مدیر عملیات نوبیتکس مطرح کرد: لزوم شکل‌گیری استاندارد در تمام سرفصل‌های امنیت دارایی

هک شدن چند پروژه رمزارزی و از دست رفتن بخشی از سرمایه کاربران، آن هم به فاصله کمی از یکدیگر یکی از اتفاقاتی بوده که این روزها کاربران بازار رمزارزها را نگران کرده است.

امیر رنجبر، مدیر عملیات پلتفرم تبادل رمزارز «نوبیتکس» در گفت‌و‌گو با ویژه‌نامه رمزارز هفته‌نامه کارنگ توضیح داد که از بعد فنی کاربران تا چه میزان می‌توانند از بروز اتفاق برای دارایی خود جلوگیری کنند و نقش صرافی‌ها و کسب‌و‌کارهای رمزارزی در حفظ امنیت کاربران چیست.

این روزها یکی از نگرانی‌های کاربران در دنیای رمزازها موضوع هک و سرقت دارایی‌هاست؛ مهم‌ترین منشاء چنین اتفاقاتی چیست و معمولا چه پروژه‌هایی بیشتر درگیر چنین معضلی می‌شوند؟

ممکن است کاربر تمام پروتکل‌های امنیتی را رعایت کرده و پروژه‌ معتبری را نیز برای سرمایه‌گذاری انتخاب کند. اما خود پلتفرم بالقوه تحت ریسک باشد. برای مثال اتفاقی که برای لونا افتاد؛ با این که آن پروژه نسبتاً خلاقانه بود و به مدت طولانی تحت استرس‌تست توسط افراد خبره قرار گرفته بود، اما در نهایت مشخص شد که فرآیند پویای کنترل عرضه/تقاضای توکن‌ها در آن شبکه فی‌نفسه مشکل‌زا بود. کاربران قبل از سرمایه‌گذاری روی ارزهای ناشناس یا ارزهایی که به تازگی وارد اکوسیستم شده اند، باید بررسی کافی داشته باشند. 

مهمترین راهکار برای جلوگیری از کلاهبرداری و فیشینگ و خودداری از سرمایه‌گذاری روی پروژه‌های بدون پشتوانه و همچنین نگهداری امن دارایی، این است که قبل از ورود به هر حوزه‌ای به‌ویژه حوزه‌های مالی، افراد فرآیند کسب دانش را طی کنند و قبل از سرمایه‌گذاری، درباره آن پروژه تحقیق کرده باشند.

کاربران ایرانی در برابر چنین مواردی چقدر آسیب‌پذیر هستند و چه آموزش‌هایی نیاز دارند که کمتر دچار خسارت شوند؟

انتخاب بستر مناسب و مورد اعتماد برای معامله، استفاده از کیف پول سخت‌افزاری و یا در صورت استفاده از کیف پول نرم افزاری، دقت در نگهداری کلمات بازیابی کیف پول، فعالسازی ورود دومرحله ای برای استفاده از پلتفرم های رمزارزی، خودداری از دادن رمز عبور به افراد غیر، خودداری از کلیک روی لینک‌های مشکوک، عدم استفاده از رمزعبور یکسان برای حساب‌های کاربری مختلف، استفاده از آنتی ویروس مناسب و… مواردی است که کاربران باید به آنها دقت کنند.

همچنین کاربران باید دقت کنند که چه برای ورود به پلتفرم‌ها و چه برای ورود به کامپیوتر یا تلفن همراهشان که از طریق آن وارد صرافی می‌شوند، از رمز عبور مطمئن و سخت استفاده کنند و تلفن همراه یا کامپیوتر خود را در اختیار دیگران قرار ندهند. همینطور از استفاده از کامپیوترهای محیط‌های عمومی مثل کافی‌نت‌ها یا محل کار برای ورود به پلتفرم‌های تبادل رمزارز خودداری کنند.

کاربران ایرانی غیر از مورادی که به آنها اشاره شد بحث های مربوط به تحریم را نیز باید درنظر بگیرند. مسدود شدن حساب کاربران ایرانی در برخی پلتفرم های خارجی همچون بایننس، رهگیری تراکنش ها و… ریسک هایی است که برای کاربران ایرانی در بازارهای مالی جهانی وجود دارد. انتقال تتر از طریق تترشیلد یا همان انتقال حفاظت شده تتر، یکی از راه‌های جلویگری از شناسایی و ردیابی تراکنش‌های تتری است که این امکان در نوبیتکس نیز وجود دارد.

