چطور مراقب دارایی رمزارزی خود باشیم؟

کارشناسان هلدینگ نیک‌اندیش، صرافی رمزینکس و صرافی نوبیتکس به بررسی موضوع هک‌های رمزارزی و اولویت‌های امنیتی پرداخته‌اند

نویسنده: راه پرداخت در تاریخ 19 شهریور سال 1401 ساعت 9:00 0

با پیشرفت در حوزه رمزارزها و درگیری بیشتر مردم با این بازار مالی، کم‌کم مشکلات نیز یکی پس از دیگری خود را نشان می‌دهند. یکی از اتفاقاتی که این روزها کاربران را نگران کرده، هک‌شدن چند پروژه رمزارزی و از‌دست‌رفتن بخشی از سرمایه کاربران، آن هم به فاصله کمی از یکدیگر بوده است. به همین دلیل سراغ پارسا شعبانی، مدیر تیم زیرساخت و امنیت هلدینگ نیک‌اندیش؛ محمدحسین کشاورز، مدیر فنی رمزینکس و امیر رنجبر، مدیر عملیات نوبیتکس رفتیم تا توضیح دهند که از بعد فنی کاربران تا چه میزان می‌توانند از بروز این اتفاق برای خود جلوگیری کنند و نقش صرافی‌ها و کسب‌و‌کارهای رمزارزی در حفظ امنیت کاربران چقدر است.

اعتماد کاربران بزرگترین سرمایه هر کسب‌وکاری است

این روزها یکی از نگرانی‌های کاربران در دنیای رمزارزها موضوع هک و سرقت دارایی‌هاست؛ مهم‌ترین منشاء چنین اتفاقاتی چیست و معمولاً چه پروژه‌هایی بیشتر درگیر چنین معضلی می‌شوند؟

پارسا شعبانی، مدیر تیم زیرساخت و امنیت هلدینگ نیک‌اندیش: موضوع هک و سرقت دارایی رمزارز باید از دو جهت بررسی شود؛ یک بخش مربوط به رعایت نکات امنیتی است که از سمت کاربر باید بررسی شود و بخش دیگر مربوط به تیم توسعه رمزارز است که باید به مواردی در خصوص آن توجه داشت.

کاربران باید سراغ رمزارزهایی بروند که وایت‌پیپر و تیم توسعه‌دهنده مشخصی داشته باشند. باید شروع، آینده و سرمایه پروژه مشخص‌ باشد. فرد قبل از اینکه اقدام به خرید یک رمزارز کند، باید این موارد را در نظر بگیرد؛ چراکه توجه‌نکردن به این مسائل به مشکل، هک و سرقت دارایی‌ها منجر می‌شود.

از طرف دیگر خود کاربر نیز باید قواعد امنیتی را رعایت کند. رعایت برخی مسائل، به‌خصوص برای کسانی که در حوزه رمزارزها فعالیت می‌کنند، ضروری است. برای مثال کاربران باید از کیف پول سخت‌افزاری استفاده کنند. یکی دیگر از قواعد امنیتی که کاربران باید رعایت کنند، انتخاب پسوردهای سخت و پیچیده است.

افزون بر این، استفاده از آنتی‌ویروس معتبر و آپدیت موضوع بسیار مهمی است. هر دستگاهی که به هر طریقی به اینترنت متصل است، در معرض خطر قرار دارد. باید به اینکه وارد چه سایت‌هایی می‌شوید و چه برنامه‌هایی را نصب می‌کنید، توجه داشته باشید. مسئله دیگر این است که کاربران به‌ هیچ‌عنوان نباید کلیدهای خصوصی و جزئیات حساب‌ها را به شخص دیگری ارائه بدهند.

پروژه‌هایی که تیم توسعه بادانش و متخصص و یک نقشه‌راه مدون و صحیح نداشته باشند و نتوانند از فناوری‌های روز دنیا استفاده کنند، در اولین حمله ضربه می‌خورند. استفاده از یک تیم توسعه تخصصی و در اولویت قرار دادن تمام موارد امنیتی الزامی است، اما متأسفانه به علت افزایش پروژه‌های رمزارزی توجه به این موضوعات کمتر شده و بیشتر به‌دنبال بالا آوردن پروژه‌ها و مارکتینگ و جذب سرمایه هستند. این پروژه‌ها به توان فنی تیم فکر نمی‌کنند، ریسک‌ها را در نظر نمی‌گیرند و باگ‌ها را بررسی نمی‌کنند.

