یکی از جذاب‌ترین ویژگی‌های رمزارزها در مقایسه با ارزهای رایج دولتی مانند دلار آمریکا، مالکیت مستقل و بی‌واسطه‌ی کاربران بر دارایی‌های دیجیتال خود است.

در نظام سنتی، انتقال ارزش و تسویه تراکنش‌ها به‌واسطه‌ی نهادهای مالی انجام می‌شود؛ اما در دنیای رمزارز، تنها دارنده‌ی کیف‌پول دیجیتال، اختیار کامل دسترسی به دارایی را دارد. به بیان دیگر، تا زمانی که رمزارز در کیف‌پول غیرامانی و به‌درستی نگهداری شود، هیچ نهاد مرکزی یا فرد مخربی نمی‌تواند آن را مسدود یا مصادره کند.

 

اما این استقلال مالی، بهایی نیز دارد. مسئولیت حفاظت از دارایی‌ها به‌طور کامل بر عهده‌ی خود کاربر است. در صنعتی که سرقت و از دست رفتن تصادفی دارایی‌ها پدیده‌ای رایج است، تأمین امنیت کیف‌پول کار ساده‌ای نیست.

 

در حالی که فرآیند خرید رمزارز روزبه‌روز آسان‌تر می‌شود، دانستن شیوه‌ی نگهداری ایمن از دارایی‌های دیجیتال همچنان برای بسیاری از افراد به‌ویژه کسانی که آشنایی کافی با فناوری ندارند، چالشی جدی محسوب می‌شود.

 

چگونه رمزارزهای خود را به‌صورت ایمن نگهداری کنیم

از آنجا که تمام توکن‌های رمزارزی، دارایی‌هایی کاملاً دیجیتال هستند، معادل فیزیکی برای نگهداری آن‌ها در گاوصندوق بانک‌ها یا صندوق‌های امانات وجود ندارد.

 

در عوض، دسترسی به رمزارزهایی که در اختیار دارید، از طریق کیف‌پول‌های دیجیتال امکان‌پذیر است. این کیف‌پول‌ها معمولاً به‌صورت نرم‌افزارهایی کاربردی یا دستگاه‌های فیزیکی (شبیه به حافظه فلش) طراحی شده‌اند که اطلاعات مربوط به دارایی‌های شما را ذخیره و ایمن‌سازی می‌کنند.

 

کیف‌پول رمزارزی چگونه کار می‌کند

پیش از معرفی انواع مختلف کیف‌پول‌ها و بررسی مزایا و معایب هر یک، لازم است درک دقیقی از سازوکار امنیتی رمزارزها داشته باشیم.

با تولید یک کیف‌پول رمزارزی، دو کد دیجیتالی که به‌صورت ریاضیاتی به یکدیگر مرتبط‌اند، ایجاد می‌شود:

 

• یک کلید عمومی (Public Key)

   

• یک کلید خصوصی (Private Key)

   

این دو کلید با هم‌دیگر، اثبات مالکیت بر دارایی‌های نگهداری‌شده در کیف‌پول را هنگام انتقال به دیگران ممکن می‌سازند.

 

کلید عمومی با عبور از یک الگوریتم رمزنگاری، به نشانی کیف‌پول عمومی تبدیل می‌شود؛ رشته‌ای ثابت و ترکیبی از حروف و اعداد که می‌تواند بدون محدودیت در اختیار دیگران قرار گیرد و برای دریافت دارایی (مانند آدرس پستی برای دریافت بسته) استفاده ‌شود.

 

در مقابل، کلید خصوصی اثبات‌کننده‌ی مالکیت واقعی دارایی‌هاست و نباید تحت هیچ شرایطی در اختیار دیگران قرار گیرد. اگر بخواهیم این سازوکار را با دنیای فیزیکی مقایسه کنیم، کلید عمومی نقش آدرس منزل را دارد، اما کلید خصوصی همانند کلید در ورودی خانه است که تنها باید در اختیار صاحب‌خانه باشد؛ در غیر این صورت، هر فردی می‌تواند وارد خانه شده و اموال داخل آن را به سرقت ببرد.

 

بر همین اساس، اگر کاربری کلید خصوصی خود را گم کند یا فراموش نماید، ممکن است برای همیشه دسترسی به دارایی‌های خود را از دست بدهد.

