر بررسی کنید.
مثال واقعی:
پروژه Meerkat Finance روی شبکه BSC تنها یک روز پس از لانچ، ۳۱ میلیون دلار نقدینگی را خارج کرد و ناپدید شد.
هانی پات (Honeypot)
تعریف:
در این روش، قرارداد هوشمند طوری برنامهریزی میشود که خرید توکن آزاد است اما فروش یا انتقال آن برای اکثر آدرسها غیرممکن باشد. قربانیان پس از خرید متوجه میشوند که داراییشان قابل نقد کردن نیست.
نشانهها:
نبود شفافیت در توضیح روش فروش یا برداشت توکن
پیامهای خطا هنگام فروش، حتی با نقدینگی ظاهراً کافی
قرارداد هوشمند بدون کد منبع باز یا بدون بررسی در BscScan/Etherscan
روش پیشگیری:
پیش از خرید، آدرس قرارداد را در سایتهایی مثل Token Sniffer یا Honeypot.is بررسی کنید.
ابتدا مقدار کمی توکن خریداری و تست فروش کنید.
مثال واقعی:
در ۲۰۲۲، دهها توکن روی BSC ایجاد شد که تنها توسعهدهندگان مجاز به فروش آن بودند، و قربانیان میلیونها دلار ضرر کردند.
عرضه اولیه سکه یا توکن جعلی (Fake ICO/IDO)
تعریف:
کلاهبرداران با وبسایت، وایتپیپر و شبکههای اجتماعی جعلی، وانمود میکنند که یک پروژه واقعی در حال عرضه اولیه است. کاربران با ارسال ارز دیجیتال برای خرید زودهنگام، عملاً سرمایه خود را به جیب کلاهبرداران واریز میکنند.
نشانهها:
وعده سود نجومی در مدت کوتاه
وایتپیپر ضعیف یا کپیشده از پروژههای معتبر
نبود شراکت یا سرمایهگذار معتبر
دامنه وبسایت تازه ثبت شده و بدون سابقه
روش پیشگیری:
همیشه آدرس رسمی فروش توکن را از منابع معتبر پروژه بگیرید.
بررسی کنید آیا پروژه در لانچپدهای معتبر (مثل Binance Launchpad) ثبت شده است یا خیر.
مثال واقعی:
طبق گزارش Satis Group در ۲۰۱۸، بیش از ۸۰٪ ICOها اسکم بودند یا پس از جذب سرمایه هیچ محصولی ارائه نکردند.
نمودار ناسالم و غیرطبیعی (واشترید، نقدینگی مصنوعی)
تعریف:
در این روش، حجم معاملات و نقدینگی بهصورت ساختگی بالا نشان داده میشود تا پروژه پرتقاضا و سالم به نظر برسد. این کار با معاملات جعلی بین حسابهای وابسته (واشترید) یا تزریق موقت نقدینگی انجام میشود.
نشانهها:
تغییرات ناگهانی و شدید در حجم معاملات بدون خبر یا رویداد مهم
اختلاف قیمت زیاد بین صرافیها
استفاده از صرافیهای کماعتبار که حجم را بهصورت مصنوعی بالا نشان میدهند
روش پیشگیری:
حجم و نقدینگی واقعی را از چند منبع معتبر بررسی کنید.
از ورود به پروژههایی که فقط در یک صرافی کوچک لیست شدهاند خودداری کنید.
مثال واقعی:
برخی صرافیهای ناشناخته در سالهای ۲۰۱۹ و ۲۰۲۰ با ایجاد حجم مصنوعی، توکنهای کمارزش را به قیمت بالا فروختند و سپس نقدینگی را خارج کردند.
2.2. کلاهبرداریهای اجتماعی و روانی (Social Engineering Scams)
در این دسته، تمرکز کلاهبرداران روی سوءاستفاده از روانشناسی، اعتماد و رفتار انسانی است. این روشها معمولاً پیچیدگی فنی بالایی ندارند، اما به دلیل تأثیر عاطفی و روانی، قربانیان زیادی میگیرند—حتی میان افراد باسابقه در بازار.
1. طرح پانزی (Ponzi Scheme)
تعریف:
یک ساختار سرمایهگذاری که سود سرمایهگذاران قدیمی را از پول سرمایهگذاران جدید پرداخت میکند، بدون اینکه فعالیت اقتصادی واقعی داشته باشد. ادامه کار این طرح تا زمانی ممکن است که ورودی سرمایه از خروجی بیشتر باشد.
نشانهها:
وعده سود ثابت و بالا بدون ریسک (مثلاً ۲۰٪ در ماه)
تمرکز تبلیغات بر «دعوت دوستان» و ایجاد زیرمجموعه
عدم شفافیت در زمینه نحوه کسب درآمد واقعی
روش پیشگیری:
هرگز به طرحهایی که سود ثابت و بالا بدون ریسک میدهند اعتماد نکنید.
از پروژههایی که مدل درآمدشان وابسته به ورود سرمایهگذاران جدید است دوری کنید.
مثال واقعی:
طرح BitConnect در ۲۰۱۸ بیش از ۲ میلیارد دلار از کاربران سراسر دنیا کلاهبرداری کرد و به یکی از معروفترین پانزیها در تاریخ کریپتو تبدیل شد.