کاربران ایرانی در برابر چنین مواردی چقدر آسیب‌پذیر هستند و چه آموزش‌هایی نیاز دارند تا کمتر دچار خسارت شوند؟

کاربر ایرانی اگر بدون دانش کافی سراغ صرافی‌های خارجی برود در مقایسه با کاربری که سراغ صرافی‌های داخلی می‌رود، در معرض خطر بیشتری قرار دارد. خطر سرمایه‌گذاری کاربران ایرانی در صرافی‌های خارجی تحریم است. اینکه چطور و از چه طریقی باید اقدام کنند و ریسک بلاک و شناسایی‌شدن دارایی را پایین بیاورند، مهم است. استفاده از ابزارهایی به‌منظور دور زدن تحریم مفید است، اما نحوه استفاده از آنها نیز اهمیت دارد.

صرافی‌های خارجی به شما توضیح نمی‌دهند که از کدام وی‌پی‌ان یا ویرچوال ماشین استفاده کنید؛ بنابراین ما باید به‌عنوان کاربری ایرانی بدانیم از چه ابزاری استفاده کنیم تا تأثیرات تحریم و ریسک لو رفتن اطلاعات‌مان را به حداقل برسانیم. استفاده از صرافی معتبر داخلی حداقل این دست از ریسک‌ها را به همراه ندارد. البته ما پیشنهاد می‌دهیم که هیچ‌ کس بدون آگاهی و دانش کافی با هیچ مقدار سرمایه‌ای وارد بازار نشود.

مهم‌ترین اشتباهات کاربران که معمولاً هزینه آن را در چنین اتفاقاتی شاهد هستیم، چیست؟ چه موارد و توصیه‌هایی را باید رعایت کرد تا این اتفاقات برای کاربران کمتر رخ دهد؟

کاربران حتماً اطلاعات حساب خود را در یک جای امن ذخیره کنند و به ‌هیچ‌عنوان آن اطلاعات را با شخص دیگری به اشتراک نگذارند، سرمایه‌گذاری روی توکن‌های بدون پشتوانه را کنار بگذارند و سودای رسیدن به سودهای نجومی نداشته باشند. هر دستگاه متصل به اینترنت می‌تواند راه و پلی برای هکر باشد. رعایت نکات کوچک می‌تواند از فجایع بزرگ جلوگیری کند. همچنین به‌روزرسانی سیستم‌عامل، مرورگر اصلی، اپلیکیشن موبایل و آنتی‌ویروس را جدی بگیرند.

برای مثال سیستم شخصی به خاطر عدم استفاده از آنتی‌ویروس و اتکا به آنتی‌ویروس پیش‌فرض ویندوز دچار یک بدافزار شده بود. وقتی‌ فرد آدرس کیف پول را کپی می‌کرد این بدافزار به یک سرور متصل می‌شد و آن سرور آدرس کیف پول هکر را جایگزین می‌کرد.

تمام صرافی‌های معتبر این روزها کاربران خود را احراز هویت می‌کنند. مورد دیگری که کاربران باید به آن دقت کنند، نحوه ارائه اطلاعات هویتی است؛ بنابراین توصیه می‌شود کاربران مدارک خود را فقط از طریق کانال‌های رسمی در اختیار صرافی‌ها قرار دهند.

صرافی‌ها و دیگر کسب‌وکارهای رمزارزی چه مواردی را باید در برابر تهدیداتی از این ‌دست لحاظ کنند؟

بهتر است صرافی‌ها در زمان ثبت‌نام کاربران تمام راه‌های کاربری را به‌وضوح اعلام کنند تا کاربر بداند دقیقاً راه ارتباط با آن صرافی چیست و به کاربر تأکید کنند هر پیامی را که از هر روش دیگری به نام آن صرافی دریافت کردند، به ‌منزله کلاهبرداری تلقی کنند. صرافی‌ها باید آموزش‌های لازم در این خصوص را در سایت خود قرار دهند، کاربر را از ظرفیت شبکه‌های اجتماعی آگاه کنند و تا حد ممکن نکات آموزشی از جنبه امنیتی را به‌صورت کوتاه و خلاصه منتشر کنند تا کاربر آپدیت باشد. اگر صرافی این کارها را انجام دهد، می‌تواند از مشکلات متعدد هم برای خود و هم برای کاربر جلوگیری کند.

صرافی‌ها باید موضوع امنیت را قبل از توسعه و پیشرفت کسب‌وکار در اولویت قرار دهند. مواردی مثل استفاده از هات‌ولت و کلدولت، شناسایی باگ‌های بلاکچین و تشکیل تیم‌های واکنش سریع برای مواقع بحرانی از الزامات یک صرافی هستند. اعتماد کاربران بزرگ‌ترین سرمایه هر کسب‌وکاری، به‌خصوص در حوزه کریپتو است.