در رابطه با پلتفرم‌‎های خارجی بسیاری از کاربران راهکارهایی را برای جلوگیری از شناسایی به عنوان کاربر ایرانی و به نوعی دور زدن تحریم انجام می‌دهند، اما این کار به هر حال ریسک های خود را دارد. یکی از دلایلی که کاربران را به سمت استفاده از پلتفرم‌های خارجی سوق می‌دهد امکان معامله فیوچر است اما بسیاری از کاربران در بازار فیوچر معامله نمی‌کنند از این رو استفاده از پلتفرم‌های بومی و یا نگهداری دارایی در کیف‌پول‌های شخصی می‌تواند ضریب امنیت بسیار بالاتری نسبت به نگهداری دارایی در پلتفرم های خارجی داشته باشد.

مهم‌ترین اشتباهات کاربران که معمولا هزینه آن را در چنین اتفاقاتی شاهد هستیم چه هستند؟

انتخاب شبکه انتقال اشتباه، فراموش کردن کلمات بازیابی کیف پول، فریب خوردن از طریق سایت های فیشینگ و سرمایه گذاری با مبالغ زیاد روی توکن‌ها و رمزارزهای فاقد پشتوانه و سرمایه‌گذاری در پروژه‌های پانزی، بخشی از اشتباهاتی است که برخی از کاربران نه فقط در ایران بلکه در سراسر جهان مرتکب می‌شوند.

چه موارد و توصیه‌هایی را باید رعایت کرد تا کمتر این اتفاق‌ها برای کاربران رخ دهد؟

در رابطه با نگهداری دارایی‌های رمزارزی، نگهداری سرد شاید از حد توان یک کاربر معمولی فراتر باشد، اما استفاده از کیف پول‌های نرم افزاری پرطرفدار مثل تراست ولت نیز نیازمند داشتن دانش است. کوچک‌ترین اشتباهی در این حوزه از نحوه ذخیره‌سازی کلمات بازیابی یا کلید خصوصی تا ارسال توکن اشتباه یا روی شبکه اشتباه یا به آدرس اشتباه می‌تواند امنیت دارایی را تحت‌تأثیر قرار دهد. بحث های مربوط به دقت در نگهداری کلمات کلیدی بازیابی کیف پول، خودداری از باز کردن لینک های مشکوک، آگاهی از این مسئله که داراییشان را روی شبکه درست انتقال دهند و… مواردی است که کاربران باید در رابطه با آنها آموزش ببینند و دقت و اطلاعات کافی داشته باشند.

صرافی‌ها و دیگر کسب‌وکارهای رمزارزی چه مواردی را باید در برابر تهدیدهایی از این دست لحاظ کنند؟

ازآنجایی‌که سطح سیاست‌ها و استانداردهای به کار گرفته شده در صرافی‌ها در ایران همسان نیست، به نظر در ابتدا باید یک استاندارد امنیتی در تمام سرفصل‌های امنیتی شکل بگیرد و صرافی‌ها خود را با این استانداردها همسان کنند و در قبال آن هم به کاربر پاسخگو باشند.

نگهداری دارایی‌ها به شکل کاملا سرد (cold storage) و ایمن بودن دارایی‌ها در برابر حملات، ساختار چند امضایی برای برداشت دارایی های صرافی و نبود امکان کلاهبرداری، استقرار سرورها در ایران،  ذخیره‌سازی همه اطلاعات مشتریان به‌صورت رمزنگاری شده، ارزیابی‌های مداوم و دوره‌ای امنیتی، تغییر مداوم آدرس کیف پول‌ها و… ازجمله مواردی هستند که پلتفرم‌های ایرانی برای افزایش ضریب امنیت پلتفرم و دارایی کاربران باید به کار بگیرند. همچنین اجباری کردن شناسه دوعاملی برای ورود و برداشت از حساب، ارسال پیامک تایید برداشت، جلوگیری از برداشت حجم بالا و تماس تصویری با کاربر برای اطمینان از اینکه خود کاربر اقدام به برداشت وجه کرده است، ضریبا امنیت دارایی کاربران را بالا می‌برد. ازسوی دیگر استفاده از امکان تترشیلد و لایتنینگ برای انتقال تتر و بیت‌کوین از دیگر امکاناتی است که پلتفرم‌ها برای جلوگیری از رهگیری تراکنش‌های رمرارزی باید در اختیار کاربران قرار دهند.

