رسانه رمزارز (ضمیمه هفتهنامه کارنگ) دارای مجوز به شماره ۸۷۷۲۰ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «کارخانه نوآوری رسانه راهکار» است. رسانه رمزارز فعالیت خود را از ۲۸ آذرماه ۱۴۰۰ شروع کرده و اکنون تاثیرگذارترین و اثربخشترین رسانه اکوسیستم بلاکچین، رمزارز و دارایی دیجیتال ایران است.
با پیشرفت در حوزه رمزارزها و درگیری بیشتر مردم با این بازار مالی، کمکم مشکلات نیز یکی پس از دیگری خود را نشان میدهند. یکی از اتفاقاتی که این روزها کاربران را نگران کرده، هکشدن چند پروژه رمزارزی و ازدسترفتن بخشی از سرمایه کاربران، آن هم به فاصله کمی از یکدیگر بوده است. به همین دلیل به محمدحسین کشاورز، مدیر فنی رمزینکس و رفتیم تا توضیح دهد که از بعد فنی کاربران تا چه میزان میتوانند از بروز این اتفاق برای خود جلوگیری کنند و نقش صرافیها و کسبوکارهای رمزارزی در حفظ امنیت کاربران چیست.
کارشناسان میگویند کیف پولهای گرم و سختافزاری بالاترین امنیت را برای ذخیرهسازی دارند. البته این بستگی به نیاز و انتخاب کاربران دارد که قصد دارند به چه صورت توکن و دارایی خود را ذخیره کنند. اگر میخواهند بهصورت بلندمدت ذخیره کنند، بهتر است که از کیف پولهای سرد یا سختافزاری استفاده کنند، اما اگر بازه کوتاهمدتی را برای ذخیره در نظر گرفتهاند، یا بهزودی میخواهند خریدوفروش کنند یا دارایی را انتقال دهند، میتوانند از کیف پولهای گرم استفاده کنند، ولی معمولاً بهترین روش نگهداری، کیف پولهای ثابت یا سختافزاری هستند.
کارشناسان امنیت مدام تاکید میکنند کاربران باید صرافیهایی را انتخاب کنند که از امنیت بالایی برخوردار و پشتوانه محکمی داشته و از لحاظ احراز هویت و پولشویی هم مطمئن باشند. موضوع کیف پولهای شخصی و رعایت موارد ایمنی از سوی کاربران این روزها بیش از همیشه مهم شده است. جدیگرفتن مراقبت از کلید خصوصی کیف پولها و قرار ندادن آن در اختیار اشخاص دیگر، نگهداری داراییهای دیجیتال در کیف پولهای سرد و سختافزاری در صورت زیاد بودن آنها و نگهداری برای بلندمدت، احتیاط در مورد بدافزارها و اپلیکیشنهای نامعتبر و مخرب و دانلود نرمافزارهای مورد نیاز از منابع معتبر، انتخاب رمزهای پیچیده و دارای امنیت بالا برای حسابهای کاربری و فعالکردن تأیید هویت دومرحلهای برای حساب و… مواردی است که برای دوری از زیانهای ناشی از هک پروژهها و حتی هکهای شخصی کلیدی به نظر میرسند. تلاش کردهایم در گفتوگوی پیش رو مهمترین بایدها و نبایدهای این حوزه را با کاربران رمزارز در میان بگذاریم.
چند وقتی است کاربران دنیای رمزارزها با موضوع هک و سرقت داراییها مواجه شدهاند؛ منشاء چنین اتفاقاتی چیست؟ کدام پروژهها بیشتر درگیر چنین معضلی میشوند؟
نکتهای که در حوزه فناوری بلاکچین وجود دارد این است که سرعت نوآوری و تغییرات آن زیاد است و تنظیمگری، بهخصوص در کشور ما کم است. تنوع و سرعت تغییرات راه را برای کلاهبرداران باز میکند تا پروژههای خود را بین پروژههای جدی جا بزنند. از طرفی در نبود رگولاتوری پروژهها مجبور نیستند استانداردهای امنیتی و مدیریت ریسک رایج در محیط مالی را رعایت کنند و همین امر به ریسکهای امنیتی و مالی بیشتری منجر میشود.