صرافی‌ها باید نهایت دقت را در ذخیره‌سازی اطلاعات شخصی و مدارک هویتی داشته باشند. فناوری‌های جدید و امنی برای ذخیره‌سازی دیتا در فضای ابری به وجود آمده که حتی در صورت دسترسی به آن سرور دیتا قابل ‌استخراج نخواهد بود. تیم‌های توسعه صرافی‌ها باید آپدیت باشند و بتوانند از این فناوری‌ها استفاده کنند. در مجموع امنیت را در اولویت قرار دهند و پیش از هر چیزی روی امنیت سرمایه‌گذاری کنند.

مهم‌ترین هک‌هایی که در چند سال گذشته اتفاق افتاده، چه بوده و چقدر به اعتبار این حوزه آسیب ‌زده‌اند؟

اولین و مهم‌ترین هکی که در دنیای کریپتو اتفاق افتاد، مربوط به صرافی مت‌گاکس بود. مت‌گاکس یک صرافی ژاپنی بود که در سال ۲۰۱۰ تأسیس شد و در آن زمان۷۰ درصد تراکنش‌های بیت‌کوین کل دنیا را مدیریت می‌کرد. متأسفانه این صرافی در سال ۲۰۱۴ هک شد و حدود ۴۷۰ میلیون دلار دارایی از دست رفت.

هک بعدی مربوط به صرافی کریپتوپیاست. هک کریپتوپیا در سال ۲۰۱۸ اتفاق افتاد، یعنی همان سالی که تب‌وتاب رشد دارایی‌ها بود. این هک ضربه سنگینی به جامعه کریپتو وارد کرد و هنوز هم این صرافی نتوانسته موجودی کاربران را برگرداند. این اتفاق می‌تواند اعتماد کاربران به بازار را کاهش دهد.

هک شبکه رونین هم به از دست رفتن بیش از ۶۰۰ میلیون دلار منجر شد.

هک‌های بسیاری تا به‌ حال رخ‌ داده، اما نمی‌توان گفت که این اتفاقات باعث سلب‌شدن اعتماد از کریپتو می‌شود. چون همه‌جا نظیر این اتفاقات می‌افتد، برای مثال از بانک‌ها هم دزدی می‌شود، ولی مردم همچنان سپرده‌های خود را در بانک قرار می‌دهند، اما این اتفاقات به تیم‌های توسعه و امنیتی پروژه‌ها گوشزد می‌کند بیشتر دقت کرده و از بدبینی نسبت به کریپتو پیشگیری کنند.

نهادهای قضایی دنیا چقدر می‌توانند سرقت‌هایی از این ‌دست را پیگیری کنند یا دارایی‌های ازدست‌رفته را بازگردانند؟

این‌طور نیست که شبکه بلاکچین قابل ‌پیگیری نباشد. شاید بین عموم جاافتاده باشد که در شبکه بلاکچین نمی‌توان هیچ مبلغ و تراکنشی را پیگیری کرد. در دارک‌وب تمام معاملات در بستر بلاکچین و توسط پروژه‌های کریپتویی انجام می‌شود و نمی‌توان گفت که قابل ‌پیگیری نیستند. نهادها و تیم‌هایی وجود دارد که تراکنش‌های رمزارزی را ردیابی می‌کنند. سایفرتریس اولین تیم بلاکچین دنیا بود که حکم پزشکی قانونی بلاکچین را داشت. سایفرتریس تراکنش‌های پرخطر را رصد می‌کرد. این مؤسسه در سال ۲۰۱۵ و برای محافظت از مؤسسات مالی در برابر خطرات پول‌شویی مجازی و دیگر خطرات مرتبط با حوزه کریپتو تأسیس شد. امروز این مؤسسه می‌تواند تراکنش بیش از ۸۰۰ رمزارز و شبکه بلاکچینی و کیف‌های کریپتویی را ردیابی کند.

جدیداً پروژه‌ای به نام LLS شروع به کار کرده که لایه جدیدی در اهمیت موضوع تراکنش‌ها محسوب می‌شود. LLS امکان شناسایی هک،‌‌ مسدود کردن تراکنش‌های مخرب و بازگرداندن وجوه دزدیده‌شده به صاحب واقعی را فراهم می‌آورد.

