بابک | 2014.03.10

راه‌های حفظ امنیت ارزهای دیجیتال و جلوگیری از کلاهبرداری

در قلب رمز ارزها، ایده‌ی خودحاکمیتی یا خودمختاری (self-sovereignty) قرار دارد؛ مفهومی مبنی بر این‌که کاربران می‌‌توانند به‌‌عنوان بانک خود عمل کنند. اموال‌‌تان را به‌‌خوبی ایمن کنید تا دسترسی دیگران به آن از محافظت‌‌شده‌‌ترین خزانه‌‌های بانکی نیز دشوارتر باشد. اگر نتوانید آن‌‌ها را امن نگه دارید، این خطر به وجود می‌‌آید که یک نفر از راه دور کیف‌پول دیجیتالی‌‌تان را خالی کند.

«تاریخ آخرین به‌روزرسانی این مقاله: تیر ۱۴۰۰»

آموختن نحوه حفظ امنیت ارزهای دیجیتال یکی از گام‌‌های حیاتی و ضروری در ورود به مسیر بغرنج و پیچیده‌‌ی رمز ارزهاست. این‌بار در کوین ایران بعضی از فنون و تکنیک‌‌های امنیت رمز ارزها را با شما در میان می‌گذاریم.

کلید خصوصی چیست؟

کلید خصوصی، درست مثل کلید واقعی، رمز ارزهایتان را باز می‌‌کند تا بتوانید آن‌‌ها را خرج کنید. کلید خصوصی یک عدد بزرگ است (آنقدر بزرگ که حدس زدنش برای هیچ‌کس ممکن نیست). اگر یک سکه را 256 بار به بالا پرتاب کنید و هر بار که شیر آمد عدد «1» و هر بار که خط آمد عدد «0» را بنویسید، در پایان یک کلید خصوصی خواهید داشت. ما با این روش و به شکل هگزادسیمال (با استفاده از اعداد 0 تا 9 و حروف انگلیسی a تا f) یک کلید خصوصی ساختیم:

8b1929a7686a0acf73f2a19e1196723d2b7e151565ab2f515a2e1819f6a7f9be

اگر این عبارت را در گوگل جستجو کنید، می‌‌بینید که تنها در این مقاله‌‌‌‌ی کوین ایران آمده است (مگر اینکه کسی آن را کپی کرده باشد). بدین ترتیب می‌‌فهمید که این ترکیب یا عدد تا چه حد می‌‌تواند تصادفی باشد (احتمال اینکه کسی آن را پیشتر دیده باشد به شکل ناباورانه‌‌ای پایین است).

البته این مثال آن‌طور که باید حق مطلب را ادا نمی‌‌کند. تعداد احتمالات کلیدهای خصوصی نزدیک به تعداد اتم‌‌های شناخته‌‌شده در جهان هستی است. خلاصه اینکه کلید خصوصی یکی از ارکان امنیتی ضروری رمز ارزهایی مانند بیت کوین و اتریوم است. کوین‌‌های شما به این دلیل که در یک بازه‌‌ی عددی بزرگ و سرسام‌آور قرار دارند، امن هستند.

پیشنهاد مطالعه: آشنایی با کلیدهای رمزنگاری متقارن و نامتقارن و کاربرد آن‌ها در رمز ارزها

اگر تاکنون از طرف کسی وجهی دریافت کرده باشید، با آدرس‌‌های عمومی که آن‌‌ها نیز رشته‌‌هایی از اعداد تصادفی هستند آشنایی دارید. این اعداد با انجام برخی کارهای عجیب و غریبِ رمزنگارانه بر کلیدهای خصوصی‌تان برای ساخت یک کلید عمومی به دست می‌‌آیند که برای دریافت آدرس عمومی هش می‌‌شوند.

