ریشه مشکلات امنیتی عدم وجود رگولاتوری است / گفت‌وگو با محمدحسین کشاورز، مدیر فنی رمزینکس

با پیشرفت در حوزه رمزارزها و درگیری بیشتر مردم با این بازار مالی، کم‌کم مشکلات نیز یکی پس از دیگری خود را نشان می‌دهند. یکی از اتفاقاتی که این روزها کاربران را نگران کرده، هک‌شدن چند پروژه رمزارزی و از‌دست‌رفتن بخشی از سرمایه کاربران، آن هم به فاصله کمی از یکدیگر بوده است. به همین دلیل به محمدحسین کشاورز، مدیر فنی رمزینکس و رفتیم تا توضیح دهد که از بعد فنی کاربران تا چه میزان می‌توانند از بروز این اتفاق برای خود جلوگیری کنند و نقش صرافی‌ها و کسب‌و‌کارهای رمزارزی در حفظ امنیت کاربران چیست.

کارشناسان می‌گویند کیف پول‌های گرم و سخت‌افزاری بالاترین امنیت را برای ذخیره‌سازی دارند. البته این بستگی به نیاز و انتخاب کاربران دارد که قصد دارند به چه صورت توکن و دارایی خود را ذخیره کنند. اگر می‌خواهند به‌صورت بلندمدت ذخیره کنند، بهتر است که از کیف پول‌های سرد یا سخت‌افزاری استفاده کنند، اما اگر بازه کوتاه‌مدتی را برای ذخیره در نظر گرفته‌اند، یا به‌زودی می‌خواهند خریدوفروش کنند یا دارایی را انتقال دهند، می‌توانند از کیف پول‌های گرم استفاده کنند، ولی معمولاً بهترین روش نگهداری، کیف پول‌های ثابت یا سخت‌افزاری هستند.

کارشناسان امنیت مدام تاکید می‌کنند کاربران باید صرافی‌هایی را انتخاب کنند که از امنیت بالایی برخوردار و پشتوانه محکمی داشته و از لحاظ احراز هویت و پول‌شویی هم مطمئن باشند. موضوع کیف پول‌های شخصی و رعایت موارد ایمنی از سوی کاربران این روزها بیش از همیشه مهم شده است. جدی‌گرفتن مراقبت از کلید خصوصی کیف پول‌ها و قرار ندادن آن در اختیار اشخاص دیگر، نگهداری دارایی‌های دیجیتال در کیف پول‌های سرد و سخت‌افزاری در صورت‌ زیاد بودن آنها و نگهداری برای بلندمدت، احتیاط در مورد بدافزارها و اپلیکیشن‌های نامعتبر و مخرب و دانلود نرم‌افزارهای مورد نیاز از منابع معتبر، انتخاب رمزهای پیچیده و دارای امنیت بالا برای حساب‌های کاربری و فعال‌کردن تأیید هویت دومرحله‌ای برای حساب‌ و… مواردی است که برای دوری از زیان‌های ناشی از هک پروژه‌ها و حتی هک‌های شخصی کلیدی به نظر می‌رسند. تلاش کرده‌ایم در گفت‌وگوی پیش رو مهم‌ترین بایدها و نبایدهای این حوزه را با کاربران رمزارز در میان بگذاریم.

چند وقتی است کاربران دنیای رمزارزها با موضوع هک و سرقت دارایی‌ها مواجه شده‌اند؛ منشاء چنین اتفاقاتی چیست؟ کدام پروژه‌ها بیشتر درگیر چنین معضلی می‌شوند؟

نکته‌ای که در حوزه فناوری بلاکچین وجود دارد این است که سرعت نوآوری و تغییرات آن زیاد است و تنظیم‌گری، به‌خصوص در کشور ما کم است. تنوع و سرعت تغییرات راه را برای کلاهبرداران باز می‌کند تا پروژه‌های خود را بین پروژه‌های جدی جا بزنند. از طرفی در نبود رگولاتوری پروژه‌ها مجبور نیستند استانداردهای امنیتی و مدیریت ریسک رایج در محیط مالی را رعایت کنند و همین امر به ریسک‌های امنیتی و مالی بیشتری منجر می‌شود.

به نظر من ریشه مشکلات امنیتی همین عدم وجود رگولاتوری است. بخشی از این موضوع البته هزینه‌ای است که برای بهره‌مند شدن از مزایای نوآوری می‌پردازیم و بخش دیگر هم کمتر بودن سرعت نهادهای تنظیم‌گر نسبت به فعالان این حوزه مرتبط است، اما به نظر من با در نظر گرفتن این موارد نیز در تنظیم‌گری این حوزه از نقطه بهینه بسیار عقب‌ هستیم.

