چطور از کیف پول کریپتو خود محافظت کنید؟

ممکن است کیف پول کریپتو خود را برای هکرها باز گذاشته باشید؛ چطور باید از آن محافظت کنید؟

وزارت دادگستری آمریکا روز دوشنبه گزارش داد که ۲.۳ میلیون دلار بیت‌کوین کلونیال پایپ‌لاین که در ماه اپریل به‌عنوان باج به هکرها پرداخت شده بود را با موفقیت باز پس گرفته است.

اما انتشار این خبر ولوله‌ای از سردرگمی‌های آنلاین به راه انداخت؛ برخی گمان بردند که بیت‌کوین از طریق «هک کردن» باز پس گرفته‌شده و روز سه‌شنبه به نظر می‌رسید که قیمت بیت‌کوین به دلیل نگرانی‌های امنیتی مرتبط با کریپتوکارنسی در سراشیبی سقوط قرار دارد. ممکن است کیف پول کریپتو خود را برای هکرها باز گذاشته باشید؛ چطورباید از آن محافظت کنید؟

اگرچه دقیقاً مشخص نیست که چگونه بازپس‌گیری کریپتوکارنسی انجام‌شده، اما کارشناسان می‌گویند که توانایی FBI در بازپس‌گیری بیت‌کوین باج داده‌شده، بیشتر از آنکه به دلیل آسیب‌پذیری‌های خود کریپتوکارنسی بوده باشد به دلیل ذخیره کردن کلیدهای خصوصی توسط مجرمان بوده است.

کلیدهای خصوصی یا یک‌رشته از حروف و اعداد مشابه با رمز عبور برای باز کردن قفل دسترسی به یک نگه‌دارنده کریپتوکارنسی به کار می‌رود. به همین ترتیب مخفی ماندن کلیدهای خصوصی از مردم اهمیت بسیار بالایی دارد. ممکن است کیف پول کریپتو خود را برای هکرها باز گذاشته باشید؛ چطور باید از آن محافظت کنید؟

پارکر لوئیز، رئیس بخش توسعه کسب‌وکار در شرکت آنچیند کپیتال (Unchained Capital) که یک شرکت اعطای وام و تصدی بیت‌کوین است، گفت «هر شخصی، هر هنگام که یک کلید خصوصی را به دست می‌آورد، می‌تواند وجوه رمزارز را جابجا کند.» «تنها راهی که ممکن است وجوه رمزارز قابل‌انتقال باشند این است که شما کلید خصوصی را داشته باشید، به همین دلیل است که محافظت از کلیدهای خصوصی بسیار اهمیت دارد.»

به نقل از کمیسیون تجارت فدرال، در سه ماه چهارم سال ۲۰۲۰ و سه‌ماهه نخست سال ۲۰۲۱ نزدیک به ۸۲ میلیون دلار زیان در ارتباط با کلاه‌برداری‌های کریپتو گزارش‌شده است. کمیسیون تجارت فدرال اعلام کرد که مبلغ زیان اعلام‌شده بیش از ۱۰ برابر دوره مشابه در سال پیش از آن است.

برای محافظت از دارایی کریپتو خود از هکرها یا هر تهدید خارجی، آگاهی از نوع گزینه‌های موجودکیف پول برای محافظت از کلیدهای خصوصی بسیار اهمیت دارد.

کیف پول‌های غیر کاستودیال در مقابل کاستودیال

ممکن است کیف پول کریپتو خود را برای هکرها باز گذاشته باشید؛ چطورباید از آن محافظت کنید؟

در درجه اول مهم است که انواع متفاوت کیف پول‌های موجود را درک کنید.

اگر تصمیم گرفتید که کریپتوکارنسی خریداری کنید، می‌توانید برای ذخیره وجوه رمزنگاری‌شده خود از کیف پول‌های غیرکاستودیال (بدون متصدی) ( non-custodial) یا کاستودیال (با متصدی) استفاده کنید. انتخاب نوع کیف پول به ترجیحات شخصی شما ازلحاظ معایب و مزایا بستگی دارد.