ریشه مشکلات امنیتی عدم وجود رگولاتوری است

چند وقتی است کاربران دنیای رمزارزها با موضوع هک و سرقت دارایی‌ها مواجه شده‌اند؛ منشاء چنین اتفاقاتی چیست؟ کدام پروژه‌ها بیشتر درگیر چنین معضلی می‌شوند؟

محمدحسین کشاورز، مدیر فنی رمزینکس: نکته‌ای که در حوزه فناوری بلاکچین وجود دارد این است که سرعت نوآوری و تغییرات آن زیاد است و تنظیم‌گری، به‌خصوص در کشور ما کم است. تنوع و سرعت تغییرات راه را برای کلاهبرداران باز می‌کند تا پروژه‌های خود را بین پروژه‌های جدی جا بزنند. از طرفی در نبود رگولاتوری پروژه‌ها مجبور نیستند استانداردهای امنیتی و مدیریت ریسک رایج در محیط مالی را رعایت کنند و همین امر به ریسک‌های امنیتی و مالی بیشتری منجر می‌شود. به نظر من ریشه مشکلات امنیتی همین عدم وجود رگولاتوری است. بخشی از این موضوع البته هزینه‌ای است که برای بهره‌مند شدن از مزایای نوآوری می‌پردازیم و بخش دیگر هم به کمتر بودن سرعت نهادهای تنظیم‌گر نسبت به فعالان این حوزه مرتبط است، اما به نظر من با در نظر گرفتن این موارد نیز در تنظیم‌گری این حوزه از نقطه بهینه بسیار عقب‌ هستیم.

در مورد پروژه‌های پرریسک‌تر اگر به پیشینه نگاه کنیم، متوجه می‌شویم هر نوع پروژه‌ای، در هر اندازه و با هر سابقه‌ای دچار مشکل شده است. برای مثال هک صرافی مت‌گاکس که سهم ۷۰درصدی از بازار داشت، به ازدست‌رفتن دارایی بسیاری از مردم منجر شد. حتی خود پروژه اتریوم به ‌خاطر یک آسیب‌پذیری مجبور شد برای برگرداندن دارایی کاربران هاردفورک انجام دهد. اما به ‌هر حال سیستم‌هایی که زمان طولانی‌تری در بازار بوده‌اند و ابعاد بزرگتری دارند، معمولاً مورد اعتماد کاربران بیشتری هستند. چون ایرادات اساسی این سیستم‌ها در بیشتر موارد پیدا و برطرف شده‌اند. در مورد سیستم‌هایی که سرمایه‌های بزرگ‌تری دارند و زمان بیشتری در بازار دوام آورده‌اند، می‌توان گفت که خود بازار تا حدی نقش رگولاتور را ایفا کرده، اما بین پروژه‌های کوچک اسکم‌های بیشتری وجود دارد.

آیا کاربران ایرانی در برابر این موارد آسیب‌پذیر هستند یا مشکل جهانی است؟ چه آموزش‌هایی نیاز است تا خسارات وارده کاهش یابد؟

تمام کاربران دنیا با مشکلاتی در این حوزه مواجه هستند، اما کاربران ایرانی علاوه بر مشکلات معمول، متحمل ریسک‌های بیشتری هستند. موضوعی که به بسیاری از کاربران ایرانی آسیب‌ زده، قوانین مربوط به تحریم و قوانین پولشویی بین‌المللی است. در اثر این قوانین دارایی‌های کاربران ایرانی در صرافی‌های بین‌المللی معمولاً در معرض بلوکه‌شدن قرار دارند. از طرفی قطع دسترسی از پلتفرم‌های ساده و معتبر، به هدایت کاربران به پلتفرم‌های پر‌ریسک‌تر منجر می‌شود و خطرات فعالیت در این حوزه را برای آنها افزایش می‌دهد. ممکن است کاربران ایرانی به دکس‌ها مراجعه کنند و عدم آشنایی با جزئیات فنی و ریسک‌های مخصوص این صرافی‌ها، به متضرر شدن آنها بینجامد.

در محیط داخلی هم با توجه‌ به اینکه نسبت به سایر دنیا در زمینه تنظیم‌گری عقب هستیم، کاربران ما نسبت به کاربرانی که در محیط رگوله‌شده فعالیت می‌کنند، بیشتر در معرض خطر و تهدید قرار دارند.