به نظر من ریشه مشکلات امنیتی همین عدم وجود رگولاتوری است. بخشی از این موضوع البته هزینهای است که برای بهرهمند شدن از مزایای نوآوری میپردازیم و بخش دیگر هم کمتر بودن سرعت نهادهای تنظیمگر نسبت به فعالان این حوزه مرتبط است، اما به نظر من با در نظر گرفتن این موارد نیز در تنظیمگری این حوزه از نقطه بهینه بسیار عقب هستیم.
در مورد پروژههای پرریسکتر اگر به پیشینه نگاه کنیم، متوجه میشویم هر نوع پروژهای، در هر اندازه و با هر سابقهای دچار مشکل شده است. برای مثال هک صرافی متگاکس که سهم ۷۰درصدی از بازار داشت، به ازدسترفتن دارایی بسیاری از مردم منجر شد. حتی خود پروژه اتریوم به خاطر یک آسیبپذیری مجبور شد برای برگرداندن دارایی کاربران هاردفورک انجام دهد.
اما به هر حال سیستمهایی که زمان طولانیتری در بازار بودهاند و ابعاد بزرگتری دارند، معمولاً مورد اعتماد کاربران بیشتری هستند. چون ایرادات اساسی این سیستمها در بیشتر موارد پیدا و برطرف شدهاند. در مورد سیستمهایی که سرمایههای بزرگتری دارند و زمان بیشتری در بازار دوام آوردهاند، میتوان گفت که خود بازار تا حدی نقش رگولاتور را ایفا کرده، اما بین پروژههای کوچک اسکمهای بیشتری وجود دارد.
آیا کاربران ایرانی در برابر این موارد آسیبپذیر هستند یا مشکل جهانی است؟ چه آموزشهایی نیاز است تا خسارات وارده کاهش یابد؟
تمام کاربران دنیا با مشکلاتی در این حوزه مواجه هستند، اما کاربران ایرانی علاوه بر مشکلات معمول متحمل ریسکهای بیشتری هستند. موضوعی که به بسیاری از کاربران ایرانی آسیب زده، قوانین مربوط به تحریم و قوانین پولشویی بینالمللی است. در اثر این قوانین داراییهای کاربران ایرانی در صرافیهای بینالمللی معمولاً در معرض بلوکهشدن قرار دارند.
از طرفی قطع دسترسی از پلتفرمهای ساده و معتبر، به هدایت کاربران به پلتفرمهای پرریسکتر، منجر میشود و خطرات فعالیت در این حوزه را برای آنها افزایش میدهد. ممکن است کاربران ایرانی به دکسها مراجعه کنند و عدم آشنایی با جزئیات فنی و ریسکهای مخصوص به این صرافیها، به متضرر شدن آنها میانجامد. در محیط داخلی هم با توجه به اینکه نسبت به سایر دنیا در زمینه تنظیمگری عقب هستیم، کاربران ما نسبت به کاربرانی که در محیط رگولهشده فعالیت میکنند، بیشتر در معرض خطر و تهدید قرار دارند.
مهمترین اشتباهات کاربران در این میان کداماند؟
من چند مورد را که با تجربه ما برای کاربران بیشتر مشکلساز بوده، عنوان میکنم. کاربران در نقلوانتقالات باید دقت زیادی داشته باشند؛ برای مثال آدرسها را درست وارد کرده، شبکه درست را انتخاب کنند و به تگ و مموی آدرسها دقت داشته باشند. اگر کاربران در صرافیهای خارجی فعالیت میکنند، به تغییر آیپی و فعالیتهای مشکوک دقت کنند تا ریسک بلوکهشدن داراییهای خود را کمینه کنند. صرافیهایی که کاربران ایرانی با پاسپورت ایرانی را میپذیرند، ممکن است زمانی بگویند که دولت آمریکا آنها را مجبور به بستن حسابها کرده است؛ بنابراین به ریسکهای مشابه توجه کنند و تمام دارایی خود را در این صرافیها ذخیره نکنند.
بهطور کلی توصیه امنیتی من این است که اگر کاربران قصد خریدوفروش و سرمایهگذاری طولانیمدت ندارند، با ملاحظات امنیتی نگهداشتن داراییها آشنا شوند و داراییهای خود را روی صرافیها؛ چه ایرانی و چه خارجی نگه ندارند. داراییها را روی کیف پولهای خود نگه دارند، ولی ریسکهای امنیتی و راهحلهای آنها را بدانند. برای مثال رمز دسترسی و بازیابی کیف پول خود را در جای امنی نگهداری کنند، البته این رمز را بهصورت متن بدون کدگذاری نگهداری نکنند.