2. ایردراپ جعلی (Fake Airdrop)
تعریف:
کلاهبرداران با وعده ارسال توکن رایگان، کاربران را به کلیک روی لینک یا اتصال کیف پول وادار میکنند. در بسیاری موارد، از قربانی خواسته میشود کارمزد شبکه را پیشاپیش بپردازد یا با تأیید تراکنش، دسترسی کامل به داراییهایش بدهد.
نشانهها:
درخواست پرداخت هزینه یا کارمزد برای دریافت ایردراپ
لینکهای ناشناس یا مشکوک ارسالشده در پیام خصوصی یا گروهها
استفاده از نام پروژههای معروف برای جلب اعتماد
روش پیشگیری:
ایردراپهای واقعی هیچوقت هزینه دریافت ندارند.
فقط از طریق کانالهای رسمی پروژهها در ایردراپها شرکت کنید.
مثال واقعی:
در سال ۲۰۲۳، ایردراپ جعلی Optimism صدها کاربر را با لینک فیشینگ به دام انداخت و ولتهای آنها خالی شد.
استخراج ابری جعلی (Fake Cloud Mining)
تعریف:
سایتها یا پلتفرمهایی که مدعی ارائه خدمات ماینینگ از راه دور هستند، اما در واقع هیچ تجهیزات یا عملیات ماینیگی ندارند و تنها سرمایه ورودی کاربران را جمعآوری و ناپدید میکنند.
نشانهها:
وعده بازدهی بالا بدون نیاز به دانش فنی یا سختافزار
عدم ارائه مدرک معتبر از محل تجهیزات یا قراردادهای برق
پرداخت سود اولیه برای جلب اعتماد و سپس قطع پرداختها
روش پیشگیری:
فقط از شرکتهای ماینینگ معتبر و ثبتشده استفاده کنید.
هرگونه ماینینگ ابری با وعده سود تضمینی، مشکوک است.
مثال واقعی:
Miner’s Center و HashOcean دو نمونه معروف از پروژههای ماینینگ ابری جعلی بودند که هزاران کاربر را متضرر کردند.
پشتیبانی جعلی (Support Scam)
تعریف:
کلاهبردار خود را بهعنوان پشتیبان صرافی، کیف پول یا پروژه معرفی میکند و با بهانه «حل مشکل» یا «تأیید حساب»، اطلاعات ورود یا کلید خصوصی را از کاربر میگیرد.
نشانهها:
پیام مستقیم (DM) ناخواسته در تلگرام، توییتر یا ایمیل
درخواست اطلاعات محرمانه مانند Seed Phrase یا رمز عبور
استفاده از لوگو و نام مشابه برند اصلی اما با جزئیات متفاوت (دامنه یا آیدی کاربری)
روش پیشگیری:
هیچ تیم پشتیبانی معتبری در پیام خصوصی از شما اطلاعات امنیتی نمیخواهد.
همیشه درخواستهای پشتیبانی را از طریق کانالهای رسمی پیگیری کنید.
مثال واقعی:
دهها کاربر ایرانی در تلگرام با ساپورت فیک «بایننس» فریب خوردند و کل داراییشان در کمتر از چند دقیقه سرقت شد.
کلاهبرداریهای رمانتیک یا دوستی (Romance Scam)
تعریف:
کلاهبردار با ایجاد رابطه عاطفی یا دوستی طولانیمدت در شبکههای اجتماعی، اعتماد قربانی را جلب میکند و سپس او را به سرمایهگذاری در پروژههای جعلی یا انتقال دارایی متقاعد میکند.
نشانهها:
ارتباط غیرمنتظره از سوی فرد ناشناس در پلتفرمهای دوستی یا حتی لینکدین
داستانهای احساسی یا وعدههای «سرمایهگذاری مشترک»
اصرار به استفاده از صرافی یا پلتفرم ناشناخته برای سرمایهگذاری
روش پیشگیری:
در امور مالی به هیچکس—even آشناهای مجازی طولانیمدت—اعتماد نکنید.
اطلاعات مالی یا داراییهای خود را هرگز در روابط آنلاین به اشتراک نگذارید.
مثال واقعی:
FBI گزارش داد که در ۲۰۲۲ بیش از ۹۵۰ میلیون دلار در آمریکا تنها از طریق Romance Scam مرتبط با کریپتو سرقت شد.
گروههای سیگنال یا سرمایهگذاری خصوصی جعلی
تعریف:
کلاهبرداران با ایجاد گروه یا کانال اختصاصی، وعده سیگنالهای «VIP» یا دسترسی به فرصتهای سرمایهگذاری زودهنگام میدهند، اما هدفشان جمعآوری حق عضویت یا هدایت قربانیان به پروژههای اسکم است.
نشانهها:
تأکید بر نتایج فوقالعاده بدون ارائه مدرک معتبر
درخواست پرداخت برای ورود به گروه یا خرید سیگنال
نبود سابقه معتبر و شفاف از معاملات انجامشده
روش پیشگیری:
تنها از منابع و تحلیلگران معتبر و شفاف استفاده کنید.