در مواردی که دستگاهی که کیف‌پول روی آن نصب شده گم یا خراب شود یا به سرقت برود، می‌توان با استفاده از یک کد پشتیبان، که به آن عبارت بازیابی (Seed Phrase) گفته می‌شود، کیف‌پول را روی دستگاه جدید بازیابی کرد. اما باید توجه داشت که این عبارت بازیابی حتماً باید پیش از آسیب دیدن یا از بین رفتن دستگاه ایجاد شده باشد و در محلی امن و آفلاین نگهداری شود.

 

دقیقاً مانند کلید خصوصی، اگر شخصی دیگر به عبارت بازیابی شما دست یابد، می‌تواند کیف‌پول شما را روی دستگاهی دیگر بازسازی کرده و تمامی دارایی‌های شما را تخلیه کند.

 

بهترین شیوه‌های امنیتی در نگهداری رمزارزها

برای محافظت از دارایی‌های دیجیتال و پیشگیری از گرفتار شدن در دام کلاهبرداری‌های رایج رمزارزی، آشنایی و پایبندی به مجموعه‌ای از اقدامات امنیتی ضروری است.

 

 

هرگز نسخه دیجیتال از کلید خصوصی یا عبارت بازیابی خود ایجاد نکنید

 همان‌گونه که پیش‌تر اشاره شد، کلید خصوصی و عبارت بازیابی، اطلاعاتی حیاتی برای دسترسی به کیف‌پول رمزارزی و بازیابی آن محسوب می‌شوند.

در زمان تهیه نسخه پشتیبان از این داده‌های حساس، کاربران باید آن‌ها را به‌صورت دستی روی کاغذ یادداشت کنند یا از محصولات فلزی مقاوم که ویژه نگهداری کلیدهای رمزارزی طراحی شده‌اند، استفاده نمایند. این نسخه‌ها باید در مکان‌هایی بسیار ایمن نظیر صندوق‌های ضدحریق و ضدآب که به زمین متصل شده‌اند، نگهداری شوند.

 

در مقابل، اقداماتی مانند گرفتن اسکرین‌شات، ارسال کلیدها یا عبارات بازیابی از طریق ایمیل، یا حتی پیام‌رسانی به افراد مورد اعتماد، راهی ساده و متداول برای درز اطلاعات حساس به دست مجرمان سایبری فراهم می‌کند.

 

تا جای ممکن دارایی‌های رمزارزی را در صرافی‌ها و پلتفرم‌های دیفای نگهداری کنید

 برای کاربران فعال در معاملات رمزارز یا درگیر در پروتکل‌های دیفای، ناگزیر در برخی مواقع لازم است بخشی از دارایی‌ها در یک صرافی یا پروتکل وارد شود؛ برای مثال، در یک استخر نقدینگی.

 

در صرافی‌های متمرکز، دارایی‌ها در کیف‌پول‌های آنلاین ذخیره می‌شوند که مدیریت آن‌ها در اختیار خود صرافی است. این تمرکز منابع مالی در یک نقطه، آن‌ها را به هدف جذابی برای هکرها بدل می‌کند.

 

در طول سال‌های گذشته، میلیاردها دلار از صرافی‌های رمزارزی به‌دلیل ضعف‌های امنیتی در زیرساخت کیف‌پول‌های آنلاین به سرقت رفته است. هرچند برخی پلتفرم‌ها اقدامات گسترده‌ای برای محافظت از دارایی کاربران انجام می‌دهند، همچنان نگهداری تمام سرمایه در یک پلتفرم معاملاتی توصیه نمی‌شود.

 

در مورد پروتکل‌های دیفای نیز دارایی کاربران در قالب قراردادهای هوشمند مدیریت می‌شود؛ قراردادهایی که توسط تیم‌های توسعه‌دهنده‌ی آن پروتکل‌ها نوشته و منتشر شده‌اند. در بسیاری از موارد، این قراردادها دارای نقص‌های امنیتی یا حفره‌های قابل بهره‌برداری بوده‌اند که امکان سوء‌استفاده مهاجمان را فراهم کرده است. حتی در برخی موارد، درهای پشتی تعبیه‌شده به‌صورت عمدی، به اعضای تیم امکان برداشت غیرمجاز از دارایی کاربران را داده است.

