رمزارز
رسانه بلاکچین، رمزارز و دارایی دیجیتال ایران

اعتماد کاربران بزرگ‌ترین سرمایه هر کسب‌وکاری است/گفت‌وگو با پارسا شعبانی، مدیر تیم زیرساخت و امنیت هلدینگ نیک‌اندیش

با پیشرفت در حوزه رمزارزها و درگیری بیشتر مردم با این بازار مالی، کم‌کم مشکلات نیز یکی پس از دیگری خود را نشان می‌دهند. یکی از اتفاقاتی که این روزها کاربران را نگران کرده، هک‌شدن چند پروژه رمزارزی و از‌دست‌رفتن بخشی از سرمایه کاربران، آن هم به فاصله کمی از یکدیگر بوده است. به همین دلیل به سراغ پارسا شعبانی، مدیر تیم زیرساخت و امنیت هلدینگ نیک‌اندیش رفتیم تا توضیح دهد که از بعد فنی کاربران تا چه میزان می‌توانند از بروز این اتفاق برای خود جلوگیری کنند و نقش صرافی‌ها و کسب‌و‌کارهای رمزارزی در حفظ امنیت کاربران چیست.

کارشناسان می‌گویند کیف پول‌های گرم و سخت‌افزاری بالاترین امنیت را برای ذخیره‌سازی دارند. البته این بستگی به نیاز و انتخاب کاربران دارد که قصد دارند به چه صورت توکن و دارایی خود را ذخیره کنند. اگر می‌خواهند به‌صورت بلندمدت ذخیره کنند، بهتر است که از کیف پول‌های سرد یا سخت‌افزاری استفاده کنند، اما اگر بازه کوتاه‌مدتی را برای ذخیره در نظر گرفته‌اند، یا به‌زودی می‌خواهند خریدوفروش کنند یا دارایی را انتقال دهند، می‌توانند از کیف پول‌های گرم استفاده کنند، ولی معمولاً بهترین روش نگهداری، کیف پول‌های ثابت یا سخت‌افزاری هستند.

کارشناسان امنیت مدام تاکید می‌کنند کاربران باید صرافی‌هایی را انتخاب کنند که از امنیت بالایی برخوردار و پشتوانه محکمی داشته و از لحاظ احراز هویت و پول‌شویی هم مطمئن باشند. موضوع کیف پول‌های شخصی و رعایت موارد ایمنی از سوی کاربران این روزها بیش از همیشه مهم شده است. جدی‌گرفتن مراقبت از کلید خصوصی کیف پول‌ها و قرار ندادن آن در اختیار اشخاص دیگر، نگهداری دارایی‌های دیجیتال در کیف پول‌های سرد و سخت‌افزاری در صورت‌ زیاد بودن آنها و نگهداری برای بلندمدت، احتیاط در مورد بدافزارها و اپلیکیشن‌های نامعتبر و مخرب و دانلود نرم‌افزارهای مورد نیاز از منابع معتبر، انتخاب رمزهای پیچیده و دارای امنیت بالا برای حساب‌های کاربری و فعال‌کردن تأیید هویت دومرحله‌ای برای حساب‌ و… مواردی است که برای دوری از زیان‌های ناشی از هک پروژه‌ها و حتی هک‌های شخصی کلیدی به نظر می‌رسند. تلاش کرده‌ایم در گفت‌وگوی پیش رو مهم‌ترین بایدها و نبایدهای این حوزه را با کاربران رمزارز در میان بگذاریم.

این روزها یکی از نگرانی‌های کاربران در دنیای رمزارزها موضوع هک و سرقت دارایی‌هاست؛ مهم‌ترین منشاء چنین اتفاقاتی چیست و معمولاً چه پروژه‌هایی بیشتر درگیر چنین معضلی می‌شوند؟

موضوع هک و سرقت دارایی رمزارز باید از دو جهت بررسی شود؛ یک بخش مربوط به رعایت نکات امنیتی است که از سمت کاربر باید بررسی و بخش دیگر مربوط به تیم توسعه رمزارز است که باید به مواردی در خصوص آن توجه داشت.

کاربران باید به سراغ رمزارزهایی بروند که وایت‌پیپر و تیم توسعه‌دهنده مشخصی داشته باشند. باید شروع، آینده و سرمایه پروژه مشخص‌ باشد. فرد قبل از اینکه اقدام به خرید یک رمزارز کند، باید این موارد را در نظر بگیرد؛ چراکه توجه‌نکردن به این مسائل به مشکل، هک و سرقت دارایی‌ها منجر می‌شود.