از ورود به گروههای ناشناس با وعده سود بالا خودداری کنید.
مثال واقعی:
در سال ۲۰۲۱، چندین گروه تلگرامی با ادعای سیگنالهای ۹۰٪ موفق، کاربران را به خرید یک توکن خاص هدایت کردند که بعداً در یک پامپ و دامپ فروپاشید.
کلاهبرداریهای فنی و زیرساختی (Technical Exploits)
این نوع کلاهبرداریها بیشتر از ضعفهای امنیتی کاربران یا آسیبپذیریهای فنی در کیفپولها، قراردادهای هوشمند و ابزارهای آنلاین سوءاستفاده میکنند. برخلاف کلاهبرداریهای اجتماعی، این روشها معمولاً به مهارتهای فنی بالای کلاهبرداران وابستهاند و قربانیها ممکن است حتی متوجه حمله نشوند تا زمانی که داراییشان از بین برود.
1. فیشینگ (Phishing)
تعریف:
کلاهبرداران با طراحی صفحات یا اپلیکیشنهای جعلی شبیه به وبسایتهای معتبر، اطلاعات ورود، کلید خصوصی یا Seed Phrase کاربران را سرقت میکنند. این حمله میتواند از طریق لینک، ایمیل، پیام شبکه اجتماعی یا QR Code انجام شود.
نشانهها:
لینکهای مشکوک با دامنه شبیه به آدرس اصلی (مثلاً binancee.com بهجای binance.com)
پیامهای فوری مبنی بر «بستن حساب»، «فرصت محدود» یا «نیاز به تأیید فوری»
درخواست مستقیم برای واردکردن اطلاعات محرمانه
روش پیشگیری:
همیشه آدرس سایت را مستقیماً در مرورگر تایپ کنید.
از احراز هویت دو مرحلهای (2FA) استفاده کنید.
لینکها را قبل از کلیک بررسی کنید (Hover کردن روی لینک در دسکتاپ یا کپی کردن آن).
مثال واقعی:
در سال ۲۰۲۲، کمپین فیشینگ Axie Infinity باعث سرقت بیش از ۶۲۰ میلیون دلار از پل Ronin شد.
اپلیکیشن ارز دیجیتال تقلبی (Fake Wallet/App)
تعریف:
نسخه جعلی کیف پولها یا اپلیکیشنهای معروف در فروشگاههای اپ یا وبسایتهای غیررسمی که پس از نصب، اطلاعات کاربر را جمعآوری یا کلید خصوصی را به سرور مهاجم ارسال میکنند.
نشانهها:
امتیاز پایین یا نظرات مشکوک در صفحه اپ
آدرس ناشناخته توسعهدهنده یا نبود وبسایت رسمی
درخواست مجوزهای غیرضروری پس از نصب
روش پیشگیری:
اپها را فقط از سایت رسمی پروژه یا فروشگاه معتبر (Google Play/App Store) دانلود کنید.
پس از نصب، قبل از واردکردن Seed Phrase، مطمئن شوید نسخه اپ رسمی است.
مثال واقعی:
دهها کاربر در ۲۰۲۱ نسخه جعلی کیف پول MetaMask را از گوگلپلی دانلود کردند و تمام داراییشان تخلیه شد.
تبلیغات جعلی گوگل (Google Ads Scam)
تعریف:
کلاهبرداران با خرید تبلیغ در گوگل برای کلیدواژههای مرتبط با کیف پول یا صرافی، کاربر را به سایت جعلی هدایت میکنند. کاربر با واردکردن اطلاعات، دارایی خود را از دست میدهد.
نشانهها:
ظاهر سایت شبیه نسخه اصلی اما با تغییرات کوچک در دامنه
جایگاه تبلیغاتی بالاتر از لینک واقعی در نتایج جستجو
درخواست فوری اطلاعات محرمانه
روش پیشگیری:
به آدرس دامنه حتی در لینکهای تبلیغاتی توجه کنید.
از ذخیرهکردن سایتهای حساس در Bookmark مرورگر استفاده کنید.
مثال واقعی:
در ۲۰۲۳، کمپین تبلیغات جعلی گوگل بیش از ۴ میلیون دلار ارز دیجیتال را تنها در یک هفته از کاربران سرقت کرد.
سیمسوآپ (SIM Swap)
تعریف:
کلاهبردار با مهندسی اجتماعی، سیمکارت کاربر را به سیمکارت جدیدی منتقل میکند و کنترل پیامکها و تماسها را به دست میگیرد. این روش برای عبور از احراز هویت دو مرحلهای پیامکی استفاده میشود.
نشانهها:
قطع ناگهانی آنتن گوشی بدون دلیل
دریافت پیامکهای ناشناس مربوط به تغییر اطلاعات حساب
فعالیت مشکوک در حسابهای آنلاین
روش پیشگیری:
بهجای 2FA پیامکی از Google Authenticator یا Authy استفاده کنید.
روی سیمکارت قفل امنیتی (PIN) فعال کنید.
مثال واقعی:
در آمریکا، یک هکر با سیمسوآپ توانست به حساب کاربر Coinbase دسترسی پیدا کرده و ۹۶ هزار دلار سرقت کند.
