استارتاپ360 > خبرها

گزارش «ایران‌بروکر»: بحران نوبیتکس، آینه‌ی تمام‌نمای یک اکوسیستم بی‌ساختار

تحریریه - 1 مرداد 1404 - ۱۳:۵۳

هک نوبیتکس، داستان شکست یک صرافی نیست؛ بلکه روایت فروپاشی یک انگاره است. انگاره‌ای که گمان می‌کرد رشد خیره‌کننده و قارچ‌گونهٔ صرافی‌های رمزارزی در ایران، نشانه‌ای از بلوغ و توسعه است.

بحران نوبیتکس به تلخی ثابت کرد که این رشد، نه توسعه، که حبابی تورمی بوده است. رشدی که در آن، راه‌اندازی یک پلتفرم با تمرکز بر بازاریابی، ساده‌تر از ساختن یک زیرساخت امن و پاسخگو بود. این رخداد، محصول یک اتفاق نبود، بلکه نتیجهٔ منطقی و قابل‌پیش‌بینی یک اکوسیستم رهاشده در خلأ قانون بود؛ اکوسیستمی که در آن، مسئولیت‌پذیری یک انتخاب بود، نه یک الزام.

آنچه در گزارش «بازار در گرگ‌ومیش» به‌عنوان یک «زنگ خطر» به صدا درآمده بود، با هک نوبیتکس به یک واقعیتی تلخ تبدیل شد. این بحران، یک آینهٔ تمام‌نما در برابر کل اکوسیستم قرار داد و پرسشی حیاتی را مطرح کرد: چگونه حتی پیشرفته‌ترین و بزرگ‌ترین بازیگر بازار نیز در برابر چنین حمله‌ای آسیب‌پذیر بود؟ پاسخ، نه در ضعف‌های یک شرکت، که در ضعف‌های بنیادین یک سیستم نهفته است.

زمین حاصل‌خیز بحران: هرج‌ومرج نظارتی و هزینه‌های آن

بحران نوبیتکس در یک زمین حاصل‌خیز از بی‌مسئولیتی نهادی و جنگ فرسایشی میان نهادهای سیاست‌گذار جوانه زد. این سرگردانی نهادی، یک منطقهٔ خاکستری خطرناک ایجاد کرد که در آن، بازیگران مجبور بودند در فقدان قطعیت حقوقی فعالیت کنند. این وضعیت، سرمایه‌گذاری‌های بلندمدت و مسئولانه را دشوار و استراتژی‌های کوتاه‌مدت و پرریسک را جذاب می‌ساخت.

در نبود استانداردهای پیشگیرانه، نهادهای ناظر، به‌ویژه بانک مرکزی، به‌جای تمرکز بر تدوین استانداردهای امنیتی برای حفاظت از دارایی کاربران، تمام انرژی خود را بر روی اجرای قوانین پول‌شویی متمرکز کرده بودند. در نتیجه، صرافی‌ها برای رعایت حداقل‌های امنیتی، هیچ الزام قانونی یا فشار نظارتی احساس نمی‌کردند.

واکنش بانک مرکزی به این بحران، یعنی اعمال «قرنطینهٔ ساعتی» بر تمام صرافی‌ها، بهترین گواه این رویکرد واکنشی بود. این تصمیم، مانند آن بود که برای مهار آتش‌سوزی در یک ساختمان، گاز را بر روی کل شهر قطع کنند. این اقدام نه‌تنها به کسب‌وکار کل اکوسیستم آسیب زد، بلکه نشان داد که سیاست‌گذار، هیچ ابزار دقیقی جز اقدامات قهری و فراگیر برای مدیریت ریسک در اختیار ندارد و درک عمیقی از سازوکار این بازار ندارد.