از طرف دیگر خود کاربر نیز باید قواعد امنیتی را رعایت کند. رعایت برخی مسائل، به‌خصوص برای کسانی که در حوزه رمزارزها فعالیت می‌کنند، ضروری است. برای مثال کاربران باید از کیف پول سخت‌افزاری استفاده کنند. یکی دیگر از قواعد امنیتی که کاربران باید رعایت کنند، انتخاب پسوردهای سخت و پیچیده است.

پروژه‌هایی که تیم توسعه بادانش و متخصص و یک نقشه‌راه مدون و صحیح نداشته باشند و نتوانند از فناوری‌های روز دنیا استفاده کنند، در اولین حمله ضربه می‌خورند. استفاده از یک تیم توسعه تخصصی و در اولویت قرار دادن تمام موارد امنیتی الزامی است، اما متأسفانه به علت افزایش پروژه‌های رمزارزی توجه به این موضوعات کمتر شده و بیشتر به‌دنبال بالا آوردن پروژه‌ها و مارکتینگ و جذب سرمایه هستند. این پروژه‌ها به توان فنی تیم فکر نمی‌کنند، ریسک‌ها را در نظر نمی‌گیرند و باگ‌ها را بررسی نمی‌کنند.

کاربران ایرانی در برابر چنین مواردی چقدر آسیب‌پذیر هستند و چه آموزش‌هایی نیاز دارند تا کمتر دچار خسارت شوند؟
کاربر ایرانی اگر بدون دانش کافی به سراغ صرافی‌های خارجی برود در مقایسه با کاربری که به سراغ صرافی‌های داخلی می‌رود، در معرض خطر بیشتری قرار دارد. خطر سرمایه‌گذاری کاربران ایرانی در صرافی‌های خارجی تحریم است. اینکه چطور و از چه طریقی باید اقدام کنند و ریسک بلاک و شناسایی‌شدن دارایی را پایین بیاورند، مهم است. استفاده از ابزارهایی به‌منظور دور زدن تحریم مفید است، اما نحوه استفاده از آنها نیز اهمیت دارد.

صرافی‌های خارجی به شما توضیح نمی‌دهند که از کدام وی‌پی‌ان یا ویرچوال ماشین استفاده کنید؛ بنابراین ما باید به‌عنوان کاربری ایرانی بدانیم که از چه ابزاری استفاده کنیم تا تأثیرات تحریم و ریسک لو رفتن اطلاعات‌مان را به حداقل برسانیم.

مهم‌ترین اشتباهات کاربران که معمولاً هزینه آن را در چنین اتفاقاتی شاهد هستیم، چیست؟ چه موارد و توصیه‌هایی را باید رعایت کرد تا کمتر این اتفاقات برای کاربران رخ دهد؟

کاربران حتماً اطلاعات حساب خود را در یک جای امن ذخیره کنند و به ‌هیچ‌عنوان آن اطلاعات را با شخص دیگری به اشتراک نگذارند، سرمایه‌گذاری روی توکن‌های بدون پشتوانه را کنار بگذارند و سودای رسیدن به سودهای نجومی نداشته باشند. هر دستگاه متصل به اینترنت می‌تواند راه و پلی برای هکر باشد. رعایت نکات کوچک می‌تواند از فجایع بزرگ جلوگیری کند. همچنین به‌روزرسانی سیستم‌عامل، مرورگر اصلی، اپلیکیشن موبایل و آنتی‌ویروس را جدی بگیرند.

برای مثال سیستم شخصی به خاطر عدم استفاده از آنتی‌ویروس و اتکا به آنتی‌ویروس پیش‌فرض ویندوز دچار یک بدافزار شده بود. وقتی‌ فرد آدرس کیف پول را کپی می‌کرد این بدافزار به یک سرور متصل می‌شد و آن سرور آدرس کیف پول هکر را جایگزین می‌کرد.

تمام صرافی‌های معتبر این روزها کاربران خود را احراز هویت می‌کنند. مورد دیگری که کاربران باید به آن دقت کنند، نحوه ارائه اطلاعات هویتی است؛ بنابراین توصیه می‌شود کاربران مدارک خود را فقط از طریق کانال‌های رسمی در اختیار صرافی‌ها قرار دهند.

صرافی‌ها و دیگر کسب‌وکارهای رمزارزی چه مواردی را باید در برابر تهدیداتی از این ‌دست لحاظ کنند؟

بهتر است صرافی‌ها در زمان ثبت‌نام کاربران تمام راه‌های کاربری را به‌وضوح اعلام کنند تا کاربر بداند دقیقاً راه ارتباط با آن صرافی چیست و به کاربر تأکید کنند هر پیامی را که از هر روش دیگری به نام آن صرافی دریافت کردند، به ‌منزله کلاهبرداری تلقی کنند. صرافی‌ها باید آموزش‌های لازم در این خصوص را در سایت خود قرار دهند، کاربر را از ظرفیت شبکه‌های اجتماعی آگاه کنند و تا حد ممکن نکات آموزشی از جنبه امنیتی را به‌صورت کوتاه و خلاصه منتشر کنند تا کاربر آپدیت باشد.