برای مدیریت ریسکهای مالی که البته مخصوص به حوزه بلاکچین هم نیستند، بهصورت ویژه از بازارهای کوچکتر و از اعتماد به دادههایی که از کانالهای ناشناس دریافت میکنند، بپرهیزند.
صرافیها و دیگر کسبوکارهای رمزارزی چه مواردی را باید در برابر این تهدیدات در نظر بگیرند؟
سرمایه اصلی هر صرافی، اعتماد کاربران است و معتقدم که توجه ویژهای به امنیت کاربران داشت. صرافی ما مجموعهای از اقدامات بلاکچینی و امنیت نرمافزاری را برای مقابله با این تهدیدات انجام داده است. بهجز اقدامات عمومی در حوزه امنیت نرمافزار، با مدلسازی تهدیدات موجود و درسگرفتن از اتفاقاتی که برای دیگر صرافیها رخ داده؛ برای بهبود امنیت مدل نگهداری از داراییهای کاربران و عملیات رمزارزی در صرافی را طراحی کردهایم. یکی از کارهایی که برای پیشگیری انجام دادهایم، ذخیرهسازی سرد است تا اگر به هر علتی سیستمهای نرمافزاری مورد نفوذ قرار گرفتند، دارایی کاربران در معرض خطر قرار نگیرد.
مسئله دیگر رعایت استانداردهای فنی امنیتی مخصوص نهادهای مالی است. برای نهادهای حوزه مالی مثل بانک و بورس استانداردهای امنیتی فنی داخلی و بینالمللی منتشر شده است. در حوزه رمزارزها، تنظیمگری که صرافیها را مجبور به رعایت این استانداردها کند، وجود ندارد، ولی ما بر اساس استانداردهای حوزههای دیگر عمل میکنیم و این استانداردها را در فرایندهای فنی به کار میگیریم. علاوه بر این از سیستم آزمونهای نفوذ دورهای بهره میبریم و از آدیتورهای خارجی برای بررسی امنیت استفاده میکنیم.
مهمترین هکهایی که در چند سال گذشته اتفاق افتاده، چه بوده و چقدر به اعتبار این حوزه آسیب زدهاند؟
متگاکس اتفاق بزرگی بود و اثر خود را روی قیمت رمزارز گذاشت و در آن زمان به بیاعتمادی مردم منجر شد. در مورد کاربران ایرانی اتفاقاتی که در bitrex رخ داد، باعث شد دارایی کاربران زیادی از دسترس خارج شود. این اتفاقات هرچقدر بزرگتر باشند، تأثیر بیشتری روی اعتماد کاربران میگذارند. در اینجا نیاز به رگولاتوری پررنگتر میشود؛ چراکه اگر کسی در این حوزه اشتباه کند، همه مجموعههای مشابه را تحت تأثیر قرار میدهد.
غیر از ریسکهای فنی، ریسکهای مالی و مکانیسمی نیز به ایجاد مشکل و بیاعتمادی مردم منجر شدهاند. برای مثال اتفاقی که برای لونا افتاد، به این حوزه آسیب وارد کرد.
آیا نهادهای قضایی دنیا میتوانند در پیگیری این سرقتها یا بازگرداندن داراییهای ازدسترفته اثرگذار باشند؟
از چند جهت میتوان این مسئله را بررسی کرد. هدف برخی از پروژههای بلاکچینی این است که غیر قابل رهگیری باشند. پس در سطحی ممکن است به علت عدم وجود اطلاعات کافی، امکان پیگیری قضایی وجود نداشته باشد. در سطح دیگر، اگر امکان پیگیری هم وجود داشته باشد و در حوزه قضایی ایران نباشد، ممکن است کاربران ایرانی نتوانند از این امکان بهرهمند شوند؛ زیرا بر اساس قوانین پولشویی بینالمللی کاربران ایرانی نباید معامله کنند و حق پیگیری هم ندارند. بهطور کلی در بیشتر موارد بلاکچینی، حتی در داخل کشور هم نمیتوان برای پیگیری به سیستم قضایی اتکا کرد. اگر قوانین در این حوزه بهروز شوند، احتمالاً بر این موضوع مؤثر خواهند بود.