 

در نتیجه، همان‌گونه که نگهداری همه دارایی‌ها در یک صرافی متمرکز پرریسک است، برای کاربران دیفای نیز توصیه می‌شود تنها بخشی از دارایی‌های دیجیتال خود را در هر پروتکل دیفای قرار دهند تا ریسک کلاهبرداری یا سرقت به‌حداقل برسد.

 

فعال‌سازی تأیید هویت دومرحله‌ای

برای افزودن لایه‌ای مضاعف از امنیت به حساب‌های ایمیل و رمزارزی، توصیه می‌شود که از سازوکار تأیید هویت دومرحله‌ای (2FA) استفاده کنید.

تأیید هویت دومرحله‌ای از طریق اپلیکیشن‌هایی همچون «Google Authenticator» و دیگر برنامه‌های مشابه در دسترس کاربران قرار دارد. این برنامه‌ها کدهای یک‌بارمصرفی تولید می‌کنند که به‌طور خودکار هر ده ثانیه منقضی و جایگزین می‌شوند. این کدها مختص هر حساب کاربری هستند و احتمال نفوذ هکرها را به‌طور قابل‌توجهی کاهش می‌دهند.

 

همانند «عبارات بازیابی» (Seed Phrases) در کیف‌پول‌های رمزارزی، این برنامه‌ها نیز قابلیت تولید «کدهای پشتیبان» دارند که در صورت تعویض یا مفقودی دستگاه می‌توان از آن‌ها برای بازیابی حساب اصلی بهره گرفت.

 

از افشای دارایی‌های رمزارزی خود بپرهیزید

چه در انجمن‌های آنلاین فعال باشید، چه در محافل عمومی با دوستان گفت‌وگو کنید، به دارندگان رمزارز توصیه می‌شود که از افشای میزان دارایی خود خودداری کنند.

 

بیان اینکه فردی مقدار مشخصی رمزارز در اختیار دارد، او را در معرض هدف مجرمان قرار می‌دهد. حتی شماری از چهره‌های شناخته‌شده‌ی حوزه رمزارز در یوتیوب پس از افشای اطلاعات مربوط به دارایی خود، هدف حملات قرار گرفتند و بخشی از دارایی‌هایشان به سرقت رفت.

 

در موارد حادتر نیز گزارش‌هایی مبنی‌بر گروگان‌گیری و اجبار قربانیان به واگذاری دارایی‌های رمزارزی خود پس از افشای اطلاعات مالی منتشر شده است.

 

انواع کیف‌پول رمزارزی

تمامی کیف‌پول‌های رمزارزی موجود در بازار را می‌توان در دو دسته‌ی کلی جای داد:

• کیف‌پول‌های گرم

   

• کیف‌پول‌های سرد

   

کیف‌پول‌های گرم

این دسته از کیف‌پول‌ها همواره به اینترنت متصل هستند؛ ازجمله می‌توان به کیف‌پول‌های مبتنی‌بر مرورگر نظیر متامسک یا کوین‌بیس والت و نرم‌افزارهایی مانند Exodus اشاره کرد.

 

اتصال دائمی به اینترنت این مزیت را دارد که کاربر می‌تواند به‌سادگی مانده‌حساب خود را مشاهده و تراکنش‌های رمزارزی را به‌سرعت و تنها با یک کلیک انجام دهد. اما همین ویژگی، نقطه‌ضعف امنیتی آن نیز محسوب می‌شود.

 

کلیدهای خصوصی کیف‌پول‌های گرم معمولاً به‌صورت آنلاین یا روی دستگاه نصب‌شده ذخیره می‌شوند و درصورتی‌که کاربر تدابیر امنیتی لازم را رعایت نکرده باشد، این اطلاعات حساس در معرض خطر حملات سایبری قرار می‌گیرند.

 

در گذر زمان، شیوه‌های پیچیده‌ای از حملات فیشینگ و کلاه‌برداری پدید آمده‌اند که با هدف دستیابی به کلیدهای خصوصی طراحی شده‌اند؛ ازجمله نصب بدافزارهای مخرب یا ساخت وب‌سایت‌های جعلی با ظاهر پلتفرم‌های معتبر.