حملات Approval Drainers
تعریف:
کاربر با اتصال کیف پول به یک dApp یا قرارداد هوشمند مخرب، اجازه برداشت بینهایت از یک یا چند توکن را صادر میکند. مهاجم بعداً بدون اجازه مجدد، تمام داراییهای آن توکن را برداشت میکند.
نشانهها:
درخواست مجوز (Approve) برای توکنهایی که قصد استفاده از آنها را ندارید
نبود شفافیت درباره علت نیاز به این دسترسی
قرارداد ناشناس یا بدون Audit
روش پیشگیری:
قبل از تأیید Approve، نام توکن و قرارداد را بررسی کنید.
بهطور دورهای دسترسیهای اضافی را از سایتهایی مثل revoke.cash لغو کنید.
مثال واقعی:
در حمله OpenSea در ۲۰۲۲، مهاجمان با استفاده از امضای تراکنشهای مخرب، NFTهای ارزشمند کاربران را سرقت کردند.
Address Poisoning (آدرس آلودهسازی)
تعریف:
مهاجم تراکنشی کوچک (Dust) از یک آدرس جعلی ارسال میکند که شباهت زیادی به آدرس اصلی گیرنده دارد، با این هدف که کاربر هنگام کپیکردن آدرس برای انتقال بعدی، آدرس جعلی را اشتباهاً انتخاب کند.
نشانهها:
دریافت تراکنشهای ناخواسته و بسیار کوچک از آدرس ناشناس
آدرسهای مشابه در تاریخچه تراکنشها
روش پیشگیری:
همیشه کل آدرس را بررسی کنید، نه فقط چند کاراکتر اول و آخر.
برای تراکنشهای مهم از لیست آدرسهای ذخیرهشده استفاده کنید.
مثال واقعی:
در سال ۲۰۲۳، موجی از Address Poisoning روی شبکه اتریوم منجر به سرقت میلیونها دلار از کاربران بیاحتیاط شد.
Dusting Attack (حمله غبار)
تعریف:
ارسال مقادیر بسیار کوچک از یک توکن به کیف پول شما برای تحلیل و رهگیری فعالیتهای تراکنش و شناسایی مالک. این حمله میتواند مقدمه فیشینگ یا مهندسی اجتماعی باشد.
نشانهها:
دریافت توکن ناشناخته و بیارزش در کیف پول
پیام یا تبلیغ مرتبط با آن توکن پس از مدتی
روش پیشگیری:
این توکنها را جابهجا یا Swap نکنید.
در کیف پولهایی که قابلیت Hide یا Ignore Token دارند، آنها را پنهان کنید.
مثال واقعی:
حمله Dusting روی کیف پولهای لایتکوین در ۲۰۱۹ اولینبار بهصورت گسترده گزارش شد.
بدافزار کلیپبورد (Clipboard Malware)
تعریف:
بدافزاری که پس از نصب روی سیستم یا موبایل، آدرس کیف پولی که کاربر کپی میکند را به آدرس مهاجم تغییر میدهد.
نشانهها:
آدرس چسباندهشده با آدرس کپیشده متفاوت است
نصب نرمافزار یا فایل از منابع ناشناس قبل از بروز مشکل
روش پیشگیری:
قبل از ارسال تراکنش، آدرس گیرنده را بهطور کامل تطبیق دهید.
از آنتیویروس و نرمافزار امنیتی معتبر استفاده کنید.
مثال واقعی:
بدافزار CryptoShuffler در ۲۰۱۷ میلیونها دلار بیتکوین و آلتکوین را با همین روش سرقت کرد.
پل یا بریج جعلی دیفای (Fake Bridge)
تعریف:
سایت یا قرارداد هوشمندی که وانمود میکند یک پل بینزنجیرهای معتبر است، اما پس از اتصال کیف پول، داراییها را سرقت میکند.
نشانهها:
دامنه تازهثبتشده و نبود ارتباط رسمی با پروژههای معتبر
تبلیغات در شبکههای اجتماعی بدون پشتوانه فنی یا Audit
روش پیشگیری:
فقط از پلهای شناختهشده و رسمی استفاده کنید.
لینک پل را از وبسایت رسمی پروژه دریافت کنید.
مثال واقعی:
در ۲۰۲۲، نسخه جعلی پل Wormhole صدها کاربر را به دام انداخت و میلیونها دلار دارایی را سرقت کرد.
نشانههای پروژههای کلاهبرداری ارز دیجیتال (Red Flags)
تشخیص زودهنگام یک پروژه اسکم میتواند شما را از ضررهای سنگین و از دست رفتن سرمایه نجات دهد. پروژههای کلاهبرداری معمولاً یک سری ویژگی مشترک دارند که با کمی دقت و تحقیق قابل شناساییاند. این بخش به مهمترین علائم هشداردهنده میپردازد.
وعده سود نجومی و بدون ریسک
تعریف:
پروژههایی که سودهای غیرواقعی مثل «۵۰٪ در ماه» یا «۱۰ برابر شدن سرمایه در چند هفته» را تضمین میکنند، تقریباً همیشه بهدنبال جذب سریع سرمایه و خروج هستند. در بازارهای واقعی، هیچ سودی بدون ریسک نیست.