در مورد پروژه‌های پرریسک‌تر اگر به پیشینه نگاه کنیم، متوجه می‌شویم هر نوع پروژه‌ای، در هر اندازه و با هر سابقه‌ای دچار مشکل شده است. برای مثال هک صرافی مت‌گاکس که سهم ۷۰درصدی از بازار داشت، به ازدست‌رفتن دارایی بسیاری از مردم منجر شد. حتی خود پروژه اتریوم به ‌خاطر یک آسیب‌پذیری مجبور شد برای برگرداندن دارایی کاربران هاردفورک انجام دهد.

اما به ‌هر حال سیستم‌هایی که زمان طولانی‌تری در بازار بوده‌اند و ابعاد بزرگ‌تری دارند، معمولاً مورد اعتماد کاربران بیشتری هستند. چون ایرادات اساسی این سیستم‌ها در بیشتر موارد پیدا و برطرف شده‌اند. در مورد سیستم‌هایی که سرمایه‌های بزرگ‌تری دارند و زمان بیشتری در بازار دوام آورده‌اند، می‌توان گفت که خود بازار تا حدی نقش رگولاتور را ایفا کرده، اما بین پروژه‌های کوچک اسکم‌های بیشتری وجود دارد.

آیا کاربران ایرانی در برابر این موارد آسیب‌پذیر هستند یا مشکل جهانی است؟ چه آموزش‌هایی نیاز است تا خسارات وارده کاهش یابد؟

تمام کاربران دنیا با مشکلاتی در این حوزه مواجه هستند، اما کاربران ایرانی علاوه بر مشکلات معمول متحمل ریسک‌های بیشتری هستند. موضوعی که به بسیاری از کاربران ایرانی آسیب‌ زده، قوانین مربوط به تحریم و قوانین پول‌شویی بین‌المللی است. در اثر این قوانین دارایی‌های کاربران ایرانی در صرافی‌های بین‌المللی معمولاً در معرض بلوکه‌شدن قرار دارند.

از طرفی قطع دسترسی از پلتفرم‌های ساده و معتبر، به هدایت کاربران به پلتفرم‌های پر‌ریسک‌تر، منجر می‌شود و خطرات فعالیت در این حوزه را برای آنها افزایش می‌دهد. ممکن است کاربران ایرانی به دکس‌ها مراجعه کنند و عدم آشنایی با جزئیات فنی و ریسک‌های مخصوص به این صرافی‌ها، به متضرر شدن آنها می‌انجامد. در محیط داخلی هم با توجه‌ به اینکه نسبت به سایر دنیا در زمینه تنظیم‌گری عقب هستیم، کاربران ما نسبت به کاربرانی که در محیط رگوله‌شده فعالیت می‌کنند، بیشتر در معرض خطر و تهدید قرار دارند.

مهم‌ترین اشتباهات کاربران در این میان کدام‌اند؟

من چند مورد را که با تجربه ما برای کاربران بیشتر مشکل‌ساز بوده، عنوان می‌کنم. کاربران در نقل‌وانتقالات باید دقت زیادی داشته باشند؛ برای مثال آدرس‌ها را درست وارد کرده، شبکه درست را انتخاب کنند و به تگ و مموی آدرس‌ها دقت داشته باشند. اگر کاربران در صرافی‌های خارجی فعالیت می‌کنند، به تغییر آی‌پی و فعالیت‌های مشکوک دقت کنند تا ریسک بلوکه‌شدن دارایی‌های خود را کمینه کنند. صرافی‌هایی که کاربران ایرانی با پاسپورت ایرانی را می‌پذیرند، ممکن است زمانی بگویند که دولت آمریکا آنها را مجبور به بستن حساب‌ها کرده است؛ بنابراین به ریسک‌های مشابه توجه کنند و تمام دارایی خود را در این صرافی‌ها ذخیره نکنند.

به‌طور کلی توصیه امنیتی من این است که اگر کاربران قصد خریدوفروش و سرمایه‌گذاری طولانی‌مدت ندارند، با ملاحظات امنیتی نگه‌داشتن دارایی‌ها آشنا شوند و دارایی‌های خود را روی صرافی‌ها؛ چه ایرانی و چه خارجی نگه ندارند. دارایی‌ها را روی کیف پول‌های خود نگه دارند، ولی ریسک‌های امنیتی و راه‌حل‌های آنها را بدانند. برای مثال رمز دسترسی و بازیابی کیف‌ پول خود را در جای امنی نگهداری کنند، البته این رمز را به‌صورت متن بدون کدگذاری نگهداری نکنند.