کیف پول غیر کاستودیال چیست؟

با کیف پول غیر کاستودیال، یا کیف پول سلف–کاستودی (خود–متصدی)، شما کنترل کلیدهای خصوصی کیف خود را در اختیاردارید و مالک کریپتوکارنسی‌هایی هستید که در کیف پول خود نگه می‌دارید.

هنگامی‌که از خدمات کیف پول غیر کاستودیال استفاده می‌کنید، مسئولیت کامل به‌خاطرسپاری کلیدهای خصوصی کیف خود و رعایت اقدامات امنیتی لازم برای محافظت از وجوه رمزنگاری‌شده خود را به عهده‌دارید. اگر کلیدهای خصوصی کیف خود را از یاد ببرید که امری رایج است، توانایی دسترسی به کریپتوکارنسی خود را بدون هیچ استثنایی از دست می‌دهید.

نیک نیومن (Nick Neuman) مدیرعامل شرکت امنیت بیت‌کوین و سلف-کاستودی کاسا (Casa) می‌گوید «مسئولیت اطمینان از اینکه کلیدهای خود را گم نمی‌کنید کاملاً به عهده شما است و درواقع شما از این لحاظ تنها شخص مسئول هستید.»

نیومن می‌گوید، یعنی شما مسئولیت کسب اطمینان از به‌کارگیری مکانیزم‌های پشتیبان‌گیری مانند کیف پول‌های سرد، {ازجمله کیف پول‌های سخت‌افزاری که دستگاه‌های فیزیکی ذخیره کننده کلیدهای آفلاین شما هستند} را به عهده خواهید داشت. بسیاری از کیف پول‌های سخت‌افزاری شبیه به بدنه یک فلش مموری است.

اگرچه کیف پول‌های سخت‌افزاری عموماً به‌عنوان ایمن‌ترین گزینه برای ذخیره کلیدهای خصوصی در نظر گرفته می‌شوند، همچنان ریسک‌هایی وجود دارد. استفاده از یک ارائه‌کننده قابل‌اطمینان سخت‌افزار و همین‌طور محافظت از کیف پول در یک مکان امن بسیار اهمیت دارد زیرا دستگاه‌های فیزیکی همچنان امکان به سرقت رفتن و تخریب شدن را دارند.

لوئیز می‌گوید «اگر کلیدهای بیت‌کوین من به طریقی به اینترنت متصل باشد، در این صورت ممکن است درحالی‌که من خواب هستم هکری تلاش کند که به کلیدهای من دسترسی پیدا کند.» به همین دلیل است که کیف‌های گرم یا کیف متصل به اینترنت، بسیار پرمخاطره‌تر از کیف پول‌های سرد محسوب می‌شوند.

برخی از سرمایه‌گذاران به‌منظور محافظت فیزیکی از کلیدهای خود از کیف پول‌های سخت‌افزاری استفاده می‌کنند درحالی‌که برخی دیگر کلیدهای خود را روی یک برگه کاغذ می‌نویسند و در یک گاوصندوق قفل می‌کنند. برخی نیز ترجیح می‌دهند که کیف پول‌های کاستودیال داشته باشند که محافظت multisig یا چند امضائی فراهم می‌کند.

اغلب کیف پول‌های بیت‌کوین نیازمند یک کلید خصوصی برای دسترسی پیدا کردن و انتقال کریپتوکارنسی هستند، اما با multisig برای دسترسی و انتقال، به کلیدهای چندگانه نیاز است.

هر یک از کلیدها روی دستگاه جداگانه‌ای نگهداری می‌شود که معمولاً ترکیبی از گوشی همراه شما و کیف پول‌های سخت‌افزاری آفلاین است که در مکان‌های مختلفی نگهداری می‌شوند.