مهم‌ترین اشتباهات کاربران در این میان کدام‌اند؟

من چند مورد را که با تجربه ما برای کاربران بیشتر مشکل‌ساز بوده، عنوان می‌کنم. کاربران در نقل‌وانتقالات باید دقت زیادی داشته باشند؛ برای مثال آدرس‌ها را درست وارد کرده، شبکه درست را انتخاب کنند و به تگ و مموی آدرس‌ها دقت داشته باشند. اگر کاربران در صرافی‌های خارجی فعالیت می‌کنند، به تغییر آی‌پی و فعالیت‌های مشکوک دقت کنند تا ریسک بلوکه‌شدن دارایی‌های خود را کمینه کنند. صرافی‌هایی که کاربران ایرانی با پاسپورت ایرانی را می‌پذیرند، ممکن است زمانی بگویند که دولت آمریکا آنها را مجبور به بستن حساب‌ها کرده است؛ بنابراین به ریسک‌های مشابه توجه کنند و تمام دارایی خود را در این صرافی‌ها ذخیره نکنند.

به‌طور کلی توصیه امنیتی من این است که اگر کاربران قصد خریدوفروش و سرمایه‌گذاری طولانی‌مدت ندارند، با ملاحظات امنیتی نگه‌داشتن دارایی‌ها آشنا شوند و دارایی‌های خود را روی صرافی‌ها؛ چه ایرانی و چه خارجی نگه ندارند. دارایی‌ها را روی کیف پول‌های خود نگه دارند، ولی ریسک‌های امنیتی و راه‌حل‌های آنها را بدانند. برای مثال رمز دسترسی و بازیابی کیف‌ پول خود را در جای امنی نگهداری کنند، البته این رمز را به‌صورت متن بدون کدگذاری نگهداری نکنند.

برای مدیریت ریسک‌های مالی که البته مخصوص به حوزه بلاکچین هم نیستند، به‌صورت ویژه از بازارهای کوچک‌تر و از اعتماد به داده‌هایی که از کانال‌های ناشناس دریافت می‌کنند، بپرهیزند.

صرافی‌ها و دیگر کسب‌وکارهای رمزارزی چه مواردی را باید در برابر این تهدیدات در نظر بگیرند؟

سرمایه اصلی هر صرافی، اعتماد کاربران است و معتقدم باید توجه ویژه‌ای به امنیت کاربران داشت. صرافی ما مجموعه‌ای از اقدامات بلاکچینی و امنیت نرم‌افزاری را برای مقابله با این تهدیدات انجام داده است. به‌جز اقدامات عمومی در حوزه امنیت نرم‌افزار، با مدل‌سازی تهدیدات موجود و درس‌گرفتن از اتفاقاتی که برای دیگر صرافی‌ها رخ‌ داده، برای بهبود امنیت مدل نگهداری از دارایی‌های کاربران و عملیات رمز‌ارزی در صرافی را طراحی کرده‌ایم. یکی از کارهایی که برای پیشگیری انجام داده‌ایم، ذخیره‌سازی سرد است تا اگر به هر علتی سیستم‌های نرم‌افزاری مورد نفوذ قرار گرفتند، دارایی کاربران در معرض خطر قرار نگیرد.

مسئله دیگر رعایت استانداردهای فنی امنیتی مخصوص نهادهای مالی است. برای نهادهای حوزه مالی مثل بانک و بورس استانداردهای امنیتی فنی داخلی و بین‌المللی منتشر شده است. در حوزه رمزارزها، تنظیم‌گری که صرافی‌ها را مجبور به رعایت این استانداردها کند، وجود ندارد، ولی ما بر اساس استانداردهای حوزه‌های دیگر عمل می‌کنیم و این استانداردها را در فرایندهای فنی به کار می‌گیریم. علاوه بر این از سیستم آزمون‌های نفوذ دوره‌ای بهره می‌بریم و از آدیتورهای خارجی برای بررسی امنیت استفاده می‌کنیم. در نبود نهادی که از بیرون رعایت استانداردها را الزام کند، بهتر است که خود صرافی‌ها به این استانداردها توجه کنند.

مهم‌ترین هک‌هایی که در چند سال گذشته اتفاق افتاده، چه بوده و چقدر به اعتبار این حوزه آسیب زده‌اند؟

مت‌گاکس اتفاق بزرگی بود و اثر خود را روی قیمت رمزارز گذاشت و در آن زمان به بی‌اعتمادی مردم منجر شد. در مورد کاربران ایرانی اتفاقاتی که در bitrex رخ داد، باعث شد دارایی کاربران زیادی از دسترس خارج شود. این اتفاقات هرچقدر بزرگ‌تر باشند، تأثیر بیشتری روی اعتماد کاربران می‌گذارند. در اینجا نیاز به رگولاتوری پررنگ‌تر می‌شود؛ چراکه اگر کسی در این حوزه اشتباه کند، همه مجموعه‌های مشابه را تحت تأثیر قرار می‌دهد.