البته در این مقاله چندان به نحوه ساخت و انجام این کار نمی‌‌پردازیم. همین‌قدر بدانید که اگرچه ساخت یک آدرس عمومی با کلید خصوصی ساده است، اما برعکس آن، یعنی ایجاد کلیدهای خصوصی از آدرس عمومی کاملا غیرممکن است. به همین دلیل است که می‌‌‌‌توانید کلیدهای عمومی‌‌تان را در وبلاگ‌‌ها، شبکه‌‌های اجتماعی، صفحات و … قرار دهید و نگران امنیت اموال‌‌تان نباشید. هیچ‌کس نمی‌‌تواند بدون داشتن کلیدهای خصوصی‌‌تان به پول‌‌های شما دسترسی داشته باشد.

اگر کلیدهای خصوصی‌‌تان را گم کنید، دیگر نمی‌‌توانید به پول‌‌های‌ خود دسترسی داشته باشید. اگر کس دیگری کلید خصوصی‌‌ شما را بفهمد، می‌‌تواند همه پول‌‌های‌تان را خرج کند. پس امن نگه داشتن کلیدهای خصوصی از دست دیگران یکی از مهم‌‌ترین کارهایی‌‌ست که باید بکنید.

 

عبارت‌‌های بازیابی

دقت داشته باشید که امروزه کیف‌پول‌‌ها به‌‌ندرت تنها یک کلید خصوصی دارند (آن‌‌ها کیف‌پول‌‌های hierarchical deterministic یا HD هستند، یعنی می‌‌توانند میلیاردها کلید مختلف را در خود جای دهند). کافی‌‌ست عبارت بازیابی یا seed که ترکیبی از کلمات خوانای قابل استفاده برای تولید این کلیدها هستند را بدانید. این عبارت چیزی شبیه به این است:

collection sadness boss daring voice time holiday vintage quantum pony stable genuine

در هنگام ساخت یک کیف‌پول جدید از شما خواسته می‌‌شود که عبارت بازیابی را نزد خود نگه دارید و از آن بک‌‌آپ بگیرید، مگر اینکه خودتان تصمیم بگیرید تنها یک کلید خصوصی داشته باشید.

بعداً که درباره ذخیره‌‌ کردن کلیدها صحبت می‌‌کنیم، اصطلاح «کلید» هم برای کلیدهای خصوصی و هم برای عبارت بازیابی مورد استفاده قرار می‌‌گیرد.

پیشنهاد مطالعه: تکنیک‌های امنیت و حریم خصوصی مورد استفاده در بلاک‌چین

امضاهای دیجیتال

آنچه در بالا درمورد کلیدهای خصوصی/عمومی گفتیم، رمزنگاری کلید عمومی نام دارد. در اینجا امکان استفاده از امضاهای دیجیتال (digital signatures) نیز فراهم می‌‌شود که ثابت می‌‌کنند پیغام‌‌ها از طرف افراد خاص ارسال می‌‌شوند. وقتی تراکنش‌‌های رمزارز انجام می‌‌دهید، کلیدهای خصوصی‌‌تان را برای ساخت یک امضای دیجیتال، با یک پیام ترکیب می‌‌کنید. نمی‌‌توان با نگاه کردن به امضا، کلید خصوصی را فهمید، پس انتشار آن درست مثل آدرس عمومی مانعی ندارد.

یکی از ویژگی‌‌های خوب امضاهای دیجیتال این است که همه می‌‌توانند برای تشخیص اینکه مالک کلید پیام را امضا کرده است یا نه، کلید عمومی و امضا را مقایسه کنند. وقتی رمزارزتان را خرج می‌‌کنید، یک پیام امضاشده می‌‌فرستید که می‌‌گوید «من n کوین به آدرس y می‌‌فرستم».

به این شکل می‌‌توانید ثابت کنید که حق خرج کردن و پرداخت کوین‌‌های مشخصی را دارید. پیامی که منتشر می‌‌کنید (یعنی تراکنش‌‌تان)، به بلاک‌‌ چین افزوده می‌‌شود و همه می‌‌توانند اعتبار آن را بررسی کنند. تمام این کارها بدون انتشار کلیدهای خصوصی‌‌تان انجام می‌‌شود.

کیف‌ پول‌‌های داغ در مقابل کیف پول‌‌های سرد

کیف‌پول‌‌ها به دو دسته داغ و سرد تقسیم می‌‌شوند. خُب کیف پول‌‌های داغ و سرد چه ویژگی‌‌هایی دارند.