نیومن می‌گوید «نکته اصلی این است که اهمیتی ندارد که چگونه از کلیدهای خصوصی خود پشتیبان می‌گیرید، شما باید راه‌هایی برای پشتیبان‌گیری از کلیدهای خود پیدا کنید تا در صورت گم کردن آنها تمام وجوه رمزنگاری‌شده خود را به خاطر یک اشتباه از دست ندهید.»

کیف پول کاستودیال چیست؟

ممکن است کیف پول کریپتو خود را برای هکرها باز گذاشته باشید؛ چطورباید از آن محافظت کنید؟

در کیف پول‌های کاستودیال یک طرف ثالث از جمله یک صرافی مثل کوین‌بیس (Coinbase)، کراکن (Kraken) یا جِمِنای (Gemini) کنترل کلیدهای خصوصی شما را به عهده دارد.

در این حالت اگر کریپتوکارنسی را از طریق یک صرافی خریداری کنید نوعی از «IOU (طلبکاری)» برای کریپتوکارنسی دریافت می‌کنید درحالی‌که صرافی مالک کلیدهای خصوصی است و کریپتوکارنسی شما را در کیف پول خود نگه می‌دارد.

نیومن می‌گوید به‌عنوان مثال اگر شما بیت‌کوین را از صرافی کوین‌بیس خریداری کنید در این صورت «کوین‌بیس به شما بیت‌کوین بدهکار خواهد بود تا هنگامی‌که شما تصمیم بگیرید آن را برداشت کنید.»

باوجود اینکه برخی‌ها در جامعه بیت‌کوین ضرب‌المثلی دارند که می‌گوید «نداشتن کلیدها، یعنی نداشتن بیت‌کوین» بسیاری از افراد کیف پول‌های کاستودیال را ترجیح می‌دهند زیرا لازم نیست نگران ذخیره کردن یا فراموش کردن کلیدهای خصوصی و از دست دادن همیشگی وجوه کریپتوکارنسی خود باشید.

فیلیپ مارتین (Philip Martin) مدیر ارشد امنیت کوین‌بیس می‌گوید، اگر تصمیم گرفتید از یک صرافی استفاده کنید «وقت بگذارید و در مورد آن تحقیق کنید تا بفهمید کدام صرافی‌ها در طول زمان خود را به اثبات رسانده‌اند و تحت نوعی چارچوب نظارتی قرار دارند.»

علاوه بر این باید از ریسک‌های بالقوه نیز آگاه باشید. با داشتن کیف پول کاستودیال، هکرها نیازی به داشتن کلیدهای خصوصی شما برای انتقال وجوه رمزنگاری‌شده از حساب شما ندارند زیرا کلیدها نه در اختیار شما بلکه در اختیار صرافی هستند. نیومن می‌گوید داشتن کیف پول کاستودیال نیاز به یکی از دیوارهای محافظت از وجوه کریپتو را برای شما حذف می‌کند.

اگرچه بسیاری از صرافی‌ها به‌طورجدی روی ارتقاء امنیت سرمایه‌گذاری می‌کنند، راه‌های دیگری برای محافظت از حساب خود در مقابل هک شدن انفرادی ازجمله تائید اعتبار دومرحله‌ای وجود دارد.

چگونه از کیف پول خود محافظت کنید

ممکن است کیف پول کریپتو خود را برای هکرها باز گذاشته باشید؛ چطورباید از آن محافظت کنید؟

صرف‌نظر از اینکه تصمیم می‌گیرید کریپتوکارنسی خود و کلیدهای خصوصی را کجا ذخیره کنید، نسبت به وجود عوامل منفی در فضای کریپتو هوشیار باشید. اگرچه بسیاری از انواع متفاوت کلاه‌برداری‌ها وجود دارد، رایج‌ترین نوع آنها حملات تعویض سیم‌کارت (sim swapping) است.