از هشدار تا واقعیت: چگونه خلأ قانونی، کاربران را قربانی کرد؟

گزارش ما پیش از بحران، به ضعف‌های نگران‌کننده‌ای اشاره کرده بود که در سایهٔ نبود رگولاتوری شکل گرفته بودند. هک نوبیتکس، این هشدارها را به شکلی فاجعه‌بار به واقعیت تبدیل کرد:

امنیت؛ یک هزینهٔ اختیاری، نه یک الزام بنیادین. در یک بازار قانون‌مند، استفاده از ماژول‌های امنیتی سخت‌افزاری یا پیاده‌سازی جداسازی کامل محیط‌های فنی، یک استاندارد حداقلی و غیرقابل‌مذاکره است. اما در غیاب رگولاتوری که این استانداردها را الزامی کند، امنیت به یک «هزینهٔ اختیاری» برای کسب‌وکارها تبدیل می‌شود. در چنین شرایطی، حتی یک رهبر بازار مانند نوبیتکس نیز ممکن است برای حفظ چابکی یا کاهش هزینه‌ها، از پیاده‌سازی این لایه‌های امنیتی گران‌قیمت چشم‌پوشی کند. این یک انتخاب تجاری قابل‌درک در یک محیط بی‌قانون است، اما پیامدهای آن برای کاربران فاجعه‌بار بود. بنابراین، ریشهٔ اصلی آسیب‌پذیری نوبیتکس، نه لزوماً یک غفلت، بلکه فقدان یک چارچوب نظارتی بود که چنین انتخابی را اساساً غیرممکن سازد.

شفافیت؛ مفهومی بیگانه در فقدان الزام. گزارش ما به ابهام در ساختار مدیریتی و مالی بسیاری از صرافی‌ها اشاره کرده بود. بحران نوبیتکس، این دغدغه را به یک بحران اعتماد تبدیل کرد. اعلام وجود یک «صندوق ذخیره»، هرچند مثبت بود، اما در غیاب شفافیت و حسابرسی مستقل، تنها یک «وعده» باقی ماند. در بازارهای مالی توسعه‌یافته، نهاد ناظر، شرکت‌ها را به ارائهٔ گزارش‌های مالی شفاف و اثبات ذخایر (Proof of Reserve) قابل راستی‌آزمایی ملزم می‌کند. این سازوکار، «اعتماد مبتنی بر حرف» را به «اعتماد مبتنی بر اثبات» تبدیل می‌کند. در نبود چنین الزامی، کاربران ایرانی ناچار بودند به وعده‌ها تکیه کنند و این بحران نشان داد که این سطح از اعتماد، تا چه اندازه شکننده است.

حقوق کاربر؛ اولین قربانی در غیاب قانون. ما پیش از این نشان داده بودیم که صرافی‌ها کارمزدهای چندین برابر هزینهٔ واقعی شبکه دریافت می‌کنند یا برای منافع تجاری، حریم خصوصی کاربران خود را معامله می‌کنند. این رفتارها، نشان از یک فرهنگ سازمانی داشت که در خلأ قانون شکل گرفته بود: وقتی حقوق کاربر به‌طور قانونی تعریف و محافظت نشود، ناگزیر به حاشیه رانده می‌شود. سیستمی که به خود اجازه می‌دهد در موضوعات کوچک‌تری مانند کارمزد یا حریم خصوصی، حقوق کاربر را نادیده بگیرد، در بزنگاه‌های بزرگ‌تر نیز نمی‌تواند حافظ اصلی‌ترین حق او، یعنی امنیت دارایی‌هایش، باشد.

یک روایت ناگفته؛ تنگناهای فعالیت در اکوسیستم ایران

این تحلیل بدون اذعان به چالش‌های عظیمی که صرافی‌های ایرانی با آن روبرو هستند، کامل نخواهد بود. درحالی‌که تمرکز ما بر ضرورت رعایت استانداردهای امنیتی و شفافیت بوده است، نمی‌توان از این واقعیت چشم‌پوشی کرد که بسیاری از کاستی‌ها، ریشه در یک محیط نظارتی و اقتصادی پر از ابهام، تناقض و عدم قطعیت دارند. این بخش، نگاهی است به آن روی سکه؛ به تنگناهایی که خود بازیگران صنعت با آن دست‌وپنجه نرم می‌کنند.

