رسانه رمزارز (ضمیمه هفتهنامه کارنگ) دارای مجوز به شماره ۸۷۷۲۰ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «کارخانه نوآوری رسانه راهکار» است. رسانه رمزارز فعالیت خود را از ۲۸ آذرماه ۱۴۰۰ شروع کرده و اکنون تاثیرگذارترین و اثربخشترین رسانه اکوسیستم بلاکچین، رمزارز و دارایی دیجیتال ایران است.
با پیشرفت در حوزه رمزارزها و درگیری بیشتر مردم با این بازار مالی، کمکم مشکلات نیز یکی پس از دیگری خود را نشان میدهند. یکی از اتفاقاتی که این روزها کاربران را نگران کرده، هکشدن چند پروژه رمزارزی و ازدسترفتن بخشی از سرمایه کاربران، آن هم به فاصله کمی از یکدیگر بوده است. به همین دلیل به سراغ پارسا شعبانی، مدیر تیم زیرساخت و امنیت هلدینگ نیکاندیش رفتیم تا توضیح دهد که از بعد فنی کاربران تا چه میزان میتوانند از بروز این اتفاق برای خود جلوگیری کنند و نقش صرافیها و کسبوکارهای رمزارزی در حفظ امنیت کاربران چیست.
کارشناسان میگویند کیف پولهای گرم و سختافزاری بالاترین امنیت را برای ذخیرهسازی دارند. البته این بستگی به نیاز و انتخاب کاربران دارد که قصد دارند به چه صورت توکن و دارایی خود را ذخیره کنند. اگر میخواهند بهصورت بلندمدت ذخیره کنند، بهتر است که از کیف پولهای سرد یا سختافزاری استفاده کنند، اما اگر بازه کوتاهمدتی را برای ذخیره در نظر گرفتهاند، یا بهزودی میخواهند خریدوفروش کنند یا دارایی را انتقال دهند، میتوانند از کیف پولهای گرم استفاده کنند، ولی معمولاً بهترین روش نگهداری، کیف پولهای ثابت یا سختافزاری هستند.
کارشناسان امنیت مدام تاکید میکنند کاربران باید صرافیهایی را انتخاب کنند که از امنیت بالایی برخوردار و پشتوانه محکمی داشته و از لحاظ احراز هویت و پولشویی هم مطمئن باشند. موضوع کیف پولهای شخصی و رعایت موارد ایمنی از سوی کاربران این روزها بیش از همیشه مهم شده است. جدیگرفتن مراقبت از کلید خصوصی کیف پولها و قرار ندادن آن در اختیار اشخاص دیگر، نگهداری داراییهای دیجیتال در کیف پولهای سرد و سختافزاری در صورت زیاد بودن آنها و نگهداری برای بلندمدت، احتیاط در مورد بدافزارها و اپلیکیشنهای نامعتبر و مخرب و دانلود نرمافزارهای مورد نیاز از منابع معتبر، انتخاب رمزهای پیچیده و دارای امنیت بالا برای حسابهای کاربری و فعالکردن تأیید هویت دومرحلهای برای حساب و… مواردی است که برای دوری از زیانهای ناشی از هک پروژهها و حتی هکهای شخصی کلیدی به نظر میرسند. تلاش کردهایم در گفتوگوی پیش رو مهمترین بایدها و نبایدهای این حوزه را با کاربران رمزارز در میان بگذاریم.
این روزها یکی از نگرانیهای کاربران در دنیای رمزارزها موضوع هک و سرقت داراییهاست؛ مهمترین منشاء چنین اتفاقاتی چیست و معمولاً چه پروژههایی بیشتر درگیر چنین معضلی میشوند؟
موضوع هک و سرقت دارایی رمزارز باید از دو جهت بررسی شود؛ یک بخش مربوط به رعایت نکات امنیتی است که از سمت کاربر باید بررسی و بخش دیگر مربوط به تیم توسعه رمزارز است که باید به مواردی در خصوص آن توجه داشت.
کاربران باید به سراغ رمزارزهایی بروند که وایتپیپر و تیم توسعهدهنده مشخصی داشته باشند. باید شروع، آینده و سرمایه پروژه مشخص باشد. فرد قبل از اینکه اقدام به خرید یک رمزارز کند، باید این موارد را در نظر بگیرد؛ چراکه توجهنکردن به این مسائل به مشکل، هک و سرقت داراییها منجر میشود.