 

کیف‌پول‌های سرد

در نقطه‌ی مقابل، کیف‌پول‌های سرد قرار دارند. این کیف‌پول‌ها به‌صورت فیزیکی طراحی شده‌اند و تنها هنگام اتصال دستی به رایانه به اینترنت متصل می‌شوند.

 

در اغلب مواقع، کیف‌پول‌های سرد به‌طور کامل از اینترنت جدا هستند و همین امر موجب می‌شود که تنها در صورت دسترسی فیزیکی مهاجم به دستگاه، امکان دسترسی به دارایی‌ها وجود داشته باشد.

 

گرچه امنیت این دسته از کیف‌پول‌ها بسیار بیشتر از کیف‌پول‌های گرم است، اما در مقابل، استفاده از آن‌ها برای انجام تراکنش، با اندکی دشواری و کندی همراه است.

از مهم‌ترین شرکت‌های تولیدکننده‌ی کیف‌پول‌های سرد می‌توان به «لجر» و «ترزور» اشاره کرد.

 

به‌عنوان یک قاعده‌ی کلی، توصیه می‌شود کیف‌پول‌های سرد را صرفاً از تولیدکننده‌ی رسمی خریداری کنید؛ چرا که برخی نمونه‌های دستکاری‌شده در بازار ثانویه مشاهده شده‌اند که استفاده از آن‌ها به از دست رفتن دارایی‌های کاربران منجر شده است.

 

تهدیدهای امنیتی در دنیای رمزارزها

خرید رمزارز و ذخیره‌سازی آن در کیف‌پول، لزوماً به‌معنای امنیت کامل دارایی‌های شما نیست. سودآوری بالای رمزارزها و نبود نظارت رسمی بر این حوزه، آن را به هدفی وسوسه‌برانگیز برای هکرها و کلاه‌برداران بدل کرده است.

 

بااین‌حال، اغلب تهدیدهای سایبری در این فضا را می‌توان با رعایت چند اقدام ساده از پیش دفع کرد. آشنایی با نشانه‌های رایج کلاه‌برداری‌های رمزارزی، از مؤثرترین راهکارهای مقابله با این تهدیدها است.

 

در بیشتر موارد، کلاه‌برداری‌های رایج در این صنعت را می‌توان در قالب سه الگوی شناخته‌شده دسته‌بندی کرد.

 

کلاه‌برداری با عنوان اهدای رمزارز رایگان (Crypto Giveaway)

 این نوع از کلاه‌برداری‌ها به‌ویژه در پلتفرم‌هایی نظیر توییتر و یوتیوب شیوع بالایی دارند. در این شگرد، حساب‌هایی جعلی با استفاده از تصویر و اعتبار اشخاص مشهور و اثرگذار، مدعی می‌شوند که در ازای ارسال رمزارز به یک آدرس خاص، دارایی را دو برابر بازمی‌گردانند. واقعیت آن است که هر رمزارزی که به این آدرس‌ها واریز شود، مستقیماً به سرقت رفته و هیچ مبلغی بازنمی‌گردد.

 

 

در کنار این حساب‌های جعلی، گروهی دیگر از حساب‌ها نیز به‌صورت سازمان‌یافته در نقش کاربران «موفق» ظاهر می‌شوند و با ارائه‌ی نظرات ساختگی مبنی بر دریافت دارایی دو برابر، به اعتبار دروغین این طرح‌ها دامن می‌زنند.

 

فیشینگ از طریق ایمیل (Phishing Emails)

 در عصر دیجیتال، نشت داده‌ پدیده‌ای ناآشنا نیست. در سال‌های اخیر، شرکت‌های مطرح حوزه رمزارز ازجمله لجر، اوپن‌سی و سلسیوس نتورک نیز هدف حملاتی قرار گرفته‌اند که منجر به افشای داده‌های شخصی کاربرانشان شده است.

 

در پی این افشاها، کاربرانی که داده‌هایشان لو رفته، با موجی از پیام‌های جعلی از سوی منابع به ظاهر رسمی مواجه می‌شوند که از آن‌ها می‌خواهد اطلاعات حساس خود را مجدداً وارد کنند یا مشخصات ورودشان را ارائه دهند. در برخی موارد نیز لینک‌هایی مخرب در این ایمیل‌ها گنجانده می‌شود که با کلیک بر آن، بدافزارهایی به سیستم کاربر نفوذ کرده و به‌طور خاص کیف‌پول‌های رمزارزی را هدف قرار می‌دهند.

