راهکار‌های بالا بردن امنیت در کیف پول‌های رمزارزی

در این مقاله بصورت خلاصه به معرفی و بررسی راهکارهای امنیتی مرتبط با ذخیره‌ی دارایی‌های رمزارزی در انواع کیف پول می‌پردازیم و به سوالات رایج کاربران صنعت رمزنگاری پاسخ می‌دهیم.

۱.کیف پول من هک شده است. کمکم کنید!

از آنجایی که این اتفاق هم اکنون رخ داده است، کار زیادی از دست شما برنمی‌آید ولی…

تصور کنید که پس از باز کردن کیف پول خود ببینید که هیچ رمزارزی در آن ندارید و چند تراکنش به آدرس‌های ناآشنا صورت گرفته است، این واقعه احتمالاً به این معناست که شما هک شده‌اید. با توجه به ماهیت ناشناس ماندن افراد در شبکه‌ی رمزارزها، هرکسی که رمزارز و «یک سری کد» را در اختیار داشته باشد مالک آن محسوب می‌شود. پس در اکثریت مواقع اگر رمزارز خود را از دست دهید، برای همیشه آن را از دست داده‌اید. شاید بتوانید آدرس ناشناس یاد شده را ردیابی کنید، اما این امر کمکی به بازیابی دارایی شما نخواهد کرد. در اینگونه شرایط سریعاً به کمپانی ارائه دهنده‌ی کیف پول اطلاع دهید چونکه احتمالاً شما تنها کسی نیستید که با این مشکل مواجه شده و با این کار شرکت ارائه دهده‌ را از وجود یک نقص امنیتی در کیف پول رایانه‌ای/موبایلی خود آگاه خواهید کرد.

البته در صورتی که از کیف پول یک صرافی برای نگهداری رمزارزهای خود استفاده کنید، پس از هک شدن صرافی احتمال کمی وجود دارد که خسارات ناشی از این واقعه به شما بازپرداخت شود. در نتیجه بهترین کار این است که برای محافظت از دارایی‌های خودتان از امنیت کیف پول خود و روند صحیح استفاده از آن آگاهی کامل داشته باشید.

۲.چطور چنین چیزی اتفاق افتاده؟ هکر‌ها چگونه رمزارز سرقت می‌کنند؟

هکر‌ها معمولا از ضعف‌های انسانی برای سرقت استفاده می‌کنند.

محبوب‌ترین نوع تقلب در بین هکر‌ها فیشینگ(Phishing) است. در این روش هکر ممکن است با استفاده از نام ارائه‌ دهنده‌ی سرویس کیف پول برای شما یک ایمیل جعلی ارسال کند که حاوی یک آدرس وب(URL) است. این آدرس قطعاً با موارد دیگری که از طرف کمپانی اصلی فرستاده می‌شود تفاوت‌هایی خواهد داشت پس کاملا آن را مورد بررسی قرار دهید تا از اصالت  یا عدم اصالت لینک مطمئن شوید. در این روش هکر‌ها حتی می‌توانند یک آدرس واقعی را برای شما ارسال کنند اما با کلیک بر روی آن رایانه‌ی شما به سمت یک وب‌سایت جعلی شبیه به کیف پول آنلاین واقعی هدایت شود در نتیجه در حین بارگذاری صفحه‌ی مورد نظر حواستان به آدرسی که مرورگرتان در حال بارگذاری آن است باشد تا در صورت راهنمایی مجدد آدرس(Redirect شدن یا عوض شدن ادرس وب) از آن مطلع شوید.

آخرین مورد از کلاهبرداری فیشینگ بزرگ در تاریخ ۲۴ آپریل ۲۰۱۸ برای یک کاربر کیف پول آنلاین My Ether Wallet رخ داد که باعث شد توسط یک هک DNS مقداری اتریوم به ارزش ۱۵۰ هزار دلار به سرقت برود.

علاوه بر حملات فیشینگ، هکر‌ها می‌توانند به راحتی از خطاهای انسانی از جمله نگهداری کلید خصوصی(Private Key) در ایمیل شخصی، افشای کلید شخصی به صورت عمومی، استفاده از شبکه‌های محافظت نشده‌‌ی عمومی که اجازه‌ی دسترسی هکر‌ها به تمامی اطلاعات را می‌دهد نیز استفاده کنند.

از آنجایی که می‌توان تمامی تراکنش‌های شبکه‌های رمزارزی را در بلاکچین مشاهده کرد نگهداری مقدار زیادی رمزارز و یا انجام تراکنش‌های بزرگ حتی ممکن است باعث جلب توجه هکر‌ها و اقدام مستقیم آن‌ها برای دسترسی به کیف پول شما را به همراه داشته باشد؛ پس وقتی مقدار زیادی رمزارز در یک کیف پول نگهداری می‌کنید بیش از پیش به نکات امنیتی توجه داشته و آن‌ها را رعایت کنید.

۳.پس کلید‌های خصوصی خودم را کجا نگهداری کنم؟

کوتاه‌ترین پاسخ این است که روش‌های آفلاین بهتر از روش‌های آنلاین هستند.

یکی از رایج‌ترین اشتباهات کاربران نگهداری از کلید‌های خصوصی در ایمیل شخصی، ذخیره در فضای مجاری و بر روی سرویس‌هایی ابری همچون گوگل درایو(Google Drive) و یا دراپ باکس(Dropbox) و یا حتی ذخیره به صورت یادداشتی در تلفن همراه خود است. این موارد معمولاً اولین مکان‌هایی هستند که هکر‌ها به جستجوی سرنخ در آن‌ها می‌پردازند.