چرا خطرناک است؟
چنین وعدههایی معمولاً در طرحهای پانزی یا پروژههای راگپول استفاده میشود تا طمع کاربران را تحریک کنند.
راهکار:
هر وعده سود ثابت بالا را با دیده شک بررسی کنید.
از سرمایهگذاری بر اساس هیجان و طمع خودداری کنید.
مثال:
BitConnect با وعده سود روزانه ۱٪ هزاران کاربر را فریب داد و در نهایت میلیاردها دلار کلاهبرداری کرد.
عدم شفافیت یا کپی بودن وایتپیپر
تعریف:
وایتپیپر سند اصلی یک پروژه است که ایده، کاربرد و جزئیات فنی را توضیح میدهد. وایتپیپرهای مبهم، پر از کلیات یا کپیشده از پروژههای دیگر نشانهای جدی از غیرحرفهای بودن یا تقلب است.
چرا خطرناک است؟
پروژهای که حتی زحمت نوشتن یک سند اختصاصی و دقیق را به خود نداده، احتمالاً در مراحل بعدی هم برنامه جدی ندارد.
راهکار:
وایتپیپر را با پروژههای معتبر مقایسه کنید.
وجود غلطهای املایی، ترجمه ماشینی یا نبود جزئیات فنی را نشانه خطر بدانید.
مثال:
برخی از ICOهای جعلی ۲۰۱۸ وایتپیپر اتریوم یا کاردانو را تقریباً کلمهبهکلمه کپی کرده بودند.
تیم توسعه ناشناس یا رزومه ساختگی
تعریف:
پروژههای کلاهبرداری اغلب تیم ناشناس دارند یا از اسامی و عکسهای جعلی استفاده میکنند.
چرا خطرناک است؟
نبود شفافیت در هویت تیم، ریسک راگپول یا ترک پروژه را بسیار بالا میبرد.
راهکار:
پروفایلهای لینکدین، گیتهاب و سوابق کاری تیم را بررسی کنید.
عکسها را با جستجوی معکوس گوگل چک کنید تا مطمئن شوید واقعیاند.
مثال:
در پروژه DeTrade Fund عکس اعضای تیم از وبسایتهای استوکفوتو گرفته شده بود.
تخصیص نامتعادل توکنها یا قفلنبودن نقدینگی
تعریف:
وقتی بخش زیادی از توکنها در اختیار تیم یا سرمایهگذاران اولیه است و نقدینگی قفل نشده، امکان فروش ناگهانی و سقوط قیمت زیاد میشود.
چرا خطرناک است؟
در چنین شرایطی، چند کیف پول میتوانند کل بازار را کنترل و ارزش توکن را نابود کنند.
راهکار:
توکنومیک پروژه را بررسی کنید.
مطمئن شوید نقدینگی برای مدت کافی (حداقل یک سال) قفل شده است.
مثال:
پروژههای زیادی در BSC دیده شده که ۹۰٪ توکنها دست یک آدرس بوده و پس از پامپ اولیه، کل آن فروخته شده است.
بازاریابی نامتعارف و فشار برای خرید سریع
تعریف:
پروژههای اسکم اغلب از تاکتیکهای تبلیغاتی شدید و زمانبندی محدود استفاده میکنند تا کاربران را به خرید فوری مجبور کنند.
چرا خطرناک است؟
فشار زمانی باعث میشود کاربران بدون تحقیق کافی سرمایهگذاری کنند.
راهکار:
هرگز صرفاً بهدلیل ترس از جا ماندن (FOMO) تصمیم نگیرید.
بررسی کامل پروژه را در اولویت بگذارید، حتی اگر فرصت از دست برود.
مثال:
بسیاری از پروژههای NFT جعلی با پیام «فقط امروز!» هزاران دلار جمعآوری و سپس ناپدید شدند.
نمودار و حجم معاملات غیرطبیعی
تعریف:
افزایش یا کاهش ناگهانی قیمت بدون رویداد یا خبر مهم، یا حجم معاملات غیرمنطقی نسبت به ارزش بازار.
چرا خطرناک است؟
میتواند نشانه واشترید یا نقدینگی مصنوعی باشد.
راهکار:
تاریخچه قیمت و حجم را در چند منبع بررسی کنید.
مراقب توکنهایی باشید که فقط در یک صرافی کوچک لیست شدهاند.
مثال:
برخی توکنها در صرافیهای ناشناخته روزانه ۵۰٪ نوسان دارند اما در هیچ منبع خبری مطرح نیستند.
| نشانه | چرا خطرناک است؟ | چگونه بررسی کنیم؟ |
|---|---|---|
| وعده سود نجومی | معمولاً پانزی یا اسکم است | بررسی سابقه پروژه و مقایسه با سود بازار |
| تیم ناشناس | احتمال بالای راگپول | جستجوی هویت و رزومه اعضا |
| نقدینگی قفل نشده | امکان خروج سرمایه ناگهانی | بررسی قرارداد در BscScan/Etherscan |
10 روش پیشگیری از کلاهبرداری ارز دیجیتال
پیشگیری همیشه سادهتر و کمهزینهتر از جبران خسارت است. در دنیای کریپتو، یک اشتباه کوچک ممکن است به از دست رفتن کامل سرمایه منجر شود، چون تراکنشها غیرقابل برگشت هستند. این بخش، یک راهنمای عملی و چندلایه برای حفظ امنیت سرمایه شماست.