غیر از ریسک‌های فنی، ریسک‌های مالی و مکانیسمی نیز به ایجاد مشکل و بی‌اعتمادی مردم منجر شده‌اند. برای مثال اتفاقی که برای لونا افتاد، به این حوزه آسیب وارد کرد.

آیا نهادهای قضایی دنیا می‌توانند در پیگیری این سرقت‌ها یا بازگرداندن دارایی‌های ازدست‌رفته اثرگذار باشند؟

از چند جهت می‌توان این مسئله را بررسی کرد. هدف برخی از پروژه‌های بلاکچینی این است که غیر قابل رهگیری باشند. پس در سطحی ممکن است به علت نبود اطلاعات کافی، امکان پیگیری قضایی وجود نداشته باشد. در سطح دیگر، اگر امکان پیگیری هم وجود داشته باشد و در حوزه قضایی ایران نباشد، ممکن است کاربران ایرانی نتوانند از این امکان بهره‌مند شوند؛ زیرا بر اساس قوانین پولشویی بین‌المللی کاربران ایرانی نباید معامله کنند و حق پیگیری هم ندارند. به‌طور کلی در بیشتر موارد بلاکچینی، حتی در داخل کشور هم نمی‌توان برای پیگیری به سیستم‌ قضایی اتکا کرد. اگر قوانین در این حوزه به‌روز شوند، احتمالاً بر این موضوع مؤثر خواهند بود.

لزوم شکل‌گیری استاندارد امنیتی در تمام سرفصل‌ها

سرقت دارایی‌ها و هک شدن پروژه‌های رمزارزی یکی از نگرانی‌های این روزهای کاربران حوزه رمزارز است. منشاء این اتفاقات را چه می‌دانید و معمولاً چه پروژه‌هایی بیشتر درگیر چنین معضلی می‌شوند؟

امیر رنجبر، مدیر عملیات نوبیتکس: ممکن است کاربر تمام پروتکل‌های امنیتی را رعایت کرده و پروژه‌ معتبری را نیز برای سرمایه‌گذاری انتخاب کند، اما خود پلتفرم بالقوه تحت ریسک باشد. برای مثال اتفاقی که برای لونا افتاد؛ با اینکه آن پروژه نسبتاً خلاقانه بود و به مدت طولانی تحت استرس‌تست توسط افراد خبره قرار گرفته بود، اما در نهایت مشخص شد که فرایند پویای کنترل عرضه/تقاضای توکن‌ها در آن شبکه فی‌نفسه مشکل‌زا بود. بنابراین کاربران قبل از سرمایه‌گذاری روی ارزهای ناشناس یا ارزهایی که به‌تازگی وارد اکوسیستم شده‌اند، باید بررسی کافی داشته باشند.

مهم‌ترین راهکار برای جلوگیری از کلاهبرداری و فیشینگ و خودداری از سرمایه‌گذاری روی پروژه‌های بدون پشتوانه و همچنین نگهداری امن دارایی، این است که قبل از ورود به هر حوزه‌ای، به‌ویژه حوزه‌های مالی، افراد فرایند کسب دانش را طی کنند و قبل از سرمایه‌گذاری، درباره آن پروژه تحقیق کرده باشند.

کاربران ایرانی باید چه کار کنند یا چه آموزش‌هایی ببینند که کمتر در معرض خسارات اینچنینی قرار گیرند؟

انتخاب بستر مناسب و مورد اعتماد برای معامله، استفاده از کیف پول سخت‌افزاری، یا در صورت استفاده از کیف پول نرم‌افزاری دقت در نگهداری کلمات بازیابی کیف پول، فعال‌سازی ورود دومرحله‌ای برای استفاده از پلتفرم‌های رمزارزی، خودداری از ارائه رمز عبور به افراد غیر، خودداری از کلیک روی لینک‌های مشکوک، عدم استفاده از رمز عبور یکسان برای حساب‌های کاربری مختلف، استفاده از آنتی‌ویروس مناسب و… مواردی است که کاربران باید به آنها دقت کنند.

همچنین کاربران باید توجه داشته باشند که چه برای ورود به پلتفرم‌ها و چه برای ورود به کامپیوتر یا تلفن همراه‌شان که از طریق آن وارد صرافی می‌شوند، از رمز عبور مطمئن و سخت استفاده کنند و تلفن همراه یا کامپیوتر خود را در اختیار دیگران قرار ندهند. همچنین از کامپیوترهای محیط‌های عمومی مانند کافی‌نت‌ها یا محل کار برای ورود به پلتفرم‌های تبادل رمزارز استفاده نکنند.

