رسانه رمزارز (ضمیمه هفتهنامه کارنگ) دارای مجوز به شماره ۸۷۷۲۰ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «کارخانه نوآوری رسانه راهکار» است. رسانه رمزارز فعالیت خود را از ۲۸ آذرماه ۱۴۰۰ شروع کرده و اکنون تاثیرگذارترین و اثربخشترین رسانه اکوسیستم بلاکچین، رمزارز و دارایی دیجیتال ایران است.
با پیشرفت در حوزه رمزارزها و درگیری بیشتر مردم با این بازار مالی، کمکم مشکلات نیز یکی پس از دیگری خود را نشان میدهند. یکی از اتفاقاتی که این روزها کاربران را نگران کرده، هکشدن چند پروژه رمزارزی و ازدسترفتن بخشی از سرمایه کاربران، آن هم به فاصله کمی از یکدیگر بوده است. به همین دلیل به سراغ مدیر فنی رمزینکس و امیر رنجبر، مدیر عملیات نوبیتکس رفتیم تا توضیح دهد که از بعد فنی کاربران تا چه میزان میتوانند از بروز این اتفاق برای خود جلوگیری کنند و نقش صرافیها و کسبوکارهای رمزارزی در حفظ امنیت کاربران چیست.
کارشناسان میگویند کیف پولهای گرم و سختافزاری بالاترین امنیت را برای ذخیرهسازی دارند. البته این بستگی به نیاز و انتخاب کاربران دارد که قصد دارند به چه صورت توکن و دارایی خود را ذخیره کنند. اگر میخواهند بهصورت بلندمدت ذخیره کنند، بهتر است که از کیف پولهای سرد یا سختافزاری استفاده کنند، اما اگر بازه کوتاهمدتی را برای ذخیره در نظر گرفتهاند، یا بهزودی میخواهند خریدوفروش کنند یا دارایی را انتقال دهند، میتوانند از کیف پولهای گرم استفاده کنند، ولی معمولاً بهترین روش نگهداری، کیف پولهای ثابت یا سختافزاری هستند.
کارشناسان امنیت مدام تاکید میکنند کاربران باید صرافیهایی را انتخاب کنند که از امنیت بالایی برخوردار و پشتوانه محکمی داشته و از لحاظ احراز هویت و پولشویی هم مطمئن باشند. موضوع کیف پولهای شخصی و رعایت موارد ایمنی از سوی کاربران این روزها بیش از همیشه مهم شده است.
جدیگرفتن مراقبت از کلید خصوصی کیف پولها و قرار ندادن آن در اختیار اشخاص دیگر، نگهداری داراییهای دیجیتال در کیف پولهای سرد و سختافزاری در صورت زیاد بودن آنها و نگهداری برای بلندمدت، احتیاط در مورد بدافزارها و اپلیکیشنهای نامعتبر و مخرب و دانلود نرمافزارهای مورد نیاز از منابع معتبر، انتخاب رمزهای پیچیده و دارای امنیت بالا برای حسابهای کاربری و فعالکردن تأیید هویت دومرحلهای برای حساب و… مواردی است که برای دوری از زیانهای ناشی از هک پروژهها و حتی هکهای شخصی کلیدی به نظر میرسند. تلاش کردهایم در گفتوگوی پیش رو مهمترین بایدها و نبایدهای این حوزه را با کاربران رمزارز در میان بگذاریم.
سرقت داراییها و هک شدن پروژههای رمزارزی یکی از نگرانیهای این روزهای کاربران حوزه رمزارز است. منشاء این اتفاقات را چه میدانید و معمولاً چه پروژههایی بیشتر درگیر چنین معضلی میشوند؟
ممکن است کاربر تمام پروتکلهای امنیتی را رعایت کرده و پروژه معتبری را نیز برای سرمایهگذاری انتخاب کند، اما خود پلتفرم بالقوه تحت ریسک باشد. برای مثال اتفاقی که برای لونا افتاد؛ با اینکه آن پروژه نسبتاً خلاقانه بود و به مدت طولانی تحت استرستست توسط افراد خبره قرار گرفته بود، اما در نهایت مشخص شد که فرایند پویای کنترل عرضه/تقاضای توکنها در آن شبکه فینفسه مشکلزا بود.
