رمزارز
رسانه بلاکچین، رمزارز و دارایی دیجیتال ایران

لزوم شکل‌گیری استاندارد امنیتی در تمام سرفصل‌ها/گفت‌وگو با امیر رنجبر، مدیر عملیات نوبیتکس

با پیشرفت در حوزه رمزارزها و درگیری بیشتر مردم با این بازار مالی، کم‌کم مشکلات نیز یکی پس از دیگری خود را نشان می‌دهند. یکی از اتفاقاتی که این روزها کاربران را نگران کرده، هک‌شدن چند پروژه رمزارزی و از‌دست‌رفتن بخشی از سرمایه کاربران، آن هم به فاصله کمی از یکدیگر بوده است. به همین دلیل به سراغ مدیر فنی رمزینکس و امیر رنجبر، مدیر عملیات نوبیتکس رفتیم تا توضیح دهد که از بعد فنی کاربران تا چه میزان می‌توانند از بروز این اتفاق برای خود جلوگیری کنند و نقش صرافی‌ها و کسب‌و‌کارهای رمزارزی در حفظ امنیت کاربران چیست.

کارشناسان می‌گویند کیف پول‌های گرم و سخت‌افزاری بالاترین امنیت را برای ذخیره‌سازی دارند. البته این بستگی به نیاز و انتخاب کاربران دارد که قصد دارند به چه صورت توکن و دارایی خود را ذخیره کنند. اگر می‌خواهند به‌صورت بلندمدت ذخیره کنند، بهتر است که از کیف پول‌های سرد یا سخت‌افزاری استفاده کنند، اما اگر بازه کوتاه‌مدتی را برای ذخیره در نظر گرفته‌اند، یا به‌زودی می‌خواهند خریدوفروش کنند یا دارایی را انتقال دهند، می‌توانند از کیف پول‌های گرم استفاده کنند، ولی معمولاً بهترین روش نگهداری، کیف پول‌های ثابت یا سخت‌افزاری هستند.

کارشناسان امنیت مدام تاکید می‌کنند کاربران باید صرافی‌هایی را انتخاب کنند که از امنیت بالایی برخوردار و پشتوانه محکمی داشته و از لحاظ احراز هویت و پول‌شویی هم مطمئن باشند. موضوع کیف پول‌های شخصی و رعایت موارد ایمنی از سوی کاربران این روزها بیش از همیشه مهم شده است.

جدی‌گرفتن مراقبت از کلید خصوصی کیف پول‌ها و قرار ندادن آن در اختیار اشخاص دیگر، نگهداری دارایی‌های دیجیتال در کیف پول‌های سرد و سخت‌افزاری در صورت‌ زیاد بودن آنها و نگهداری برای بلندمدت، احتیاط در مورد بدافزارها و اپلیکیشن‌های نامعتبر و مخرب و دانلود نرم‌افزارهای مورد نیاز از منابع معتبر، انتخاب رمزهای پیچیده و دارای امنیت بالا برای حساب‌های کاربری و فعال‌کردن تأیید هویت دومرحله‌ای برای حساب‌ و… مواردی است که برای دوری از زیان‌های ناشی از هک پروژه‌ها و حتی هک‌های شخصی کلیدی به نظر می‌رسند. تلاش کرده‌ایم در گفت‌وگوی پیش رو مهم‌ترین بایدها و نبایدهای این حوزه را با کاربران رمزارز در میان بگذاریم.

سرقت دارایی‌ها و هک شدن پروژه‌های رمزارزی یکی از نگرانی‌های این روزهای کاربران حوزه رمزارز است. منشاء این اتفاقات را چه می‌دانید و معمولاً چه پروژه‌هایی بیشتر درگیر چنین معضلی می‌شوند؟

ممکن است کاربر تمام پروتکل‌های امنیتی را رعایت کرده و پروژه‌ معتبری را نیز برای سرمایه‌گذاری انتخاب کند، اما خود پلتفرم بالقوه تحت ریسک باشد. برای مثال اتفاقی که برای لونا افتاد؛ با اینکه آن پروژه نسبتاً خلاقانه بود و به مدت طولانی تحت استرس‌تست توسط افراد خبره قرار گرفته بود، اما در نهایت مشخص شد که فرایند پویای کنترل عرضه/تقاضای توکن‌ها در آن شبکه فی‌نفسه مشکل‌زا بود.

بنابراین کاربران قبل از سرمایه‌گذاری روی ارزهای ناشناس یا ارزهایی که به‌تازگی وارد اکوسیستم شده‌اند، باید بررسی کافی داشته باشند. مهم‌ترین راهکار برای جلوگیری از کلاهبرداری و فیشینگ و خودداری از سرمایه‌گذاری روی پروژه‌های بدون پشتوانه و همچنین نگهداری امن دارایی، این است که قبل از ورود به هر حوزه‌ای، به‌ویژه حوزه‌های مالی، افراد فرایند کسب دانش را طی کنند و قبل از سرمایه‌گذاری، درباره آن پروژه تحقیق کرده باشند.

