لزوم شکلگیری استاندارد در تمام سرفصلهای امنیت دارایی
هک شدن چند پروژه رمزارزی و از دست رفتن بخشی از سرمایه کاربران، آن هم به فاصله کمی از یکدیگر یکی از اتفاقاتی بوده که این روزها کاربران بازار رمزارزها را نگران کرده است.
امیر رنجبر، مدیر عملیات پلتفرم تبادل رمزارز «نوبیتکس» در گفتوگو با ویژهنامه رمزارز هفتهنامه کارنگ توضیح داد که از بعد فنی کاربران تا چه میزان میتوانند از بروز اتفاق برای دارایی خود جلوگیری کنند و نقش صرافیها و کسبوکارهای رمزارزی در حفظ امنیت کاربران چیست.
این روزها یکی از نگرانیهای کاربران در دنیای رمزازها موضوع هک و سرقت داراییهاست؛ مهمترین منشاء چنین اتفاقاتی چیست و معمولا چه پروژههایی بیشتر درگیر چنین معضلی میشوند؟
ممکن است کاربر تمام پروتکلهای امنیتی را رعایت کرده و پروژه معتبری را نیز برای سرمایهگذاری انتخاب کند. اما خود پلتفرم بالقوه تحت ریسک باشد. برای مثال اتفاقی که برای لونا افتاد؛ با این که آن پروژه نسبتاً خلاقانه بود و به مدت طولانی تحت استرستست توسط افراد خبره قرار گرفته بود، اما در نهایت مشخص شد که فرآیند پویای کنترل عرضه/تقاضای توکنها در آن شبکه فینفسه مشکلزا بود. کاربران قبل از سرمایهگذاری روی ارزهای ناشناس یا ارزهایی که به تازگی وارد اکوسیستم شده اند، باید بررسی کافی داشته باشند.
مهمترین راهکار برای جلوگیری از کلاهبرداری و فیشینگ و خودداری از سرمایهگذاری روی پروژههای بدون پشتوانه و همچنین نگهداری امن دارایی، این است که قبل از ورود به هر حوزهای بهویژه حوزههای مالی، افراد فرآیند کسب دانش را طی کنند و قبل از سرمایهگذاری، درباره آن پروژه تحقیق کرده باشند.
کاربران ایرانی در برابر چنین مواردی چقدر آسیبپذیر هستند و چه آموزشهایی نیاز دارند که کمتر دچار خسارت شوند؟
انتخاب بستر مناسب و مورد اعتماد برای معامله، استفاده از کیف پول سختافزاری و یا در صورت استفاده از کیف پول نرم افزاری، دقت در نگهداری کلمات بازیابی کیف پول، فعالسازی ورود دومرحله ای برای استفاده از پلتفرم های رمزارزی، خودداری از دادن رمز عبور به افراد غیر، خودداری از کلیک روی لینکهای مشکوک، عدم استفاده از رمزعبور یکسان برای حسابهای کاربری مختلف، استفاده از آنتی ویروس مناسب و… مواردی است که کاربران باید به آنها دقت کنند.
همچنین کاربران باید دقت کنند که چه برای ورود به پلتفرمها و چه برای ورود به کامپیوتر یا تلفن همراهشان که از طریق آن وارد صرافی میشوند، از رمز عبور مطمئن و سخت استفاده کنند و تلفن همراه یا کامپیوتر خود را در اختیار دیگران قرار ندهند. همینطور از استفاده از کامپیوترهای محیطهای عمومی مثل کافینتها یا محل کار برای ورود به پلتفرمهای تبادل رمزارز خودداری کنند.
کاربران ایرانی غیر از مورادی که به آنها اشاره شد بحث های مربوط به تحریم را نیز باید درنظر بگیرند. مسدود شدن حساب کاربران ایرانی در برخی پلتفرم های خارجی همچون بایننس، رهگیری تراکنش ها و… ریسک هایی است که برای کاربران ایرانی در بازارهای مالی جهانی وجود دارد. انتقال تتر از طریق تترشیلد یا همان انتقال حفاظت شده تتر، یکی از راههای جلویگری از شناسایی و ردیابی تراکنشهای تتری است که این امکان در نوبیتکس نیز وجود دارد.