1. قبل از سرمایهگذاری، تحقیق کامل انجام دهید (DYOR)
وایتپیپر را بهدقت بخوانید و با پروژههای مشابه مقایسه کنید.
تیم توسعه را بررسی کنید: سابقه، شبکههای اجتماعی، فعالیت در گیتهاب.
بررسی کنید که پروژه Audit معتبر دارد یا خیر.
توکنومیک و نحوه قفل نقدینگی را تحلیل کنید.
نکته: اگر اطلاعات پروژه مبهم یا کپیشده به نظر میرسد، از سرمایهگذاری خودداری کنید.
2. بررسی لینکها و دامنهها قبل از کلیک
روی دسکتاپ، نشانگر موس را روی لینک نگه دارید تا دامنه واقعی را ببینید.
روی موبایل، لینک را کپی کنید و در یک برنامه یادداشت یا مرورگر بچسبانید و بررسی کنید.
همیشه آدرس سایت صرافی یا پروژه را دستی وارد مرورگر کنید.
مثال: binance.com معتبر است، ولی bìnance.com (با حرف i متفاوت) دامنه فیشینگ است.
3. دانلود اپلیکیشنها و کیف پولها فقط از منابع معتبر
برای کیف پولها، فقط از لینک رسمی وبسایت اصلی استفاده کنید.
امتیاز، تعداد دانلود و نظرات کاربران را بررسی کنید.
از نسخههای APK یا فایل نصبی ناشناس استفاده نکنید.
4. استفاده از احراز هویت دو مرحلهای (2FA)
Google Authenticator یا Authy امنتر از پیامک هستند (برای جلوگیری از سیمسوآپ).
برای هر حساب، یک کد 2FA جداگانه فعال کنید.
5. کیف پولهای جداگانه برای اهداف مختلف
ولت اصلی (Vault): فقط برای نگهداری دارایی، به اینترنت متصل نشود (سرد یا سختافزاری).
ولت معاملاتی: برای ترید روزمره در صرافیها و dAppها.
ولت ایردراپ/آزمایشی: برای تعامل با پروژههای جدید و ناشناس.
6. ریووک کردن دسترسیهای غیرضروری (Revoke Approvals)
هر چند وقت یکبار از سایتهایی مثل revoke.cash یا etherscan استفاده کنید تا مجوزهای برداشت بینهایت (Unlimited Approvals) را لغو کنید.
مجوز را فقط به قراردادهایی بدهید که میشناسید.
7. عدم پرداخت برای ایردراپ یا جایزه
هیچ ایردراپ واقعی، کارمزد دریافت یا واریز اولیه طلب نمیکند.
هر پروژهای که قبل از دادن جایزه از شما تراکنش مالی بخواهد، مشکوک است.
8. نگهداری امن رمزها و Seed Phrase
Seed Phrase را روی کاغذ یا کیف پول سختافزاری ذخیره کنید، نه روی موبایل یا ایمیل.
با هیچکس—even پشتیبانی صرافی—به اشتراک نگذارید.
9. استفاده از مرورگر و ابزار امن
برای ورود به حسابهای مالی، از مرورگر جداگانه استفاده کنید.
افزونههای ناشناس را روی مرورگر کیف پول نصب نکنید.
10. کنترل احساسات در تصمیمگیری
از خرید احساسی بهخاطر ترس از جا ماندن (FOMO) یا فروش ناشی از ترس (FUD) پرهیز کنید.
همیشه با برنامه معاملاتی از پیش تعیینشده جلو بروید.
📌 چکلیست سریع پیشگیری (برای چاپ یا ذخیره در موبایل):
| مرحله | اقدام | دلیل |
|---|---|---|
| تحقیق پروژه | بررسی تیم، وایتپیپر، Audit | جلوگیری از ورود به پروژههای اسکم |
| بررسی دامنه | تایپ دستی یا چک لینک | جلوگیری از فیشینگ |
| دانلود امن | فقط منبع رسمی | جلوگیری از اپلیکیشن جعلی |
| فعالسازی 2FA | Google Authenticator | جلوگیری از سیمسوآپ |
| کیف پول جداگانه | ولت اصلی و ولت معاملاتی جدا | کاهش ریسک سرقت کامل |
| Revoke Approvals | لغو دسترسیهای اضافی | جلوگیری از برداشت غیرمجاز |
| عدم پرداخت برای ایردراپ | قوانین ایردراپ واقعی | جلوگیری از کلاهبرداری ایردراپ |
6 سناریوی رایج کلاهبرداری در ایران
بازار ارزهای دیجیتال در ایران علاوه بر ریسکهای جهانی، با چالشها و ترفندهای خاصی مواجه است که کلاهبرداران با سوءاستفاده از شرایط بومی، کاربران را به دام میاندازند. آشنایی با این سناریوها میتواند امنیت سرمایه شما را به شکل چشمگیری افزایش دهد.
