آیا صرافی رمزارزی‌ای وجود دارد که واقعا امن باشد؟

پس از هک شدن صرافی بزرگ بایننس(Binance)، مسئله‌ی امنیت صرافی‌های رمزارزی باز هم کانون توجهات قرار گرفت. آقای چانگ‌پنگ ژائو(Changpeng Zhao) مدیرعامل این صرافی، به کاربران اطمینان داد که «تمام ۷ هزار واحد رمزارز بیت‌کوین(با نماد BTC) کسر شده از حساب کاربران، جبران خسارت خواهد شد و زمانی که حرف از امنیت به میان باشد، بایننس برترین عنوان خواهد بود». اما این رویداد هک نشان داد که حتی بالاترین سطوح امنیتی نیز ممکن است برای تامین امنیت کافی نباشند.

کلید شما نیست، بیت‌کوین شما نیست

عبارت « کلید شما نیست، بیت‌کوین شما نیست» به دارندگان رمزارز یادآوری می‌کند که باید رمزارزهای خود را به صورت آفلاین و در کیف‌پول‌های رمزارزی نگهداری کنند. اما این واقعیت را نباید فراموش کرد که صرافی‌های متمرکز همچنین اصلی‌ترین راه ارتباطی بین صنعت رمزارزی و دنیای فیات هستند، و برای مبادله‌گران نیز نقدینگی ارزشمند را به همراه دارند.

پس از شکسته شدن دیوار‌های امنیتی بایننس، برای همه مشخص شده که حتی بهترین و معتبرترین صرافی رمزارزی جهان نیز به صورت ۱۰۰درصد از خطا و شکست به دور نیست. زمانی که حرف از امنیت باشد صرافی‌های بزرگی همچون Poloniex، Binance و Kraken کارهای لازم را انجام می‌دهند، اما مشخص شد که حتی این مقدار از تلاش برای برقراری امنیت نیز ناکافی است.

آیا تایید هویت چند مرحله‌ی می‌تواند مشکل را حل کند؟

بیشتر صرافی‌های معتبر توصیه می‌کنند که از تایید هویت دومرحله‌ای(2FA) استفاده کنید و یا آن را به صورت یک ضرورت جهت انجام مبادلات به کاربران خود معرفی می‌کنند. در صورت فعال‌سازی این سرویس، تراکنش با استفاده از چیزی مانند ایمیل یا رمزعبور دوم و یا حساب تایید هویت بر روی تلفن همراه یا یک دستگاه فیزیکی که اعداد تصادفی تولید می‌کنند، تایید و اطلاع‌رسانی خواهد شد.

تایید هویت چند عاملی(MFA) حتی از این هم یک قدم جلوتر رفته است. به عنوان مثال روش 3FA از کاربر می‌خواهد که به غیرموارد معمول، یک چیز دیگر مانند اثر انگشت، اثر کفت دست، شبکیه‌ی چشم، صدا یا حتی سیستم تشخیص چهره برای تایید تراکنش‌های خود استفاده کنند.

یکی دیگر از عوامل مورد نیاز برای تایید تراکنش می‌تواند شناسایی موقعیت مکانی شما(جایی که در لحظه‌ی انجام تراکنش حضور دارید) و یا حرکات یا اقدامات شما باشد.

اما در نظر داشته باشید که این عوامل امنیتی نیز دردسر‌های خود را به همراه خواهند داشت. مثلا اقدام مربوط به احراز هویت مکانی یا همان تشخیص موقعیت مکانی جهت تایید تراکنش، برای کسانی که مدام در حال مسافرت هستند می‌تواند به یک کابوس تبدیل شود. تکنیک تشخیص جغرافیایی در این مورد می‌تواند بسیار مفید واقع شود، اما اگر خدمات جغرافیایی نیز غیر قابل دسترسی باشند(مانند کشور‌های در حال تحریم و یا مناطق غیرقابل پوشش)، خدمات نیز محدود خواهند بود. مثلا شما در حال مسافرت هستید و وارد حساب خود می‌شود، چند دقیقه بعد نیز همین کار را انجام می‌دهید اما موقعیت مکانی شما تغییر کرده و ممکن است در شهر یا حتی کشور دیگری حضور یافته باشید، در این حالت استفاده از چنین عاملی می‌تواند بسیار مشکل و دردسرساز باشد.