در رابطه با پلتفرمهای خارجی بسیاری از کاربران راهکارهایی را برای جلوگیری از شناسایی به عنوان کاربر ایرانی و به نوعی دور زدن تحریم انجام میدهند، اما این کار به هر حال ریسک های خود را دارد. یکی از دلایلی که کاربران را به سمت استفاده از پلتفرمهای خارجی سوق میدهد امکان معامله فیوچر است اما بسیاری از کاربران در بازار فیوچر معامله نمیکنند از این رو استفاده از پلتفرمهای بومی و یا نگهداری دارایی در کیفپولهای شخصی میتواند ضریب امنیت بسیار بالاتری نسبت به نگهداری دارایی در پلتفرم های خارجی داشته باشد.
مهمترین اشتباهات کاربران که معمولا هزینه آن را در چنین اتفاقاتی شاهد هستیم چه هستند؟
انتخاب شبکه انتقال اشتباه، فراموش کردن کلمات بازیابی کیف پول، فریب خوردن از طریق سایت های فیشینگ و سرمایه گذاری با مبالغ زیاد روی توکنها و رمزارزهای فاقد پشتوانه و سرمایهگذاری در پروژههای پانزی، بخشی از اشتباهاتی است که برخی از کاربران نه فقط در ایران بلکه در سراسر جهان مرتکب میشوند.
چه موارد و توصیههایی را باید رعایت کرد تا کمتر این اتفاقها برای کاربران رخ دهد؟
در رابطه با نگهداری داراییهای رمزارزی، نگهداری سرد شاید از حد توان یک کاربر معمولی فراتر باشد، اما استفاده از کیف پولهای نرم افزاری پرطرفدار مثل تراست ولت نیز نیازمند داشتن دانش است. کوچکترین اشتباهی در این حوزه از نحوه ذخیرهسازی کلمات بازیابی یا کلید خصوصی تا ارسال توکن اشتباه یا روی شبکه اشتباه یا به آدرس اشتباه میتواند امنیت دارایی را تحتتأثیر قرار دهد. بحث های مربوط به دقت در نگهداری کلمات کلیدی بازیابی کیف پول، خودداری از باز کردن لینک های مشکوک، آگاهی از این مسئله که داراییشان را روی شبکه درست انتقال دهند و… مواردی است که کاربران باید در رابطه با آنها آموزش ببینند و دقت و اطلاعات کافی داشته باشند.
صرافیها و دیگر کسبوکارهای رمزارزی چه مواردی را باید در برابر تهدیدهایی از این دست لحاظ کنند؟
ازآنجاییکه سطح سیاستها و استانداردهای به کار گرفته شده در صرافیها در ایران همسان نیست، به نظر در ابتدا باید یک استاندارد امنیتی در تمام سرفصلهای امنیتی شکل بگیرد و صرافیها خود را با این استانداردها همسان کنند و در قبال آن هم به کاربر پاسخگو باشند.
نگهداری داراییها به شکل کاملا سرد (cold storage) و ایمن بودن داراییها در برابر حملات، ساختار چند امضایی برای برداشت دارایی های صرافی و نبود امکان کلاهبرداری، استقرار سرورها در ایران، ذخیرهسازی همه اطلاعات مشتریان بهصورت رمزنگاری شده، ارزیابیهای مداوم و دورهای امنیتی، تغییر مداوم آدرس کیف پولها و… ازجمله مواردی هستند که پلتفرمهای ایرانی برای افزایش ضریب امنیت پلتفرم و دارایی کاربران باید به کار بگیرند. همچنین اجباری کردن شناسه دوعاملی برای ورود و برداشت از حساب، ارسال پیامک تایید برداشت، جلوگیری از برداشت حجم بالا و تماس تصویری با کاربر برای اطمینان از اینکه خود کاربر اقدام به برداشت وجه کرده است، ضریبا امنیت دارایی کاربران را بالا میبرد. ازسوی دیگر استفاده از امکان تترشیلد و لایتنینگ برای انتقال تتر و بیتکوین از دیگر امکاناتی است که پلتفرمها برای جلوگیری از رهگیری تراکنشهای رمرارزی باید در اختیار کاربران قرار دهند.