بنابراین کاربران قبل از سرمایهگذاری روی ارزهای ناشناس یا ارزهایی که بهتازگی وارد اکوسیستم شدهاند، باید بررسی کافی داشته باشند. مهمترین راهکار برای جلوگیری از کلاهبرداری و فیشینگ و خودداری از سرمایهگذاری روی پروژههای بدون پشتوانه و همچنین نگهداری امن دارایی، این است که قبل از ورود به هر حوزهای، بهویژه حوزههای مالی، افراد فرایند کسب دانش را طی کنند و قبل از سرمایهگذاری، درباره آن پروژه تحقیق کرده باشند.
کاربران ایرانی باید چه کار کنند یا چه آموزشهایی ببینند که کمتر در معرض خسارات اینچنینی قرار گیرند؟
انتخاب بستر مناسب و مورد اعتماد برای معامله، استفاده از کیف پول سختافزاری، یا در صورت استفاده از کیف پول نرمافزاری، دقت در نگهداری کلمات بازیابی کیف پول، فعالسازی ورود دومرحلهای برای استفاده از پلتفرمهای رمزارزی، خودداری از ارائه رمز عبور به افراد غیر، خودداری از کلیک روی لینکهای مشکوک، عدم استفاده از رمز عبور یکسان برای حسابهای کاربری مختلف، استفاده از آنتیویروس مناسب و… مواردی است که کاربران باید به آنها دقت کنند.
همچنین کاربران باید توجه داشته باشند که چه برای ورود به پلتفرمها و چه برای ورود به کامپیوتر یا تلفن همراهشان که از طریق آن وارد صرافی میشوند، از رمز عبور مطمئن و سخت استفاده کنند و تلفن همراه یا کامپیوتر خود را در اختیار دیگران قرار ندهند. همچنین از کامپیوترهای محیطهای عمومی مانند کافینتها یا محل کار برای ورود به پلتفرمهای تبادل رمزارز استفاده نکنند.
کاربران ایرانی غیر از مواردی که به آنها اشاره شد، بحثهای مربوط به تحریم را نیز باید در نظر بگیرند. مسدود شدن حساب کاربران ایرانی در برخی پلتفرمهای خارجی، همچون بایننس، رهگیری تراکنشها و… ریسکهایی هستند که برای کاربران ایرانی در بازارهای مالی جهانی وجود دارد. انتقال تتر از طریق تترشیلد یا همان انتقال حفاظتشده تتر، یکی از راههای جلوگیری از شناسایی و ردیابی تراکنشهای تتری است که این امکان در نوبیتکس وجود دارد.
در رابطه با پلتفرمهای خارجی بسیاری از کاربران راهکارهایی را برای جلوگیری از شناسایی بهعنوان کاربر ایرانی و بهنوعی دور زدن تحریم انجام میدهند، اما این کار نیز ریسکهای خود را دارد. یکی از دلایلی که کاربران را به سمت استفاده از پلتفرمهای خارجی سوق میدهد، امکان معامله فیوچر است، اما بسیاری از کاربران در بازار فیوچر معامله نمیکنند؛ از این رو استفاده از پلتفرمهای بومی یا نگهداری دارایی در کیف پولهای شخصی میتواند ضریب امنیت بسیار بالاتری نسبت به نگهداری دارایی در پلتفرمهای خارجی داشته باشد.
مهمترین اشتباهات کاربران در این بخش چیست؟
انتخاب شبکه انتقال اشتباه، فراموشکردن کلمات بازیابی کیف پول، فریبخوردن از طریق سایتهای فیشینگ و سرمایهگذاری با مبالغ زیاد روی توکنها و رمزارزهای فاقد پشتوانه و سرمایهگذاری در پروژههای پانزی، بخشی از اشتباهاتی است که برخی کاربران نهفقط در ایران، بلکه در سراسر جهان مرتکب میشوند.
چه موارد و توصیههایی را باید رعایت کرد تا این اتفاقات کمتر برای کاربران رخ دهد؟
در رابطه با نگهداری داراییهای رمزارزی، نگهداری سرد شاید از حد توان یک کاربر معمولی فراتر باشد، اما استفاده از کیف پولهای نرمافزاری پرطرفدار مثل تراستولت نیز نیازمند داشتن دانش است. کوچکترین اشتباهی در این حوزه؛ از نحوه ذخیرهسازی کلمات بازیابی یا کلید خصوصی تا ارسال توکن اشتباه روی شبکه اشتباه یا به آدرس اشتباه، میتواند امنیت دارایی را تحت تأثیر قرار دهد. بحثهای مربوط به دقت در نگهداری کلمات کلیدی بازیابی کیف پول، خودداری از باز کردن لینکهای مشکوک، آگاهی از این مسئله که داراییشان را روی شبکه درست انتقال دهند و… مواردی است که کاربران باید در رابطه با آنها آموزش ببینند و دقت و اطلاعات کافی داشته باشند.