کاربران ایرانی باید چه کار کنند یا چه آموزش‌هایی ببینند که کمتر در معرض خسارات این‌چنینی قرار گیرند؟

انتخاب بستر مناسب و مورد اعتماد برای معامله، استفاده از کیف پول سخت‌افزاری، یا در صورت استفاده از کیف پول نرم‌افزاری، دقت در نگهداری کلمات بازیابی کیف پول، فعال‌سازی ورود دومرحله‌ای برای استفاده از پلتفرم‌های رمزارزی، خودداری از ارائه رمز عبور به افراد غیر، خودداری از کلیک روی لینک‌های مشکوک، عدم استفاده از رمز عبور یکسان برای حساب‌های کاربری مختلف، استفاده از آنتی‌ویروس مناسب و… مواردی است که کاربران باید به آنها دقت کنند.

همچنین کاربران باید توجه داشته باشند که چه برای ورود به پلتفرم‌ها و چه برای ورود به کامپیوتر یا تلفن همراه‌شان که از طریق آن وارد صرافی می‌شوند، از رمز عبور مطمئن و سخت استفاده کنند و تلفن همراه یا کامپیوتر خود را در اختیار دیگران قرار ندهند. همچنین از کامپیوترهای محیط‌های عمومی مانند کافی‌نت‌ها یا محل کار برای ورود به پلتفرم‌های تبادل رمزارز استفاده نکنند.

کاربران ایرانی غیر از مواردی که به آنها اشاره شد، بحث‌های مربوط به تحریم را نیز باید در نظر بگیرند. مسدود شدن حساب کاربران ایرانی در برخی پلتفرم‌های خارجی، همچون بایننس، رهگیری تراکنش‌ها و… ریسک‌هایی هستند که برای کاربران ایرانی در بازارهای مالی جهانی وجود دارد. انتقال تتر از طریق تترشیلد یا همان انتقال حفاظت‌شده تتر، یکی از راه‌های جلوگیری از شناسایی و ردیابی تراکنش‌های تتری است که این امکان در نوبیتکس وجود دارد.

در رابطه با پلتفرم‌های خارجی بسیاری از کاربران راهکارهایی را برای جلوگیری از شناسایی به‌عنوان کاربر ایرانی و به‌نوعی دور زدن تحریم انجام می‌دهند، اما این کار نیز ریسک‌های خود را دارد. یکی از دلایلی که کاربران را به سمت استفاده از پلتفرم‌های خارجی سوق می‌دهد، امکان معامله فیوچر است، اما بسیاری از کاربران در بازار فیوچر معامله نمی‌کنند؛ از این رو استفاده از پلتفرم‌های بومی یا نگهداری دارایی در کیف پول‌های شخصی می‌تواند ضریب امنیت بسیار بالاتری نسبت به نگهداری دارایی در پلتفرم‌های خارجی داشته باشد.

مهم‌ترین اشتباهات کاربران در این بخش چیست؟

انتخاب شبکه انتقال اشتباه، فراموش‌کردن کلمات بازیابی کیف پول، فریب‌خوردن از طریق سایت‌های فیشینگ و سرمایه‌گذاری با مبالغ زیاد روی توکن‌ها و رمزارزهای فاقد پشتوانه و سرمایه‌گذاری در پروژه‌های پانزی، بخشی از اشتباهاتی است که برخی کاربران نه‌فقط در ایران، بلکه در سراسر جهان مرتکب می‌شوند.

چه موارد و توصیه‌هایی را باید رعایت کرد تا این اتفاقات کمتر برای کاربران رخ دهد؟

در رابطه با نگهداری دارایی‌های رمزارزی، نگهداری سرد شاید از حد توان یک کاربر معمولی فراتر باشد، اما استفاده از کیف پول‌های نرم‌افزاری پرطرفدار مثل تراست‌ولت نیز نیازمند داشتن دانش است. کوچک‌ترین اشتباهی در این حوزه؛ از نحوه ذخیره‌سازی کلمات بازیابی یا کلید خصوصی تا ارسال توکن اشتباه روی شبکه اشتباه یا به آدرس اشتباه، می‌تواند امنیت دارایی را تحت ‌تأثیر قرار دهد. بحث‌های مربوط به دقت در نگهداری کلمات کلیدی بازیابی کیف پول، خودداری از باز کردن لینک‌های مشکوک، آگاهی از این مسئله که دارایی‌شان را روی شبکه درست انتقال دهند و… مواردی است که کاربران باید در رابطه با آنها آموزش ببینند و دقت و اطلاعات کافی داشته باشند.