برای مدیریت ریسک‌های مالی که البته مخصوص به حوزه بلاکچین هم نیستند، به‌صورت ویژه از بازارهای کوچک‌تر و از اعتماد به داده‌هایی که از کانال‌های ناشناس دریافت می‌کنند، بپرهیزند.

صرافی‌ها و دیگر کسب‌وکارهای رمزارزی چه مواردی را باید در برابر این تهدیدات در نظر بگیرند؟

سرمایه اصلی هر صرافی، اعتماد کاربران است و معتقدم که توجه ویژه‌ای به امنیت کاربران داشت. صرافی ما مجموعه‌ای از اقدامات بلاکچینی و امنیت نرم‌افزاری را برای مقابله با این تهدیدات انجام داده است. به‌جز اقدامات عمومی در حوزه امنیت نرم‌افزار، با مدل‌سازی تهدیدات موجود و درس‌گرفتن از اتفاقاتی که برای دیگر صرافی‌ها رخ‌ داده؛ برای بهبود امنیت مدل نگهداری از دارایی‌های کاربران و عملیات رمز‌ارزی در صرافی را طراحی کرده‌ایم. یکی از کارهایی که برای پیشگیری انجام داده‌ایم، ذخیره‌سازی سرد است تا اگر به هر علتی سیستم‌های نرم‌افزاری مورد نفوذ قرار گرفتند، دارایی کاربران در معرض خطر قرار نگیرد.

مسئله دیگر رعایت استانداردهای فنی امنیتی مخصوص نهادهای مالی است. برای نهادهای حوزه مالی مثل بانک و بورس استانداردهای امنیتی فنی داخلی و بین‌المللی منتشر شده است. در حوزه رمزارزها، تنظیم‌گری که صرافی‌ها را مجبور به رعایت این استانداردها کند، وجود ندارد، ولی ما بر اساس استانداردهای حوزه‌های دیگر عمل می‌کنیم و این استانداردها را در فرایندهای فنی به کار می‌گیریم. علاوه بر این از سیستم آزمون‌های نفوذ دوره‌ای بهره می‌بریم و از آدیتورهای خارجی برای بررسی امنیت استفاده می‌کنیم.

مهم‌ترین هک‌هایی که در چند سال گذشته اتفاق افتاده، چه بوده و چقدر به اعتبار این حوزه آسیب زده‌اند؟

مت‌گاکس اتفاق بزرگی بود و اثر خود را روی قیمت رمزارز گذاشت و در آن زمان به بی‌اعتمادی مردم منجر شد. در مورد کاربران ایرانی اتفاقاتی که در bitrex رخ داد، باعث شد دارایی کاربران زیادی از دسترس خارج شود. این اتفاقات هرچقدر بزرگ‌تر باشند، تأثیر بیشتری روی اعتماد کاربران می‌گذارند. در اینجا نیاز به رگولاتوری پررنگ‌تر می‌شود؛ چراکه اگر کسی در این حوزه اشتباه کند، همه مجموعه‌های مشابه را تحت تأثیر قرار می‌دهد.

غیر از ریسک‌های فنی، ریسک‌های مالی و مکانیسمی نیز به ایجاد مشکل و بی‌اعتمادی مردم منجر شده‌اند. برای مثال اتفاقی که برای لونا افتاد، به این حوزه آسیب وارد کرد.

آیا نهادهای قضایی دنیا می‌توانند در پیگیری این سرقت‌ها یا بازگرداندن دارایی‌های ازدست‌رفته اثرگذار باشند؟

از چند جهت می‌توان این مسئله را بررسی کرد. هدف برخی از پروژه‌های بلاکچینی این است که غیر قابل رهگیری باشند. پس در سطحی ممکن است به علت عدم وجود اطلاعات کافی، امکان پیگیری قضایی وجود نداشته باشد. در سطح دیگر، اگر امکان پیگیری هم وجود داشته باشد و در حوزه قضایی ایران نباشد، ممکن است کاربران ایرانی نتوانند از این امکان بهره‌مند شوند؛ زیرا بر اساس قوانین پول‌شویی بین‌المللی کاربران ایرانی نباید معامله کنند و حق پیگیری هم ندارند. به‌طور کلی در بیشتر موارد بلاکچینی، حتی در داخل کشور هم نمی‌توان برای پیگیری به سیستم‌ قضایی اتکا کرد. اگر قوانین در این حوزه به‌روز شوند، احتمالاً بر این موضوع مؤثر خواهند بود.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.