مهمترین هکهایی که در چند سال گذشته اتفاق افتاده چه بوده و چقدر به اعتبار این حوزه آسیب زدهاند؟
هکهای متعدی در پلتفرمهای دیفای بخصوص پلتفرمهای وامدهی رمزارزها در سالهای اخیر رخ داده اند. اما در حوزه سازو کار پلتفرمهای تبادل، یکی از موارد مهم، هک بایننس در سال 2019 بود که در آن هکرها با ترفندهای مختلف تلاش کرده بودند که به کیف پولهای داغ این صرافی که تنها 2 درصد دارایی های موجود در این پلتفرم بود دسترسی پیدا کنند و در نهایت نیز 7 هزار بیتکوین از این صرافی به سرقت رفت. از این رو نگهداری سرد دارایی نکته بسیار حائز اهمیتی در امنیت دارایی در پلتفرم های تبادل است.
اخیرا نیز شاهد موضوع هک کیفپولهای سولانا بودیم که بسیاری از ولتهای نرمافزاری معتبر را نیز تحت تاثیر قرار داد. اما ولتهای ذخیره سرد همواره از این نوع حملات در امان بودند. در سالهای گذشته حملات دیگری مثل هک برخی کیف پولها ازجمله پریتی ولت و برخی صرافی ها رخ داده که دلیل آنها به رویکرد پلتفرم در نگهداری داراییها (نحوه مدیریت کلید خصوصی) برمیگردد و البته باعث شد پلتفرمها با توجه به شگردهای هکرها، موارد امنیتی بیشتری را رعایت کنند. در هر صورت، رعایت نکاتی در مورد امنیت دارایی صرافیها و پلتفرمها که به آن اشاره شد، میتواند امکان دسترسی به دارایی از طریق هک را به صفر نزدیک کند.
نهادهای قضایی دنیا چقدر میتوانند سرقتهایی از این دست را پیگیری کنند و یا داراییهای از دست رفته را بازگردانند؟
در کشورهای مختلف سیاست های متفاوتی در قبال رمزارزها و به تبع آن کلاهبرداریها و سرقتهای احتمالی این حوزه به کار گرفته شده است. برخی کشورها به کلی فعالیت در این حوزه را ممنوع کردند که با توجه به توسعه این صنعت، بعضا مجبور به عقبنشینی از این سیاست شدند. کشورهایی نیز با تدوین قوانین مربوط به حوزه رمزارز، در راستای نظارت بر فعالیتها، پیگیری قضایی موارد پانزی، رصد و پیگیری موارد جدید کلاهبرداری و… اقدام کرده اند.
در کشور آمریکا آژانس های دولتی با تحقیق و بررسی و دریافت گزارشهای کلاهبرداری و رسیدگی به آنها، پرونده ها را به نهاد قضایی ارجاع می دهند و از فعالیت های غیرقانونی جلوگیری می کنند و به افشاگران موارد پانزی نیز جایزه میدهند.
در مجموع، رگولاتوری مناسب و نظارت مداوم و استفاده از پتانسیل بخش خصوصی خوشنام، هم به جلوگیری از فعالیتهای غیرقانونی کمک میکند و هم امکان پیگیری قضایی و حقوقی موارد کلاهبرداری و سرقت رمزارزی را فراهم میکند. خلاء قانونی بهترین فرصت برای کلاهبرداران در این زمینه است.
در کشورهایی که در راستای تنظیم گری و قانونگذاری حوزه رمزارز اقداماتی کردهاند، زیرساخت و منابع انسانی متخصص برای رصد و گزارش دهی، شناسایی و اقدام قضایی ایجاد شده است و همین زیرساخت، بستر را برای پروژههای پانزی و کلاهبرداری از بین میبرد یا حداقل کار را برای آنها سخت میکند. از طرفی علاوه بر رگولاتوری دولت، خودتنظیمگری بخش خصوصی نیز، امکان سرقت و به خطر افتادن دارایی کاربران را بهطور چشمگیری کاهش میدهد.