از طرف دیگر خود کاربر نیز باید قواعد امنیتی را رعایت کند. رعایت برخی مسائل، بهخصوص برای کسانی که در حوزه رمزارزها فعالیت میکنند، ضروری است. برای مثال کاربران باید از کیف پول سختافزاری استفاده کنند. یکی دیگر از قواعد امنیتی که کاربران باید رعایت کنند، انتخاب پسوردهای سخت و پیچیده است.
پروژههایی که تیم توسعه بادانش و متخصص و یک نقشهراه مدون و صحیح نداشته باشند و نتوانند از فناوریهای روز دنیا استفاده کنند، در اولین حمله ضربه میخورند. استفاده از یک تیم توسعه تخصصی و در اولویت قرار دادن تمام موارد امنیتی الزامی است، اما متأسفانه به علت افزایش پروژههای رمزارزی توجه به این موضوعات کمتر شده و بیشتر بهدنبال بالا آوردن پروژهها و مارکتینگ و جذب سرمایه هستند. این پروژهها به توان فنی تیم فکر نمیکنند، ریسکها را در نظر نمیگیرند و باگها را بررسی نمیکنند.
کاربران ایرانی در برابر چنین مواردی چقدر آسیبپذیر هستند و چه آموزشهایی نیاز دارند تا کمتر دچار خسارت شوند؟
کاربر ایرانی اگر بدون دانش کافی به سراغ صرافیهای خارجی برود در مقایسه با کاربری که به سراغ صرافیهای داخلی میرود، در معرض خطر بیشتری قرار دارد. خطر سرمایهگذاری کاربران ایرانی در صرافیهای خارجی تحریم است. اینکه چطور و از چه طریقی باید اقدام کنند و ریسک بلاک و شناساییشدن دارایی را پایین بیاورند، مهم است. استفاده از ابزارهایی بهمنظور دور زدن تحریم مفید است، اما نحوه استفاده از آنها نیز اهمیت دارد.
صرافیهای خارجی به شما توضیح نمیدهند که از کدام ویپیان یا ویرچوال ماشین استفاده کنید؛ بنابراین ما باید بهعنوان کاربری ایرانی بدانیم که از چه ابزاری استفاده کنیم تا تأثیرات تحریم و ریسک لو رفتن اطلاعاتمان را به حداقل برسانیم.
مهمترین اشتباهات کاربران که معمولاً هزینه آن را در چنین اتفاقاتی شاهد هستیم، چیست؟ چه موارد و توصیههایی را باید رعایت کرد تا کمتر این اتفاقات برای کاربران رخ دهد؟
کاربران حتماً اطلاعات حساب خود را در یک جای امن ذخیره کنند و به هیچعنوان آن اطلاعات را با شخص دیگری به اشتراک نگذارند، سرمایهگذاری روی توکنهای بدون پشتوانه را کنار بگذارند و سودای رسیدن به سودهای نجومی نداشته باشند. هر دستگاه متصل به اینترنت میتواند راه و پلی برای هکر باشد. رعایت نکات کوچک میتواند از فجایع بزرگ جلوگیری کند. همچنین بهروزرسانی سیستمعامل، مرورگر اصلی، اپلیکیشن موبایل و آنتیویروس را جدی بگیرند.
برای مثال سیستم شخصی به خاطر عدم استفاده از آنتیویروس و اتکا به آنتیویروس پیشفرض ویندوز دچار یک بدافزار شده بود. وقتی فرد آدرس کیف پول را کپی میکرد این بدافزار به یک سرور متصل میشد و آن سرور آدرس کیف پول هکر را جایگزین میکرد.
تمام صرافیهای معتبر این روزها کاربران خود را احراز هویت میکنند. مورد دیگری که کاربران باید به آن دقت کنند، نحوه ارائه اطلاعات هویتی است؛ بنابراین توصیه میشود کاربران مدارک خود را فقط از طریق کانالهای رسمی در اختیار صرافیها قرار دهند.
صرافیها و دیگر کسبوکارهای رمزارزی چه مواردی را باید در برابر تهدیداتی از این دست لحاظ کنند؟
بهتر است صرافیها در زمان ثبتنام کاربران تمام راههای کاربری را بهوضوح اعلام کنند تا کاربر بداند دقیقاً راه ارتباط با آن صرافی چیست و به کاربر تأکید کنند هر پیامی را که از هر روش دیگری به نام آن صرافی دریافت کردند، به منزله کلاهبرداری تلقی کنند. صرافیها باید آموزشهای لازم در این خصوص را در سایت خود قرار دهند، کاربر را از ظرفیت شبکههای اجتماعی آگاه کنند و تا حد ممکن نکات آموزشی از جنبه امنیتی را بهصورت کوتاه و خلاصه منتشر کنند تا کاربر آپدیت باشد.