کاربران ایرانی غیر از مواردی که به آنها اشاره شد، بحث‌های مربوط به تحریم را نیز باید در نظر بگیرند. مسدود شدن حساب کاربران ایرانی در برخی پلتفرم‌های خارجی، همچون بایننس، رهگیری تراکنش‌ها و… ریسک‌هایی هستند که برای کاربران ایرانی در بازارهای مالی جهانی وجود دارد. انتقال تتر از طریق تترشیلد یا همان انتقال حفاظت‌شده تتر، یکی از راه‌های جلوگیری از شناسایی و ردیابی تراکنش‌های تتری است که این امکان در نوبیتکس وجود دارد.

در رابطه با پلتفرم‌های خارجی بسیاری از کاربران راهکارهایی را برای جلوگیری از شناسایی به‌عنوان کاربر ایرانی و به‌نوعی دور زدن تحریم انجام می‌دهند، اما این کار نیز ریسک‌های خود را دارد. یکی از دلایلی که کاربران را به سمت استفاده از پلتفرم‌های خارجی سوق می‌دهد، امکان معامله فیوچر است، اما بسیاری از کاربران در بازار فیوچر معامله نمی‌کنند؛ از این رو استفاده از پلتفرم‌های بومی یا نگهداری دارایی در کیف پول‌های شخصی می‌تواند ضریب امنیت بسیار بالاتری نسبت به نگهداری دارایی در پلتفرم‌های خارجی داشته باشد.

مهم‌ترین اشتباهات کاربران در این بخش چیست؟

انتخاب شبکه انتقال اشتباه، فراموش‌کردن کلمات بازیابی کیف پول، فریب‌خوردن از طریق سایت‌های فیشینگ و سرمایه‌گذاری با مبالغ زیاد روی توکن‌ها و رمزارزهای فاقد پشتوانه و سرمایه‌گذاری در پروژه‌های پانزی، بخشی از اشتباهاتی است که برخی کاربران نه‌فقط در ایران، بلکه در سراسر جهان مرتکب می‌شوند.

چه موارد و توصیه‌هایی را باید رعایت کرد تا این اتفاقات کمتر برای کاربران رخ دهد؟

در رابطه با نگهداری دارایی‌های رمزارزی، نگهداری سرد شاید از حد توان یک کاربر معمولی فراتر باشد، اما استفاده از کیف پول‌های نرم‌افزاری پرطرفدار مثل تراست‌ولت نیز نیازمند داشتن دانش است. کوچک‌ترین اشتباهی در این حوزه؛ از نحوه ذخیره‌سازی کلمات بازیابی یا کلید خصوصی تا ارسال توکن اشتباه روی شبکه اشتباه یا به آدرس اشتباه، می‌تواند امنیت دارایی را تحت ‌تأثیر قرار دهد. بحث‌های مربوط به دقت در نگهداری کلمات کلیدی بازیابی کیف پول، خودداری از باز کردن لینک‌های مشکوک، آگاهی از این مسئله که دارایی‌شان را روی شبکه درست انتقال دهند و… مواردی است که کاربران باید در رابطه با آنها آموزش ببینند و دقت و اطلاعات کافی داشته باشند.

صرافی‌ها و دیگر کسب‌وکارهای رمزارزی لازم است در این زمینه چه تمهیداتی بیندیشند؟

از آنجا ‌که سطح سیاست‌ها و استانداردهای به کار گرفته‌شده در صرافی‌ها در ایران همسان نیست، به نظر می‌رسد ابتدا باید یک استاندارد امنیتی در تمام سرفصل‌های امنیتی شکل بگیرد و صرافی‌ها، خود را با این استانداردها همسان کنند و در قبال آن هم به کاربر پاسخگو باشند.

نگهداری دارایی‌ها به شکل کاملاً سرد (cold storage) و ایمن‌بودن دارایی‌ها در برابر حملات، ساختار چندامضایی برای برداشت دارایی‌های صرافی و نبود امکان کلاهبرداری، استقرار سرورها در ایران، ذخیره‌سازی همه اطلاعات مشتریان به‌صورت رمزنگاری‌شده، ارزیابی‌های مداوم و دوره‌ای امنیتی، تغییر مداوم آدرس کیف پول‌ها و… از جمله مواردی هستند که پلتفرم‌های ایرانی برای افزایش ضریب امنیت پلتفرم و دارایی کاربران باید به کار بگیرند. همچنین اجباری‌کردن شناسه دوعاملی برای ورود و برداشت از حساب، ارسال پیامک تأیید برداشت، جلوگیری از برداشت حجم بالا و تماس تصویری با کاربر برای اطمینان از اینکه خود کاربر اقدام به برداشت وجه کرده، ضریب امنیت دارایی کاربران را بالا می‌برد. از سوی دیگر استفاده از امکان تترشیلد و لایتنینگ برای انتقال تتر و بیت‌کوین از دیگر امکاناتی است که پلتفرم‌ها برای جلوگیری از رهگیری تراکنش‌های رمزارزی باید در اختیار کاربران قرار دهند.