مهم‌ترین هک‌هایی که در چند سال گذشته اتفاق افتاده چه بوده و چقدر به اعتبار این حوزه آسیب زده‌اند؟

هک‌های متعدی در پلتفرم‌های دیفای بخصوص پلتفرم‌های وام‌دهی رمزارزها در سال‌های اخیر رخ داده اند. اما در حوزه سازو کار پلتفرم‌های تبادل، یکی از موارد مهم، هک بایننس در سال ۲۰۱۹ بود که در آن هکرها با ترفندهای مختلف تلاش کرده بودند که به کیف پولهای داغ این صرافی که تنها ۲ درصد دارایی های موجود در این پلتفرم بود دسترسی پیدا کنند و در نهایت نیز ۷ هزار بیت‌کوین از این صرافی به سرقت رفت. از این رو نگهداری سرد دارایی نکته بسیار حائز اهمیتی در امنیت دارایی در پلتفرم های تبادل است.

اخیرا نیز شاهد موضوع هک کیف‌پول‌های سولانا بودیم که بسیاری از ولت‌های نرم‌افزاری معتبر را نیز تحت تاثیر قرار داد. اما ولت‌های ذخیره سرد همواره از این نوع حملات در امان بودند. در سال‌های گذشته حملات دیگری مثل هک برخی کیف پولها ازجمله پریتی ولت و برخی صرافی ها رخ داده که دلیل آنها به رویکرد پلتفرم در نگهداری دارایی‌ها (نحوه مدیریت کلید خصوصی) برمی‌گردد و البته باعث شد پلتفرم‌ها با توجه به شگردهای هکرها، موارد امنیتی بیشتری را رعایت کنند. در هر صورت، رعایت نکاتی در مورد امنیت دارایی صرافی‌ها و پلتفرم‌ها که به آن اشاره شد، می‌تواند امکان دسترسی به دارایی از طریق هک را به صفر نزدیک کند.

نهادهای قضایی دنیا چقدر می‌توانند سرقت‌هایی از این دست را پیگیری کنند و یا دارایی‌های از دست رفته را بازگردانند؟

در کشورهای مختلف سیاست های متفاوتی در قبال رمزارزها و به تبع آن کلاهبرداری‌ها و سرقت‌های احتمالی این حوزه به کار گرفته شده است. برخی کشورها به کلی فعالیت در این حوزه را ممنوع کردند که با توجه به توسعه این صنعت، بعضا مجبور به عقب‌نشینی از این سیاست شدند. کشورهایی نیز با تدوین قوانین مربوط به حوزه رمزارز، در راستای نظارت بر فعالیت‌ها، پیگیری قضایی موارد پانزی، رصد و پیگیری موارد جدید کلاهبرداری و… اقدام کرده اند.

در کشور آمریکا آژانس های دولتی با تحقیق و بررسی و دریافت گزارش‌های کلاهبرداری و رسیدگی به آنها، پرونده ها را به نهاد قضایی ارجاع می دهند و از فعالیت های غیرقانونی جلوگیری می کنند و به افشاگران موارد پانزی نیز جایزه می‌دهند.

در مجموع، رگولاتوری مناسب و نظارت مداوم و استفاده از پتانسیل بخش خصوصی خوشنام، هم به جلوگیری از فعالیت‌های غیرقانونی کمک می‌کند و هم امکان پیگیری قضایی و حقوقی موارد کلاهبرداری و سرقت رمزارزی را فراهم می‌کند. خلاء قانونی بهترین فرصت برای کلاهبرداران در این زمینه است.

در کشورهایی که در راستای تنظیم گری و قانونگذاری حوزه رمزارز اقداماتی کرده‌اند، زیرساخت و منابع انسانی متخصص برای رصد و گزارش دهی، شناسایی و اقدام قضایی ایجاد شده است و همین زیرساخت، بستر را برای پروژه‌های پانزی و کلاهبرداری از بین می‌برد یا حداقل کار را برای آنها سخت می‌کند. از طرفی علاوه بر رگولاتوری دولت، خودتنظیم‌گری بخش خصوصی نیز، امکان سرقت و به خطر افتادن دارایی کاربران را به‌طور چشمگیری کاهش می‌دهد.