 

طرح‌های پانزی (Ponzi Schemes)

 ماهیت نوسان‌پذیر و سوداگرانه‌ی رمزارزها، بسیاری از سرمایه‌گذاران را به طمع کسب سودهای نجومی واداشته است. با سوءاستفاده از این عطش سود، موجی از طرح‌های پانزی شکل گرفته‌اند که وعده‌ی بازدهی بالا در قبال حداقل سرمایه‌گذاری را می‌دهند.

 

گرچه برخی از این طرح‌ها با ظاهر غیرحرفه‌ای به‌سادگی قابل شناسایی‌اند، اما برخی دیگر، با طراحی پلتفرم‌هایی حرفه‌ای و ظاهر معتبر، حتی کاربران آگاه را نیز فریب می‌دهند.

 

پیش از هرگونه سرمایه‌گذاری چه در حوزه رمزارز و چه فراتر از آن ضروری است که فهرستی از پرسش‌های کلیدی به‌عنوان بخشی از بررسی‌های اولیه مدنظر قرار گیرد:

•  آیا تیم مدیریتی پلتفرم قابل شناسایی است؟

  آیا کانال‌های رسمی مانند لینکدین یا دیگر شبکه‌های اجتماعی فعال هستند؟

  آیا سازوکار پلتفرم برای ایجاد سودهای بالا به‌روشنی تشریح شده است؟

  آیا امکان برداشت سرمایه به‌سادگی وجود دارد؟

 

برای نمونه، پروژه‌ی بیت‌کانکت که در برهه‌ای از زمان در میان ده رمزارز برتر بازار جای داشت، یکی از معروف‌ترین نمونه‌های کلاه‌برداری پانزی در دنیای رمزارزها به‌شمار می‌رود. این پروژه طی سال‌های ۲۰۱۶ تا ۲۰۱۸ هزاران سرمایه‌گذار را فریب داد و بیش از ۲ میلیارد دلار دارایی آن‌ها را به یغما برد. با وجود وب‌سایتی حرفه‌ای و تیمی از مروّجان عمومی، نه‌تنها تیم اصلی Bitconnect هرگز معرفی نشد، بلکه ادعای استفاده از «ربات معاملاتی خودکار» برای کسب سود نیز هرگز به اثبات نرسید.

 

سخن پایانی

حفظ امنیت کیف‌پول‌های رمزارزی مستلزم آگاهی، دقت و رعایت مجموعه‌ای از تدابیر پیشگیرانه است. نخستین گام، استفاده از کیف‌پول‌هایی با سطح امنیتی مناسب است؛ کیف‌پول‌های سرد به‌دلیل عدم اتصال دائمی به اینترنت، در برابر حملات سایبری مقاوم‌تر از کیف‌پول‌های گرم هستند و برای نگه‌داری دارایی‌های بلندمدت توصیه می‌شوند. همچنین فعال‌سازی تأیید هویت دومرحله‌ای، استفاده از رمزهای پیچیده و نگهداری امن کلیدهای خصوصی، از دیگر اقدامات ضروری برای حفاظت از دارایی‌های دیجیتال به‌شمار می‌روند.

 

در کنار این اقدامات فنی، هوشیاری در برابر شگردهای مهندسی اجتماعی و حملات فیشینگ نیز اهمیت فراوان دارد. کاربران باید از کلیک روی لینک‌های مشکوک، افشای اطلاعات حساس و اعتماد به وعده‌های غیرواقعی همچون اهدای رمزارز اجتناب کنند. بررسی اعتبار پلتفرم‌ها، شناسایی تیم اجرایی و اطمینان از امکان برداشت دارایی، از جمله گام‌هایی است که پیش از هرگونه سرمایه‌گذاری یا استفاده از یک سرویس باید انجام شود. در نهایت، آگاهی مستمر و به‌روزرسانی دانش امنیتی، بهترین سپر در برابر تهدیدهای دنیای رمزارزها خواهد بود.