مهم‌ترین هک‌هایی که در چند سال گذشته اتفاق افتاده، چه بوده و چقدر به اعتبار این حوزه آسیب زده‌اند؟

هک‌های متعددی در پلتفرم‌های دیفای، به‌خصوص پلتفرم‌های وام‌دهی رمزارزها در سال‌های اخیر رخ داده‌اند، اما در حوزه سازوکار پلتفرم‌های تبادل، یکی از موارد مهم، هک بایننس در سال 2019 بود که در آن هکرها با ترفندهای مختلف تلاش کرده بودند به کیف پول‌های داغ این صرافی که تنها دو درصد دارایی‌های موجود در این پلتفرم بود، دسترسی پیدا کنند و در نهایت نیز هفت هزار بیت‌کوین از این صرافی به سرقت رفت. از این رو نگهداری سرد دارایی نکته بسیار حائز اهمیتی در امنیت دارایی در پلتفرم‌های تبادل است.

اخیراً نیز شاهد هک کیف پول‌های سولانا بودیم که بسیاری از ولت‌های نرم‌افزاری معتبر را نیز تحت تأثیر قرار داد، اما ولت‌های ذخیره سرد همواره از این نوع حملات در امان بودند. در سال‌های گذشته حملات دیگری مثل هک برخی کیف پول‌ها از جمله پریتی‌ولت و برخی صرافی‌ها رخ داده که دلیل آنها به رویکرد پلتفرم در نگهداری دارایی‌ها (نحوه مدیریت کلید خصوصی) برمی‌گشت و البته باعث شد پلتفرم‌ها با توجه به شگردهای هکرها، موارد امنیتی بیشتری را رعایت کنند. در هر صورت، رعایت نکاتی در مورد امنیت دارایی صرافی‌ها و پلتفرم‌ها که به آن اشاره شد، می‌تواند امکان دسترسی به دارایی از طریق هک را به صفر نزدیک کند.

نهادهای قضایی دنیا چقدر می‌توانند سرقت‌هایی از این دست را پیگیری کنند یا دارایی‌های ازدست‌رفته را بازگردانند؟

در کشورهای مختلف سیاست‌های متفاوتی در قبال رمزارزها و به تبع آن کلاهبرداری‌ها و سرقت‌های احتمالی این حوزه به کار گرفته شده است. برخی کشورها به‌کلی فعالیت در این حوزه را ممنوع کردند که با توجه به توسعه این صنعت، بعضاً مجبور به عقب‌نشینی از این سیاست شدند. کشورهایی نیز با تدوین قوانین مربوط به حوزه رمزارز، در راستای نظارت بر فعالیت‌ها، پیگیری قضایی موارد پانزی، رصد و پیگیری موارد جدید کلاهبرداری و… اقدام کرده‌اند.

در آمریکا آژانس‌های دولتی با تحقیق و بررسی و دریافت گزارش‌های کلاهبرداری و رسیدگی به آنها، پرونده‌ها را به نهاد قضایی ارجاع می‌دهند و از فعالیت‌های غیرقانونی جلوگیری کرده و به افشاگران موارد پانزی نیز جایزه می‌دهند.

در مجموع، رگولاتوری مناسب و نظارت مداوم و استفاده از پتانسیل بخش خصوصی خوشنام، هم به جلوگیری از فعالیت‌های غیرقانونی کمک می‌کند و هم امکان پیگیری قضایی و حقوقی موارد کلاهبرداری و سرقت رمزارزی را فراهم می‌آورد. خلاء قانونی بهترین فرصت برای کلاهبرداران در این زمینه است.

در کشورهایی که در راستای تنظیم‌گری و قانون‌گذاری حوزه رمزارز اقداماتی کرده‌اند، زیرساخت و منابع انسانی متخصص برای رصد، گزارش‌دهی، شناسایی و اقدام قضایی ایجاد شده و همین زیرساخت، بستر را برای پروژه‌های پانزی و کلاهبرداری از بین می‌برد یا حداقل کار را برای آنها سخت می‌کند. از طرفی علاوه بر رگولاتوری دولت، خودتنظیم‌گری بخش خصوصی نیز امکان سرقت و به خطر افتادن دارایی کاربران را به‌طور چشم‌گیری کاهش می‌دهد.