اگر صرافی این کارها را انجام دهد، میتواند از مشکلات متعدد هم برای خود و هم برای کاربر جلوگیری کند. صرافیها باید موضوع امنیت را قبل از توسعه و پیشرفت کسبوکار در اولویت قرار دهند. مواردی مثل استفاده از هاتولت و کلدولت، شناسایی باگهای بلاکچین و تشکیل تیمهای واکنش سریع برای مواقع بحرانی از الزامات یک صرافی هستند. اعتماد کاربران بزرگترین سرمایه هر کسبوکاری، بهخصوص در حوزه کریپتو است.
صرافیها باید نهایت دقت را در ذخیرهسازی اطلاعات شخصی و مدارک هویتی داشته باشند. فناوریهای جدید و امنی برای ذخیرهسازی دیتا در فضای ابری به وجود آمده که حتی در صورت دسترسی به آن سرور دیتا قابل استخراج نخواهد بود. تیمهای توسعه صرافیها باید آپدیت باشند و بتوانند از این فناوریها استفاده کنند. در مجموع امنیت را در اولویت قرار دهند و پیش از هر چیزی روی امنیت سرمایهگذاری کنند.
مهمترین هکهایی که در چند سال گذشته اتفاق افتاده، چه بوده و چقدر به اعتبار این حوزه آسیب زدهاند؟
اولین و مهمترین هکی که در دنیای کریپتو اتفاق افتاد، مربوط به صرافی متگاکس بود. متگاکس یک صرافی ژاپنی بود که در سال ۲۰۱۰ تأسیس شد و در آن زمان۷۰ درصد تراکنشهای بیتکوین کل دنیا را مدیریت میکرد. متأسفانه این صرافی در سال ۲۰۱۴ هک شد و حدود ۴۷۰ میلیون دلار دارایی از دست رفت.
هک بعدی مربوط به صرافی کریپتوپیا است. هک کریپتوپیا در سال ۲۰۱۸ اتفاق افتاد، یعنی همان سالی که تبوتاب رشد داراییها بود. این هک ضربه سنگینی به جامعه کریپتو وارد کرد و هنوز هم این صرافی نتوانسته موجودی کاربران را برگرداند. این اتفاق میتواند اعتماد کاربران به بازار را کاهش دهد. هک شبکه رونین هم به از دست رفتن بیش از ۶۰۰ میلیون دلار شد.
هکهای بسیاری تابهحال رخ داده، اما نمیتوان گفت که این اتفاقات باعث سلبشدن اعتماد از کریپتو میشود. چون همهجا نظیر این اتفاقات میافتد، برای مثال از بانکها هم دزدی میشود، ولی مردم همچنان سپردههای خود را در بانک قرار میدهند، اما این اتفاقات به تیمهای توسعه و امنیتی پروژهها گوشزد میکند که بیشتر دقت کرده و از بدبینی نسبت به کریپتو پیشگیری کنند.
نهادهای قضایی دنیا چقدر میتوانند سرقتهایی از این دست را پیگیری کنند یا داراییهای ازدسترفته را بازگردانند؟
اینطور نیست که شبکه بلاکچین قابل پیگیری نباشد. شاید بین عموم جاافتاده باشد که در شبکه بلاکچین نمیتوان هیچ مبلغ و تراکنشی را پیگیری کرد. در دارکوب تمام معاملات در بستر بلاکچین و توسط پروژههای کریپتویی انجام میشود و نمیتوان گفت که قابل پیگیری نیستند. نهادها و تیمهایی وجود دارد که تراکنشهای رمزارزی را ردیابی میکنند.
سایفرتریس اولین تیم بلاکچین دنیا بود که حکم پزشکی قانونی بلاکچین را داشت. سایفرتریس تراکنشهای پرخطر را رصد میکرد. این مؤسسه در سال ۲۰۱۵ و برای محافظت از مؤسسات مالی در برابر خطرات پولشویی مجازی و دیگر خطرات مرتبط با حوزه کریپتو تأسیس شد. امروز این مؤسسه میتواند تراکنش بیش از ۸۰۰ رمزارز و شبکه بلاکچینی و کیفهای کریپتویی را ردیابی کند.