فعالیت در خلأ قانونی: سرمایه‌گذاری در مه

بزرگ‌ترین چالش صرافی‌ها، فعالیت در یک خلأ قانونی طولانی‌مدت است. وقتی هیچ چارچوب حقوقی مشخصی برای فعالیت یک کسب‌وکار وجود ندارد، برنامه‌ریزی بلندمدت و سرمایه‌گذاری‌های کلان زیرساختی، به یک قمار پرریسک تبدیل می‌شود. یک صرافی چگونه می‌تواند میلیون‌ها دلار برای پیاده‌سازی زیرساخت‌های امنیتی پیشرفته هزینه کند، درحالی‌که این احتمال وجود دارد که فردا با یک دستورالعمل ناگهانی، کل فعالیتش غیرقانونی اعلام یا درگاه‌های پرداختش مسدود شود؟ این فقدان قطعیت، به‌طور طبیعی کسب‌وکارها را به سمت راه‌حل‌های کوتاه‌مدت و کم‌هزینه‌تر سوق می‌دهد، حتی اگر این راه‌حل‌ها در بلندمدت امنیت کمتری داشته باشند.

فشار از دو سو: انزوای بین‌المللی و محدودیت داخلی

صرافی‌های ایرانی در یک تنگنای منحصربه‌فرد گرفتار شده‌اند. از یک سو، تحریم‌های بین‌المللی دسترسی آن‌ها را به بهترین ابزارها، فناوری‌ها، شرکای جهانی و حتی مشاوران امنیتی طراز اول قطع کرده است. آن‌ها در انزوایی تحمیلی، مجبورند بسیاری از چرخ‌ها را از نو اختراع کنند. از سوی دیگر، در داخل با یک نگاه امنیتی و گاه مجرم‌انگارانه از سوی نهادهای حاکمیتی مواجه‌اند که به‌جای حمایت و تدوین چارچوب، به دنبال محدودسازی و کنترل هستند. این فشار از دو سو، نوآوری و حرکت به سمت استانداردهای جهانی را بسیار دشوار می‌سازد.

تناقض در سیاست‌ها: معمای شاپرک و حریم خصوصی

نمونهٔ بارز این فشار متناقض، ماجرای درگاه‌های پرداخت بود. صرافی‌ها در یک دوراهی غیرممکن قرار گرفتند: یا با پذیرش شروطی مانند اشتراک‌گذاری داده‌های کاربران با شاپرک که با اصول جهانی حریم خصوصی در تضاد است، کسب‌وکار خود را سرپا نگه دارند یا با پایبندی به این اصول، شریان حیاتی مالی خود را از دست بدهند. این نوع سیاست‌گذاری، بازیگران را مجبور به انتخاب میان «بد» و «بدتر» می‌کند و عملاً آن‌ها را به سمت نقض یکی از اصول بنیادین کسب‌وکارشان سوق می‌دهد.

نبود گفت‌وگوی سازنده: سیاست‌گذاری بدون شنیدن صدای صنعت

تا به امروز، اغلب سیاست‌ها و دستورالعمل‌ها به‌صورت یک‌طرفه و بدون مشورت با انجمن‌های صنفی یا بازیگران اصلی صنعت تدوین و ابلاغ شده‌اند. این رویکرد بالا به پایین، باعث می‌شود که سیاست‌ها با واقعیت‌های عملیاتی بازار همخوانی نداشته باشند و به‌جای حل مشکل، چالش‌های جدیدی ایجاد کنند.

با وجود تمام این تنگناها، باید تأکید کرد که این شرایط، رافع مسئولیت نهایی صرافی‌ها در قبال حفاظت از دارایی و اعتماد کاربران نیست. اما درک این چالش‌ها به ما نشان می‌دهد که راه‌حل، تنها در اصلاح عملکرد صرافی‌ها خلاصه نمی‌شود. این شرایط، ضرورت یک «قرارداد اجتماعی جدید» میان نهاد ناظر و صنعت را بیش از پیش آشکار می‌سازد؛ قراردادی که در آن، رگولاتور با ایجاد ثبات و شفافیت، امنیت سرمایه‌گذاری را تضمین کند و در مقابل، صرافی‌ها با پذیرش استانداردهای جهانی، امنیت کاربران را. حرکت به سوی یک اکوسیستم سالم، مسیری دوطرفه است.