صرافی‌ها و دیگر کسب‌وکارهای رمزارزی لازم است در این زمینه چه تمهیداتی بیندیشند؟

از آنجایی ‌که سطح سیاست‌ها و استانداردهای به کار گرفته‌شده در صرافی‌ها در ایران همسان نیست، به نظر می‌رسد در ابتدا باید یک استاندارد امنیتی در تمام سرفصل‌های امنیتی شکل بگیرد و صرافی‌ها، خود را با این استانداردها همسان کنند و در قبال آن هم به کاربر پاسخگو باشند.

نگهداری دارایی‌ها به شکل کاملاً سرد (cold storage) و ایمن‌بودن دارایی‌ها در برابر حملات، ساختار چندامضایی برای برداشت دارایی‌های صرافی و نبود امکان کلاهبرداری، استقرار سرورها در ایران، ذخیره‌سازی همه اطلاعات مشتریان به‌صورت رمزنگاری‌شده، ارزیابی‌های مداوم و دوره‌ای امنیتی، تغییر مداوم آدرس کیف پول‌ها و… از جمله مواردی هستند که پلتفرم‌های ایرانی برای افزایش ضریب امنیت پلتفرم و دارایی کاربران باید به کار بگیرند.

همچنین اجباری‌کردن شناسه دوعاملی برای ورود و برداشت از حساب، ارسال پیامک تأیید برداشت، جلوگیری از برداشت حجم بالا و تماس تصویری با کاربر برای اطمینان از اینکه خود کاربر اقدام به برداشت وجه کرده، ضریب امنیت دارایی کاربران را بالا می‌برد. از سوی دیگر استفاده از امکان تترشیلد و لایتنینگ برای انتقال تتر و بیت‌کوین از دیگر امکاناتی است که پلتفرم‌ها برای جلوگیری از رهگیری تراکنش‌های رمزارزی باید در اختیار کاربران قرار دهند.

مهم‌ترین هک‌هایی که در چند سال گذشته اتفاق افتاده، چه بوده و چقدر به اعتبار این حوزه آسیب زده‌اند؟

هک‌های متعددی در پلتفرم‌های دیفای، به‌خصوص پلتفرم‌های وام‌دهی رمزارزها در سال‌های اخیر رخ داده‌اند، اما در حوزه سازوکار پلتفرم‌های تبادل، یکی از موارد مهم، هک بایننس در سال 2019 بود که در آن هکرها با ترفندهای مختلف تلاش کرده بودند به کیف پول‌های داغ این صرافی که تنها دو درصد دارایی‌های موجود در این پلتفرم بود، دسترسی پیدا کنند و در نهایت نیز هفت هزار بیت‌کوین از این صرافی به سرقت رفت. از این رو نگهداری سرد دارایی نکته بسیار حائز اهمیتی در امنیت دارایی در پلتفرم‌های تبادل است.

اخیراً نیز شاهد هک کیف پول‌های سولانا بودیم که بسیاری از ولت‌های نرم‌افزاری معتبر را نیز تحت تأثیر قرار داد، اما ولت‌های ذخیره سرد همواره از این نوع حملات در امان بودند. در سال‌های گذشته حملات دیگری مثل هک برخی کیف پول‌ها از جمله پریتی‌ولت و برخی صرافی‌ها رخ داده که دلیل آنها به رویکرد پلتفرم در نگهداری دارایی‌ها (نحوه مدیریت کلید خصوصی) برمی‌گردد و البته باعث شد پلتفرم‌ها با توجه به شگردهای هکرها، موارد امنیتی بیشتری را رعایت کنند.

در هر صورت، رعایت نکاتی در مورد امنیت دارایی صرافی‌ها و پلتفرم‌ها که به آن اشاره شد، می‌تواند امکان دسترسی به دارایی از طریق هک را به صفر نزدیک کند. در کشورهای مختلف سیاست‌های متفاوتی در قبال رمزارزها و به تبع آن کلاهبرداری‌ها و سرقت‌های احتمالی این حوزه به کار گرفته شده است.

برخی کشورها به‌کلی فعالیت در این حوزه را ممنوع کردند که با توجه به توسعه این صنعت، بعضاً مجبور به عقب‌نشینی از این سیاست شدند. کشورهایی نیز با تدوین قوانین مربوط به حوزه رمزارز، در راستای نظارت بر فعالیت‌ها، پیگیری قضایی موارد پانزی، رصد و پیگیری موارد جدید کلاهبرداری و… اقدام کرده‌اند.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.