کیف پول‌‌های داغ

کیف‌پول‌‌ داغ یا hot به کیف‌پول رمز ارزی گفته می‌‌شود که به اینترنت متصل است (مانند کیف‌پول‌‌های موبایلی و دسکتاپ). کیف‌پول‌‌های داغ تجربه کاربری خوب و خوشایندی ارائه می‌‌کنند. استفاده از آن‌‌ها در ارسال، دریافت و معامله رمزارز و توکن آسان است. اما گاهی این سهولت استفاده به قیمت خطر امنیتی تمام می‌‌شود.

پیشنهاد مطالعه: بهترین کیف پول دسکتاپ برای رمز ارزها در ۲۰۲۱

کیف‌پول‌‌های داغ به دلیل اتصال‌‌شان به اینترنت، ذاتاً آسیب‌‌پذیرند. اگرچه در این کیف‌پول‌‌ها کلیدهای خصوصی به هیچ وجه منتشر نمی‌‌شوند، اما این احتمال وجود دارد که دستگاه‌‌های آنلاین از راه دور آلوده شده و به‌دست خرابکاران بیفتد.

البته نمی‌‌خواهیم بگوییم که کیف‌پول‌‌های داغ کاملاً ناامن هستند، بلکه نسبت به کیف‌پول‌‌های سرد امنیت کمتری دارند. کیف‌پول‌‌های داغ از نظر کاربری برتری دارند و گزینه‌‌ی ارجح‌‌تری برای نگهداری موجودی‌‌های کم هستند.

کیف پول‌‌های سرد

خیلی‌‌ها برای دوری از ریسک حملات آنلاین، تصمیم می‌‌گیرند کلیدهای‌شان را به‌صورت آفلاین نگه دارند. این کار با استفاده از کیف‌پول‌‌های سرد امکان‌‌پذیر است. کیف‌پول‌‌های سرد، برخلاف کیف‌پول‌‌های داغ، به اینترنت متصل نیستند. برای فهمیدن این روند بیایید مراحل ساخت و انتشار یک تراکنش را بررسی کنیم.

پیشنهاد مطالعه: کیف پول سرد و گرم چه تفاوتی با هم دارند؟

ایجاد یک تراکنش

در رمزارزهای مبتنی بر UTXO، برای ایجاد یک تراکنش به مقداری اطلاعات نیاز دارید. مشخصاً به داده‌‌های وجوهی که می‌‌‌‌خواهید خرج کنید (ورودی‌‌ها) و آدرسی که به آن پول می‌‌فرستید نیاز دارید. با این دو داده می‌توانید ساختار یا اسکلت تراکنش را بسازید. اما هنوز وجوه قابل ارسال نیستند. برای این‌کار باید تراکنش را امضا کنید.

امضای تراکنش

باید به شبکه ثابت کنید که مالک وجوه انتقالی هستید. اینجاست که کلید خصوصی به درد می‌‌خورد. ورودی‌های‌تان امضا شده‌‌اند و یک تراکنش امضا‌شده دارید که پس از امضا می‌‌توانید بلافاصله تراکنش را منتشر کنید یا می‌‌توانید صبر کنید، و یا می‌‌توانید از کسی بخواهید که تراکنش را از طرف شما منتشر کند.

انتشار تراکنش

این مرحله‌‌ای‌‌ست که تراکنش وارد شبکه بلاک چین می‌‌شود. اگر تراکنش امضاشده را شبیه به چکی درنظر بگیریم که هنوز نقد نشده است، عمل انتشار همان انتقال وجوه به حساب می‌‌آید.

کیف پول‌‌های سخت‌‌افزاری

جالب است که هیچ‌کدام از مراحل قبل نیازی نیست در کیف‌پول سخت‌‌افزاری انجام شود. شما می‌‌توانید تراکنش را روی کامپیوتر ایجاد کنید، آن را روی کامپیوتر امضا کنید و آن را روی کامپیوتر منتشر نمایید؛ کیف‌پول‌‌های سرد بر این اصل متکی هستند. در این مثال، شما کلیدهای خصوصی‌‌تان را ایجاد و آن‌‌ها را روی کامپیوتر ذخیره می‌‌کنید و به صورت همیشگی آفلاین نگه می‌‌دارید.