بازسازی از خاکستر: نقشهٔ راه خروج از بحران

اکنون دیگر صحبت از «اصلاح» یک وضعیت نیست؛ بلکه سخن از «بازسازی» یک اعتماد فروریخته است. این بازسازی، تنها با یک تغییر پارادایم در حکمرانی این حوزه ممکن است.

استقرار یک نهاد ناظر واحد، متخصص و پاسخگو. اولین گام، پایان دادن به هرج‌ومرج مسئولیت‌هاست. ایران به یک نهاد ناظر نیاز دارد که نه‌تنها قوانین را تدوین کند، بلکه توانایی فنی برای درک این بازار و نظارت بر اجرای استانداردها را نیز داشته باشد. این نهاد باید به‌جای رویکرد قهری، رویکردی تعاملی و پیشگیرانه اتخاذ کند.

تدوین و الزام به اجرای استانداردهای غیرقابل‌مذاکره. نهاد ناظر باید یک شیوه‌نامه روشن تدوین کند که مواردی چون الزام به استفاده از ماژول‌های امنیتی سخت‌افزاری حسابرسی‌های امنیتی دوره‌ای توسط شرکت‌های ثالث معتبر، انتشار عمومی و منظم گزارش اثبات ذخایر و تدوین پروتکل‌های شفاف مدیریت بحران را شامل شود. تخطی از این الزامات باید با جرایم سنگین و حتی لغو مجوز همراه باشد.

توانمندسازی اکوسیستم برای خودنظارتی. یک رگولاتور هوشمند، تمام بار نظارت را به دوش نمی‌کشد. با حمایت از شکل‌گیری انجمن‌های صنفی قدرتمند و نهادهای پایش مستقل (Watchdogs) مانند «ایران‌بروکر»، می‌توان یک اکوسیستم نظارتی چندلایه ایجاد کرد که در آن، خودِ بازار نیز در حفظ سلامت و شفافیت خود نقش ایفا می‌کند.

نقشهٔ راه عملیاتی: حرکت به سمت استانداردهای جهانی

برای بازسازی اعتماد و جلوگیری از تکرار فجایع مشابه، بازیگران این حوزه باید با پذیرش و پیاده‌سازی استانداردهای جهانی، گامی عملی به سوی بلوغ بردارند:

توصیه‌ها برای نهادهای ناظر: از حکمرانی واکنشی به نظارت پیشگیرانه

الزام به استفاده از زیرساخت‌های امن: نگهداری دارایی‌ها باید به استفاده از فناوری‌هایی مانند ماژول‌های امنیتی سخت‌افزاری (HSM) یا فناوری چندامضایی (Multi-Sig) و محاسبات چندجانبه (MPC) مشروط شود و این استانداردها به‌طور دوره‌ای توسط شرکت‌های حسابرسی امنیتی ثالث ممیزی شوند.

اجرای برنامه‌های باگ‌بانتی: صرافی‌ها باید ملزم به داشتن یک برنامهٔ رسمی و عمومی برای گزارش آسیب‌پذیری (Bug Bounty) با پاداش‌های معنادار باشند.

حرکت به سوی اثبات ذخایر (Proof of Reserve): صرافی‌ها باید ملزم شوند که به‌طور منظم گزارش اثبات ذخایر خود را با استفاده از روش‌هایی مانند «درخت مرکل» (Merkle Tree) منتشر کنند تا کاربران بتوانند از وجود دارایی خود در ذخایر صرافی اطمینان حاصل کنند.