در اینجا توضیح داده‌ایم که کلاه‌برداری‌های تعویض سیم‌کارت معمولاً چگونه اتفاق می‌افتند.

هنگامی‌که در یک صرافی اکانت (sign up) می‌سازید، یک نام کاربری و رمز عبور تعیین می‌کنید و می‌توانید برای محافظت از اکانت خود تائید اعتبار دومرحله‌ای (یا two FA) را فعال کنید. اگر هکری بتواند به اطلاعات ورود به سیستم شما دسترسی پیدا کند، علاوه بر این اطلاعات برای ورود به اکانت شما به عبور از تائید اعتبار دو‌مرحله‌ی نیز نیاز دارد. برای انجام این کار هکرها با شرکت فراهم‌کننده تلفن همراه شما تماس می‌گیرند و آنها را متقاعد می‌کنند که شماره تلفن شما را به تلفن همراه آنها منتقل کند.

نیومن می‌گوید «واقعاً مایه تأسف است اما متقاعد کردن شرکت تلفن همراه در مورد انتقال شماره تلفن شما برای هکرها چندان کار سختی نیست، به همین دلیل ما به‌صراحت می‌گوییم که هرگز از پیامک متنی برای تائید اعتبار دومرحله‌ای استفاده نکنید و تا حد امکان از این روش اجتناب کنید.»

با این حال، در برخی از صرافی‌های کریپتو تائید اعتبار دومرحله‌ای از طریق پیامک متنی تنها گزینه موجود است. مارتین می‌گوید، اگر نمی‌توانید از این روش اجتناب کنید با اپراتور تلفن همراه خود تماس بگیرید و از آنها بخواهید که رمز عبور یا سایر موانع دسترسی را به اکانت شما اضافه کنند.

علاوه بر این مارتین توصیه می‌کند که در صورت ارائه YubiKey توسط صرافی {آنچه او استاندارد طلایی تائید اعتبار دومرحله‌ای می‌نامد} حتماً از آن استفاده کنید. قابلیت YubiKey که توسط شرکت Yubico ایجادشده است یک USB سخت‌افزاری کلید تائید اعتبار است که می‌تواند به دستگاه متصل شود.

علاوه بر این مارتین توصیه می‌کند از نرم‌افزارهای مدیریت رمز عبور استفاده کنید و هشدار می‌دهد از رمز عبور یکسان در تمام اکانت‌های خود استفاده نکنید.

پس از اینکه یک سرویس کیف پول را انتخاب کردید، نرم‌افزار کیف پول اغلب اوقات یک بذر بازیابی (seed phrase) منحصر بفرد یا مجموعه‌ای از ۱۲ تا ۲۴ کلمه تصادفی تولید می‌کند که می‌تواند برای بازیابی کیف کریپتو مورداستفاده قرار بگیرد. عبارت بازیابی را نیز باید به‌طور کاملاً خصوصی و در مکان ایمن آفلاین نگهداری کنید.

در کنار اقدامات امنیتی باید به پیام‌های خارج از سیستم که در مورد کیف پول کریپتو خود دریافت می‌کنید نیز مظنون باشید.

مارتین می‌گوید «اگر بهتر است که حقیقت داشته باشد، قطعاً همین‌طور است.» «هیچ شخصی در توییتر واقعاً دو برابر رمزارزی که برای او فرستاده‌اید را به شما بازنخواهد گرداند.»

در آخر «اگر شخصی پیشنهاد می‌کند که یک نرم‌افزار اشتراک‌گذاری از راه دور صفحه مانیتور را روی لبتاپ شما نصب کند، بدبین باشید. من با اطمینان به شما می‌گویم که صرافی کوین‌بیس هرگز چنین کاری انجام نمی‌دهد.»

ممکن است کیف پول کریپتو خود را برای هکرها باز گذاشته باشید؛ چطورباید از آن محافظت کنید؟