1. خرید و فروش به نام شما، به کام کلاهبرداران
تعریف:
برخی افراد با سوءاستفاده از حساب بانکی یا هویت دیگران، معاملات رمزارزی انجام میدهند تا ردیابی نشوند. در صورت استفاده از حساب یا کارت شما، ممکن است درگیر پرونده پولشویی یا کلاهبرداری شوید.
چرا خطرناک است؟
قانون در این موارد مسئولیت را متوجه صاحب حساب میداند، حتی اگر خودتان معامله نکرده باشید.
راهکار:
کارت بانکی و اطلاعات هویتی را به هیچ عنوان در اختیار دیگران قرار ندهید.
از انجام تراکنش به جای دیگران—even دوستان و آشنایان—خودداری کنید.
2. پلنهای سرمایهگذاری ریالی با وعده سود دلاری
تعریف:
شرکتها یا افراد وعده میدهند که سرمایه شما را به دلار یا تتر تبدیل و با آن در بازار جهانی ترید میکنند، سپس بخشی از سود را به ریال به شما پرداخت خواهند کرد.
چرا خطرناک است؟
بیشتر این طرحها پانزی هستند و با ورود سرمایهگذاران جدید، سود قدیمیها را پرداخت میکنند تا زمانی که سرمایه جدید قطع شود و طرح فروبپاشد.
راهکار:
به هر طرحی که سود ثابت و بدون ریسک میدهد مشکوک باشید.
مجوز قانونی و سابقه عملیاتی را بررسی کنید.
3. پشتیبانی جعلی در تلگرام و اینستاگرام
تعریف:
کلاهبرداران با ساخت اکانت مشابه صرافیها یا کانالهای آموزشی معتبر، به کاربران پیام میدهند که «حساب شما مشکل دارد» یا «برای دریافت جایزه نیاز به تأیید دارید» و سپس اطلاعات ورود یا Seed Phrase را میگیرند.
چرا خطرناک است؟
با دسترسی به Seed Phrase یا رمز ورود، تمام دارایی شما قابل سرقت است.
راهکار:
هیچ تیم پشتیبانی معتبر به شما پیام خصوصی نمیدهد مگر شما ابتدا تیکت ثبت کرده باشید.
اطلاعات محرمانه را در پیامرسانها به هیچکس—even ادمین گروه—ندهید.
4. استفاده از شماره مجازی یا سیمسوآپ برای تصاحب حساب
تعریف:
برخی مهاجمان با خرید شماره مجازی یا نفوذ به سیمکارت شما (سیمسوآپ) کنترل پیامکها و تماسها را به دست میگیرند تا از آن برای ورود به حساب صرافی یا کیف پول استفاده کنند.
چرا خطرناک است؟
میتواند باعث عبور از احراز هویت دو مرحلهای پیامکی شود.
راهکار:
از 2FA اپلیکیشنی به جای پیامک استفاده کنید.
روی سیمکارت قفل PIN فعال کنید.
5. گروهها و کانالهای سیگنال VIP با ورودی ارزان
تعریف:
کانالهایی که با دریافت مبلغ کم (مثلاً ۵۰۰ هزار تومان) وعده سیگنالهای «قطعی سود» میدهند، اما در عمل یا سیگنالهایشان بیپایه است یا برای پامپ و دامپ توکنهای بیارزش استفاده میشود.
چرا خطرناک است؟
کاربر نهتنها پول عضویت را از دست میدهد، بلکه ممکن است در یک اسکم بزرگتر نقش بازی کند.
راهکار:
قبل از عضویت، سابقه و نتایج واقعی تحلیلگر را بررسی کنید.
از منابع معتبر و شناختهشده استفاده کنید.
6. اسکمهای استخدامی و دورکاری مرتبط با ارز دیجیتال
تعریف:
آگهیهای کاری که وعده درآمد بالا از طریق خرید و فروش رمزارز یا مدیریت حسابهای خارجی میدهند، اما هدف واقعیشان استفاده از حساب شما برای پولشویی یا سرقت است.
چرا خطرناک است؟
میتواند باعث مسدود شدن حساب بانکی و پیگرد قانونی شما شود.
راهکار:
به هر کاری که نیاز به استفاده از حساب شخصی شما برای تراکنش دارد، نه بگویید.
آگهیدهنده را از نظر اعتبار و ثبت قانونی بررسی کنید.
📌 نکته:
در ایران به دلیل نبود قوانین حمایتی شفاف برای ارزهای دیجیتال، پیگیری قانونی این موارد بسیار دشوار است. بنابراین، پیشگیری تنها راه مطمئن برای حفاظت از سرمایه است.
اگر قربانی کلاهبرداری شدیم چه کنیم؟
وقتی متوجه میشوید که داراییتان در معرض خطر است یا بخشی از آن سرقت شده، هر ثانیه اهمیت دارد. اقدامات سریع و درست میتواند جلوی ضرر بیشتر را بگیرد و در بعضی موارد، امکان بازگرداندن بخشی از سرمایه را فراهم کند.