حسابرسی صندوق‌های بیمه: وجود صندوق بیمه نباید تنها یک ادعا باشد. نهاد ناظر باید صرافی‌ها را ملزم به شفاف‌سازی در مورد اندازه، منابع و نحوهٔ مدیریت این صندوق‌ها کرده و گزارش حسابرسی سالانهٔ آن را الزامی کند.

توصیه‌ها برای صرافی‌ها: از رقابت بر سر قیمت به رقابت بر سر اعتماد

پذیرش داوطلبانهٔ شفافیت: صرافی‌های پیشرو می‌توانند با انتشار داوطلبانهٔ گزارش اثبات ذخایر و حسابرسی‌های امنیتی، خود را از دیگران متمایز کرده و اعتماد کاربران را جلب کنند. در دنیای پس از بحران نوبیتکس، شفافیت دیگر یک گزینه نیست، بلکه یک ضرورت برای بقاست.

بازنگری کامل در ساختار کارمزدها: دریافت کارمزدهای برداشت چندین برابر هزینهٔ واقعی شبکه، منبع بزرگ بی‌اعتمادی است. صرافی‌ها باید با شفاف‌سازی کامل ساختار کارمزدها، حسن نیت خود را اثبات کنند.

آموزش کاربران در مورد نگهداری مستقیم دارایی‌ها (Self-Custody): بزرگ‌ترین درسی که کاربران باید از این بحران بیاموزند، اصل «نه کلید شما، نه رمزارز شما» است. صرافی‌های مسئول، باید کاربران را در مورد اهمیت و نحوهٔ استفاده از کیف‌پول‌های شخصی آموزش دهند.

توصیه‌ها برای کاربران: از اعتماد کورکورانه به مطالبه‌گری آگاهانه

انتخاب بر اساس امنیت، نه فقط قیمت: کاربران باید پیش از انتخاب یک صرافی، معیارهایی چون وجود گزارش اثبات ذخایر، شفافیت مدیریتی و سابقهٔ امنیتی را در اولویت قرار دهند.

«رأی دادن با سرمایه»: کاربران باید به‌طور فعال از صرافی‌های شفاف و مسئولیت‌پذیر حمایت کرده و سرمایهٔ خود را از پلتفرم‌های مبهم و پرریسک خارج کنند. این بزرگ‌ترین سیگنالی است که بازار می‌تواند به بازیگران خود بدهد.

تمرین خودحفاظتی: کاربران باید بیاموزند که صرافی‌ها محل معامله هستند، نه خزانه. دارایی‌های بلندمدت باید به کیف‌پول‌های شخصی منتقل شوند.

جمع‌بندی: بحران نوبیتکس، اولین بود، آخرین نخواهد بود

هک نوبیتکس یک استثنا نبود؛ بلکه قاعده‌ای بود که منتظر زمان مناسب برای وقوع بود. این بحران نشان داد که در یک اکوسیستم بی‌ساختار، هیچ‌کس، حتی بزرگ‌ترین و معتبرترین بازیگر، در امان نیست. این رخداد، آخرین هشدار به سیاست‌گذار بود. سؤال دیگر این نیست که «چه کسی مسئولیت را بر عهده می‌گیرد؟»، بلکه این است که «بحران بعدی چه زمانی، در کدام پلتفرم و با چه ابعادی رخ خواهد داد؟».

سیاست‌گذار یا امروز برای بازسازی این ویرانه اقدام می‌کند و چارچوبی ساختارمند و پاسخگو طراحی می‌کند، یا باید منتظر سقوط‌های بعدی باشد. سقوط‌هایی که شاید دیگر نه توان مالی نوبیتکس را برای جبران خسارت داشته باشند و نه از خوش‌شانسی آن برای جلوگیری از یک فروپاشی کامل و بی‌بازگشت برخوردار باشند. آن روز، دیگر صحبت از «هک» نخواهد بود، بلکه باید از «غارت» سرمایه‌های مردمی سخن گفت که در سایهٔ بی‌کفایتی نظارتی، بی‌دفاع رها شده بودند.

# ,
لینک کوتاه:

مطالب مرتبط

دیدگاهتان را بنویسید