کامپیوترها هم درمقابل بدافزار آسیب‌‌پذیرند، اما اشکالی ندارد: به محض امضای یک تراکنش، دیگر امکان تغییر آن وجود ندارد. مهم این است که کامپیوتر به اینترنت متصل نیست. کامپیوتر مثل جعبه سیاهی عمل می‌‌کند که کلیدهای خصوصی را ذخیره و تراکنش‌‌ها را امضا می‌‌کند. درواقع کامپیوتر در این سناریو حتی موردنیاز هم نیست.

هدف کیف‌پول‌‌های سخت‌‌افزاری (مانند Trezor یا Ledger Nano S) ارائه تجربه کاربری بهتر و حفظ اصل آفلاین بودنِ کلیدهای خصوصی است. این کیف‌پول‌‌ها قابل حمل بوده، ارزان‌‌تر از کامپیوترهای شخصی هستند و کاملاً برای ذخیره‌‌سازی رمز ارز ساخته شده‌‌اند.

صنعت کیف‌پول سخت‌‌افزاری در سال‌‌های گذشته به شکل قابل ‌‌ملاحظه‌‌ای رشد داشته و چندین محصول به بازار ارائه کرده است. با جستجو در سایت کوین ایران می‌‌توانید با این محصولات آشنا شوید.

پیشنهاد مطالعه: مقایسه Trezor و Ledger – بهترین روش برای ذخیره سازی رمزارزها

حضانتی یا غیرحضانتی

در بالا استفاده از کیف‌پول‌‌های غیرحضانتی (آن‌‌هایی که کنترل کامل کلیدهای‌‌تان را به خودتان می‌‌دهند) را بررسی کردیم. اما اگر از سرویس آنلاینی مثل صرافی رمزارز استفاده کنید، به موجب پروتکل، اختیار کامل کوین‌‌هایتان را ندارید. درعوض، صرافی از طرف شما وجو‌‌ه‌تان را نگهداری و مدیریت می‌‌کند (به همین دلیل حضانتی نام دارند). در بیشتر موارد، صرافی برای امن نگه داشتن کوین‌‌های شما از ترکیب کیف‌پول‌‌های داغ و سرد بهره می‌‌گیرد. پس امنیت کیف‌پول‌‌های الکترونیک میسر نمی‌‌شود مگر با کسب اطلاعات و استفاده از ترکیب انواع کیف‌پول و انتخاب بهترین گزینه.

پس اگر بخواهید BTC را با BNB مبادله کنید، صرافی موجودی BTCتان را کسر و موجودی BNB شما را در پایگاه داده خود اضافه می‌‌کند. در اینجا هیچ تراکنش بلاک چینی‌ای انجام نمی‌‌شود. تنها زمانی که تصمیم بگرید رمز ارزهای‌‌تان را برداشت کنید از صرافی می‌‌خواهید که تراکنش را امضا کنید. سپس آن‌‌ها تراکنشی منتشر می‌‌کنند که کوین‌‌های‌تان را به آدرس مربوطه ارسال خواهد کرد.

صرافی‌‌های رمز ارز تجربه کاربری بسیار ساده‌‌تری برای کسانی است که نگران دادن اختیار و حضانت اموال‌‌شان به یک شخص ثالث نیستند. یکی از ریسک‌‌های داشتن کنترل کامل بر اموال این است که اگر مشکلی پیش بیاید هیچ‌کس کمک‌‌تان نمی‌‌کند. اگر کلیدهای خصوصی‌‌تان را گم کنید، باید فاتحه پول‌‌های‌تان را بخوانید. از آن سو، اگر پسورد یا رمز حساب‌‌تان گم شود، کافی‌‌ست آن را بازیابی کنید.