صرافیها و دیگر کسبوکارهای رمزارزی لازم است در این زمینه چه تمهیداتی بیندیشند؟
از آنجایی که سطح سیاستها و استانداردهای به کار گرفتهشده در صرافیها در ایران همسان نیست، به نظر میرسد در ابتدا باید یک استاندارد امنیتی در تمام سرفصلهای امنیتی شکل بگیرد و صرافیها، خود را با این استانداردها همسان کنند و در قبال آن هم به کاربر پاسخگو باشند.
نگهداری داراییها به شکل کاملاً سرد (cold storage) و ایمنبودن داراییها در برابر حملات، ساختار چندامضایی برای برداشت داراییهای صرافی و نبود امکان کلاهبرداری، استقرار سرورها در ایران، ذخیرهسازی همه اطلاعات مشتریان بهصورت رمزنگاریشده، ارزیابیهای مداوم و دورهای امنیتی، تغییر مداوم آدرس کیف پولها و… از جمله مواردی هستند که پلتفرمهای ایرانی برای افزایش ضریب امنیت پلتفرم و دارایی کاربران باید به کار بگیرند.
همچنین اجباریکردن شناسه دوعاملی برای ورود و برداشت از حساب، ارسال پیامک تأیید برداشت، جلوگیری از برداشت حجم بالا و تماس تصویری با کاربر برای اطمینان از اینکه خود کاربر اقدام به برداشت وجه کرده، ضریب امنیت دارایی کاربران را بالا میبرد. از سوی دیگر استفاده از امکان تترشیلد و لایتنینگ برای انتقال تتر و بیتکوین از دیگر امکاناتی است که پلتفرمها برای جلوگیری از رهگیری تراکنشهای رمزارزی باید در اختیار کاربران قرار دهند.
مهمترین هکهایی که در چند سال گذشته اتفاق افتاده، چه بوده و چقدر به اعتبار این حوزه آسیب زدهاند؟
هکهای متعددی در پلتفرمهای دیفای، بهخصوص پلتفرمهای وامدهی رمزارزها در سالهای اخیر رخ دادهاند، اما در حوزه سازوکار پلتفرمهای تبادل، یکی از موارد مهم، هک بایننس در سال 2019 بود که در آن هکرها با ترفندهای مختلف تلاش کرده بودند به کیف پولهای داغ این صرافی که تنها دو درصد داراییهای موجود در این پلتفرم بود، دسترسی پیدا کنند و در نهایت نیز هفت هزار بیتکوین از این صرافی به سرقت رفت. از این رو نگهداری سرد دارایی نکته بسیار حائز اهمیتی در امنیت دارایی در پلتفرمهای تبادل است.
اخیراً نیز شاهد هک کیف پولهای سولانا بودیم که بسیاری از ولتهای نرمافزاری معتبر را نیز تحت تأثیر قرار داد، اما ولتهای ذخیره سرد همواره از این نوع حملات در امان بودند. در سالهای گذشته حملات دیگری مثل هک برخی کیف پولها از جمله پریتیولت و برخی صرافیها رخ داده که دلیل آنها به رویکرد پلتفرم در نگهداری داراییها (نحوه مدیریت کلید خصوصی) برمیگردد و البته باعث شد پلتفرمها با توجه به شگردهای هکرها، موارد امنیتی بیشتری را رعایت کنند.
در هر صورت، رعایت نکاتی در مورد امنیت دارایی صرافیها و پلتفرمها که به آن اشاره شد، میتواند امکان دسترسی به دارایی از طریق هک را به صفر نزدیک کند. در کشورهای مختلف سیاستهای متفاوتی در قبال رمزارزها و به تبع آن کلاهبرداریها و سرقتهای احتمالی این حوزه به کار گرفته شده است.
برخی کشورها بهکلی فعالیت در این حوزه را ممنوع کردند که با توجه به توسعه این صنعت، بعضاً مجبور به عقبنشینی از این سیاست شدند. کشورهایی نیز با تدوین قوانین مربوط به حوزه رمزارز، در راستای نظارت بر فعالیتها، پیگیری قضایی موارد پانزی، رصد و پیگیری موارد جدید کلاهبرداری و… اقدام کردهاند.