چرا صرافی‌های رمزارزی برای مقابله با تهدیدات سایبری از تجهیزات بهتری استفاده نمی‌کنند؟

در برخی از صرافی‌های رمزارزی بزرگ از تدابیر امنیتی اضافی همچون رویه‌ی چند مرحله‌ای، سقف حداکثری برای میزان برداشت دارایی و حتی یک تاخیر ساختی در زمان برداشت دارایی وجود دارد؛ و قطعا برخی رویداد‌های هک مانند هک شدن صرافی ژاپنی Coincheck که در ژانویه‌ی ۲۰۱۸ رخ داد و چیزی معادل ۵۰۰ میلیون دلار رمزارز NEM‌ به سرقت رفت، به دلیل ضعف پروتکل‌های امنیتی بوده است. مثلا در نمونه‌ی صرافی Coincheck، تمامی دارایی‌های این صرافی بر روی کیف‌پول‌های گرم(Hot Wallet) ذخیره شده بود و هکر‌ها امکان دسترسی به آن را داشتند.

پس از رویداد هک صرافی Coincheck، گزارشاتی منتشر شد که نشان می‌داد بیش از ۷۰ درصد تمام صرافی‌های رمزارزی جهان  از «شیوه‌های رمزگذاری ناامنی» استفاده می‌کنند که در مقابل حملات هک بسیار آسیب‌پذیرند. در گزارشات دیگری نیز گفته شده بود که صنعت رمزارز و فناوری بلاک‌چین هنوز هم برای مقابله با تهدیدهای دیجیتال آمادگی لازم را ندارد.

آیا صرافی‌های رمزارزی را می‌توان بیمه کرد؟

صرافی Gemini با افتخار به کاربران خود اعلام نموده که تمام دارایی‌هایی که در کیف‌پول‌های گرم نگهداری می‌شوند، در مقابل سرقت و حملات هک بیمه هستند. از سوی دیگر صرافی Coinbase و Circle نیز اعلام نموده‌اند که تحت خدمات ذخیره‌ی ارزی مستقل استرالیا، تحت پوشش مالی هستند.

با این حال استفاده از بیمه یک راه‌حل جامع برای این صنعت نیست و می‌تواند یک مخاطره‌ی روحی برای کاربران ایجاد کند. دانستن این موضوع که تلفات ناشی از سرقت رمزارزی آن‌ها توسط صرافی تحت خدمات بیمه قرار گرفته، ممکن است باعث شود که کاربران بجای استفاده از تمام ابزار‌های امنیتی حاضر، بی‌دقت‌ رفتار کنند.

آیا صرافی‌های غیرمتمرکز پاسخ این مشکلات هستند؟

وعده‌ی صرافی‌های غیرمتمرکز می‌تواند موجب خوش‌بینی شود. بایننس نیز به شکل عجیب و غریبی با اعلام راه‌اندازی صرافی غیرمتمرکز DEX که براساس بلاک‌چین BNB کار می‌کند، بر آتش این مورد دامن زد.

اما گرچه این نوع صرافی تراکنش‌های واقعا نقطه به نقطه را ارائه می‌کند، اما از لحاظ کسب نقدینگی با مشکلاتی روبرو هستند و ممکن است تا زمان از بین رفتن بسیاری از رمزارزهای ثانویه‌ی امروزی، به ظهور و گسترش عمومی نرسند. در آن زمان که رمزارزهای ثانویه از بین رفته باشند، دنیای رمزارزی دیگر به تعداد زیادی صرافی نیاز نخواهد داشت.

با تمام این تفاسیر به نظر می‌رسد که با وجود همه‌ی این نقطه ضعف‌ها، صرافی‌های رمزارزی متمرکز، حداقل برای آینده‌ی نه چندان دور به بخش جدایی ناپذیر این صنعت نوبنیاد تبدیل شده‌اند. گرچه صرافی‌های بزرگی همچون بایننس و Gemini برای اطمینان دادن به مبادله‌گران خود تلاش‌های زیادی انجام داده‌اند، برای ما و بسیاری از کاربران این صنعت بهترین راه حفظ امنیت، ساده‌ترین راه آن است: کلید‌های خود را در یک فضای آفلاین ذخیره کنید.

به نظر شما چه راهکاری برای برقراری امنیت صرافی‌های رمزارزی وجود دارد؟ آیا استفاده از صرافی‌های غیرمتمرکز می‌تواند پاسخی به این سوال باشد؟ نظرات خود را با ما به اشتراک بگذارید.