اگر صرافی این کارها را انجام دهد، می‌تواند از مشکلات متعدد هم برای خود و هم برای کاربر جلوگیری کند. صرافی‌ها باید موضوع امنیت را قبل از توسعه و پیشرفت کسب‌وکار در اولویت قرار دهند. مواردی مثل استفاده از هات‌ولت و کلدولت، شناسایی باگ‌های بلاکچین و تشکیل تیم‌های واکنش سریع برای مواقع بحرانی از الزامات یک صرافی هستند. اعتماد کاربران بزرگ‌ترین سرمایه هر کسب‌وکاری، به‌خصوص در حوزه کریپتو است.

صرافی‌ها باید نهایت دقت را در ذخیره‌سازی اطلاعات شخصی و مدارک هویتی داشته باشند. فناوری‌های جدید و امنی برای ذخیره‌سازی دیتا در فضای ابری به وجود آمده که حتی در صورت دسترسی به آن سرور دیتا قابل ‌استخراج نخواهد بود. تیم‌های توسعه صرافی‌ها باید آپدیت باشند و بتوانند از این فناوری‌ها استفاده کنند. در مجموع امنیت را در اولویت قرار دهند و پیش از هر چیزی روی امنیت سرمایه‌گذاری کنند.

مهم‌ترین هک‌هایی که در چند سال گذشته اتفاق افتاده، چه بوده و چقدر به اعتبار این حوزه آسیب ‌زده‌اند؟

اولین و مهم‌ترین هکی که در دنیای کریپتو اتفاق افتاد، مربوط به صرافی مت‌گاکس بود. مت‌گاکس یک صرافی ژاپنی بود که در سال ۲۰۱۰ تأسیس شد و در آن زمان۷۰ درصد تراکنش‌های بیت‌کوین کل دنیا را مدیریت می‌کرد. متأسفانه این صرافی در سال ۲۰۱۴ هک شد و حدود ۴۷۰ میلیون دلار دارایی از دست رفت.

هک بعدی مربوط به صرافی کریپتوپیا است. هک کریپتوپیا در سال ۲۰۱۸ اتفاق افتاد، یعنی همان سالی که تب‌وتاب رشد دارایی‌ها بود. این هک ضربه سنگینی به جامعه کریپتو وارد کرد و هنوز هم این صرافی نتوانسته موجودی کاربران را برگرداند. این اتفاق می‌تواند اعتماد کاربران به بازار را کاهش دهد. هک شبکه رونین هم به از دست رفتن بیش از ۶۰۰ میلیون دلار شد.

هک‌های بسیاری تابه‌حال رخ‌ داده، اما نمی‌توان گفت که این اتفاقات باعث سلب‌شدن اعتماد از کریپتو می‌شود. چون همه‌جا نظیر این اتفاقات می‌افتد، برای مثال از بانک‌ها هم دزدی می‌شود، ولی مردم همچنان سپرده‌های خود را در بانک قرار می‌دهند، اما این اتفاقات به تیم‌های توسعه و امنیتی پروژه‌ها گوشزد می‌کند که بیشتر دقت کرده و از بدبینی نسبت به کریپتو پیشگیری کنند.

نهادهای قضایی دنیا چقدر می‌توانند سرقت‌هایی از این ‌دست را پیگیری کنند یا دارایی‌های ازدست‌رفته را بازگردانند؟
این‌طور نیست که شبکه بلاکچین قابل ‌پیگیری نباشد. شاید بین عموم جاافتاده باشد که در شبکه بلاکچین نمی‌توان هیچ مبلغ و تراکنشی را پیگیری کرد. در دارک‌وب تمام معاملات در بستر بلاکچین و توسط پروژه‌های کریپتویی انجام می‌شود و نمی‌توان گفت که قابل ‌پیگیری نیستند. نهادها و تیم‌هایی وجود دارد که تراکنش‌های رمزارزی را ردیابی می‌کنند.

سایفرتریس اولین تیم بلاکچین دنیا بود که حکم پزشکی قانونی بلاکچین را داشت. سایفرتریس تراکنش‌های پرخطر را رصد می‌کرد. این مؤسسه در سال ۲۰۱۵ و برای محافظت از مؤسسات مالی در برابر خطرات پول‌شویی مجازی و دیگر خطرات مرتبط با حوزه کریپتو تأسیس شد. امروز این مؤسسه می‌تواند تراکنش بیش از ۸۰۰ رمزارز و شبکه بلاکچینی و کیف‌های کریپتویی را ردیابی کند.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.