گام 1: قطع سریع دسترسی مهاجم
ریووک کردن مجوزها (Revoke Approvals):
وارد سایتهایی مثل revoke.cash یا بخش Token Approval در Etherscan/BscScan شوید و همه دسترسیهای مشکوک را لغو کنید.اگر ولت موبایلی دارید، اتصال اینترنت آن را قطع کنید تا تراکنش جدیدی ارسال نشود.
گام 2: انتقال فوری دارایی باقیمانده به کیف پول امن
از یک کیف پول جدید و آدرس تازه استفاده کنید.
قبل از انتقال، آدرس مقصد را چند بار بررسی کنید.
اگر ولت سختافزاری دارید، بهترین گزینه است که بلافاصله داراییها را به آن منتقل کنید.
گام 3: تغییر رمزها و فعالسازی لایههای امنیتی
رمز حساب صرافیها، ایمیل و حتی شبکههای اجتماعی مرتبط را تغییر دهید.
احراز هویت دو مرحلهای (2FA) را فعال یا به Google Authenticator منتقل کنید.
گام 4: اطلاعرسانی فوری به صرافیها
اگر سرقت از طریق یک صرافی انجام شده، فوراً به پشتیبانی گزارش دهید تا برداشت یا انتقالهای بعدی را متوقف کنند.
شماره تراکنش (TXID)، آدرس کیف پول مهاجم و زمان وقوع را ارسال کنید.
گام 5: ثبت گزارش رسمی
در ایران، میتوانید از طریق پلیس فتا شکایت ثبت کنید. هرچند بازگشت وجه در ارزهای دیجیتال سخت است، اما پیگیری قانونی میتواند در صورت شناسایی کلاهبردار نتیجه دهد.
تمام مکاتبات، اسکرینشاتها و مدارک تراکنش را ذخیره کنید.
گام 6: هشدار به جامعه کاربری
اگر کلاهبرداری از طریق یک پروژه، کانال یا گروه انجام شده، تجربه خود را در انجمنها، توییتر یا گروههای آموزشی معتبر منتشر کنید تا دیگران قربانی نشوند.
در صورت امکان، آدرسهای مرتبط با کلاهبردار را در بلاکچین بلاکلیست کنید یا به سرویسهای تحلیل بلاکچین گزارش دهید.
📌 نکته مهم:
بازیابی دارایی در بلاکچین تقریباً غیرممکن است مگر مهاجم داوطلبانه برگرداند (که نادر است). بنابراین، مهمترین هدف این اقدامات، جلوگیری از ضرر بیشتر و کمک به شناسایی روشهای حمله است.
سوالات متداول درباره کلاهبرداری ارز دیجیتال
❓ آیا میتوان پول از دست رفته در کلاهبرداری ارز دیجیتال را برگرداند؟
در بیشتر موارد خیر، چون تراکنشهای بلاکچین غیرقابل بازگشت هستند. تنها راه، شناسایی و همکاری با صرافی یا مرجعی است که دارایی به آن منتقل شده و احتمال مسدود کردن دارایی وجود داشته باشد.
❓ چگونه میتوان یک پروژه ارز دیجیتال را قبل از سرمایهگذاری بررسی کرد؟
با مطالعه وایتپیپر، بررسی تیم توسعه، تحلیل توکنومیک، بررسی قفل نقدینگی، وجود Audit معتبر و جستجوی سوابق پروژه در انجمنها و منابع معتبر.
❓ آیا همه ایردراپها کلاهبرداری هستند؟
خیر، بسیاری از پروژههای معتبر برای جذب کاربر ایردراپ واقعی انجام میدهند. اما ایردراپهایی که هزینه دریافت میخواهند یا از شما میخواهند Seed Phrase را وارد کنید، تقریباً همیشه کلاهبرداریاند.
❓ نشانههای اصلی یک توکن اسکم چیست؟
رشد ناگهانی قیمت بدون دلیل، حجم معاملات غیرعادی، تیم ناشناس، نقدینگی قفل نشده، و نبود محصول یا برنامه توسعه مشخص.
❓ اگر ولتم هک شد، اولین کار چیست؟
فوراً مجوزهای برداشت را لغو کنید (Revoke Approvals)، دارایی باقیمانده را به یک ولت جدید و امن منتقل کنید، و به صرافیها و مراجع قانونی اطلاع دهید.
❓ آیا استفاده از کیف پول سختافزاری ۱۰۰٪ امن است؟
هیچ روشی ۱۰۰٪ امن نیست، اما کیف پول سختافزاری با نگهداری کلیدها بهصورت آفلاین، خطر هک و بدافزار را تا حد زیادی کاهش میدهد.
❓ چگونه از دام فیشینگ جلوگیری کنم؟
آدرس سایت را همیشه دستی وارد کنید، روی لینکهای ناشناس کلیک نکنید، و از احراز هویت دو مرحلهای استفاده کنید.
❓ آیا تبلیغات گوگل میتواند اسکم باشد؟
بله، تبلیغات جعلی گوگل یکی از روشهای رایج فیشینگ است. قبل از کلیک روی تبلیغ، دامنه را بررسی کنید.