اولین قدم برای محافظت از کوین‌های شما این است که کلید‌های خود را به مکانی منتقل کنید که کمتر مورد توجه باشند. شاید بهتر باشد که این کلید‌ها را بر روی درایو‌های ذخیره‌ی یو اس بی(مثل انواع فلش مموری) منتقل کنید و یا خیلی ساده بر روی تکه کاغذی یادداشت کرده و در یک جای امن از آن نگهداری کنید.

بدیهی است که شما نباید این کلید‌ها را برای شخص دیگری افشا کنید و به یاد داشته باشید که هر کس کلید خصوصی شما را داشته باشد از نظر شبکه صاحب رمزارزهای شما به حساب می‌اید!

۴.اگر کلید‌های خود را از دست بدهم چه خواهد شد؟

به کیف پولی که از آن استفاده می‌کنید بستگی دارد.

در اکثر نرم‌افزار‌های کیف پول، با داشتن عبارت‌های پشتیبان(Backup Phrase) که معمولاً از ۱۲ کلمه‌ی مختلف تشکیل شده‌اند، می‌توان کلید خصوصی خود را بازیابی کرد. در حالتی که رمز نرم‌افزار کیف پول خود را گم کرده‌اید، تنها کافیست نرم‌افزار کیف پول خود را حذف کنید و سپس آن را دوباره نصب کنید. در این مرحله به راحتی می‌توانید یک رمز جدید برای کیف پول خود تعیین کرده و با استفاده از ۱۲ کلمه‌ی پشتیبان به حساب خود دسترسی پیدا کنید.

کیف پول‌های دیگری نیز وجود دارند که از شناسایی اثر انگشت و یا شناسایی چهره(Touch/Face ID) به جای استفاده از پین‌کد استفاده می‌کنند. به عنوان مثال در کیف پول Lumi شما می‌توانید به راحتی با رفتن به بخش تنظیمات(Settings) این نرم‌افزار، قابلیت تشخیص چهره‌ی آن را فعال کنید. نکته‌ی مثبت نرم‌افزار‌هایی همچون لومی این است که شما نیازی به رمز عبور و پین نخواهید داشت و تنها داشتن عبارت‌های پشتیبان برای شما کافی است.

نکته‌ی بسیار مهمی که وجود دارد این است که در صورت مفقود و یا فراموش شدن عبارت‌های پشتیبان شما برای همیشه کنترل و دسترسی به دارایی خود را از دست خواهید داد و در اینگونه موارد برای کمک به شما(حداقل فعلاً) هیچ راهی وجود ندارد!

۵.برای هر بار ورود به کیف پول یک آدرس جدید دریافت می‌کنم! آیا این امر عادی است؟

بله، این امر به دلیل افزایش میزان امنیت کیف پول انجام می‌گیرد.

این روش با ناماچ دی سیف(HD-safe و یا Hierarchical Deterministic) شناخته می‌شود که طی آن با هر بار استفاده از کیف پول خود، مثلا در زمان ارسال یا دریافت رمزارز، یک آدرس جدید برای شما ایجاد می‌شود. این مورد را می‌توان یک قابلیت مفید دانست چونکه استفاده از این روش علاوه بر سخت‌تر کردن ردیابی تراکنش‌های شما، باعث غیرممکن شدن محاسبه‌ی مقداری واقعی دارایی‌های شما توسط هکرها نیز می‌شود.

اگر نیاز دارید که مقدار زیادی رمزارز جابجا کنید، بهتر است که از این روش استفاده کرده و در چند نوبت و به مقدار کم‌تر تراکنش‌های خود را انجام دهید.

۶.آیا یک کیف پول ایده‌آل با سطح امنیتی بالا وجود دارد؟

هر کیف پولی از نظر آنلاین و آفلاین بودن، و یا حتی مکانیزم امنیتی با کیف پول دیگر فرق دارد.

اکثریت کیف پول‌های انلاین ابری یا به عبارتی کیف پول‌ها گرم(Hot wallets) از تایید هویت دو مرحله‌ای(Two-factor authentication) استفاده می‌کنند که یکی از روش‌های جلوگیری از ورود هکر‌ها به کیف پول شماست. کیف پول‌های گرمی که برای دسترسی به آن‌ها نیاز است تا نرم‌افزارشان بر روی تلفن‌همراه یا رایانه‌ی کاربر نصب شوند، علاوه بر عبارات پشتیبان ۱۲ کلمه‌ای، از پین‌کد نیز استفاده می‌کنند. کیف‌ پول‌های سرد و یا کیف پول‌های سخت‌افزاری که به صورت یک حافظه‌ی یو اس بی و یا یک قطعه‌ی سخت‌افزاری کوچک عمل می‌کنند، به نظر امن‌ترین راه محافظت از دارایی برای عموم مردم محسوب می‌شوند.

با این حال در صورت نداشتن آگاهی و دانش کافی، حتی کیف پول‌های سخت‌افزاری هم امن نخواهند بود. به روز رسانی منظم و مدیریت کلید‌های خصوصی هنوز هم از موارد حیاتی برای حفاظت از امنیت رمزارزها محسوب می‌شوند. از هرنوع کیف پولی که استفاده می‌کنید، در مرحله‌ی اول اطمینان حاصل کنید که رایانه و تلفن‌ همراه شما به نرم‌افزار‌های مخرب آلوده نشده باشد.

شما می‌توانید سوالات و نظرات ارزشمند خود را در بخش دیدگاه‌ها با ما به اشتراک بگذارید.