پیشنهاد مطالعه: بهترین صرافی‌ ارز دیجیتال ایرانی

با این‌حال هنوز احتمال به سرقت رفتن اطلاعات شخصی‌‌تان وجود دارد، پس مطمئن شوید که اقدامات احتیاطی لازم برای حفظ امنیت حساب‌‌تان را انجام داده‌‌اید (اقداماتی مانند تایید دومرحله‌‌ای و داشتن پسورد قوی).

بهترین گزینه برای نگهداری رمز ارز کدام است؟

متاسفانه هنوز یک پاسخ مناسب برای این پرسش وجود ندارد. اگر پاسخ جامع و کاملی به این پرسش داشتیم، قطعاً این مقاله تا این حد طولانی نمی‌‌شد و همان اول بهترین راهکار موجود را به شما معرفی می‌کردیم. پاسخ این پرسش تا حد زیادی به ریسک‌‌پذیری و نحوه استفاده شما از رمز ارز بستگی دارد.

مثلاً یک معامله‌‌گر یا تریدر فعال الزامات و نیازمندی‌‌های متفاوتی با یک سرمایه‌‌گذار که ارز را به‌‌‌‌صورت بلندمدت نگهداری می‌‌کند دارد. یا اگر موسسه‌‌ای دارید که مقادیر زیادی رمزارز نگه می‌‌دارد، احتمالا یک نظام چندامضایی نیاز دارید که در آن پیش از انتقال هرگونه وجه، باید چندین نفر موافقت خود را اعلام کنند.

برای کاربران عادی، بهتر است وجوهی که روزانه استفاده نمی‌‌شود در یک فضای ذخیره سرد نگهداری شود. کیف‌پول‌‌های سخت‌‌افزاری راحت‌‌ترین گزینه هستند (در ابتدا با واریز مبالغ اندک آن‌‌ها را تست کنید). کلیدهای‌‌تان را هم باید در جایی نگه دارید تا اگر دستگاه گم یا خراب شد، اموال‌تان به باد نرود. کلیدها را در جایی غیر از اینترنت ذخیره کنید. مثلاً می‌‌توانید آن‌‌ها را در یک دفتر نوشته و در جایی یا یک گاوصندوق نگه دارید تا از آب و آتش هم در امان باشد.

پیشنهاد مطالعه: بهترین کیف پول‌های بیت کوین در سال ۲۰۲۱

کیف‌پول‌‌های آنلاین برای نگهداری مقادیر کمی که برای خرید کالا و خدمات استفاده می‌‌کنید بهتر هستند. اگر ذخیره سردتان را یک حساب پس‌‌انداز درنظر بگیریم، کیف‌پول موبایلی‌‌تان مثل یک کیف‌پول فیزیکی است که با خود این طرف و آن طرف می‌‌برید. این مبلغ کم باید آنقدری باشد که اگر گم شد مشکلی مالی شدیدی برایتان به‌وجود نیاید.

راهکارهای حضانتی بهترین گزینه برای قرض دادن، سپرده‌‌گذاری و ترید هستند. قبل از اینکه پول‌‌‌‌های‌تان را در کاری بیندازید، نقشه یا برنامه‌‌ای بریزید که چه مقدار می‌‌‌‌خواهید اختصاص دهید. یادتان باشد که ارز دیجیتال بسیار پرنوسان است، پس همان‌قدر سرمایه‌‌گذاری کنید که در صورت از دست دادن آن، لَنگ خریدهای روزمره‌تان نشوید.

در پایان …

صنعت بلاک چین گزینه‌‌های جذاب و متنوع زیادی برای ذخیره‌‌سازی رمز ارز ارائه می‌‌کند. هر گزینه دارای مزایا و معایبی است، این شمایید که باید همه گزینه‌ها را به‌خوبی بشناسید و برای پول‌‌تان ارزش قائل باشید. با شناخت این مزایا و معایب می‌‌توانید برای ذخیره رمزارز از ترکیب کیف‌پول‌‌های داغ و سرد، بسته به نیازتان، استفاده کنید.

کوین ایران در این مقاله تنها به معرفی خطراتی که متوجه رمز ارزهای شماست پرداخته و سعی کرده تا شما را از تمام ابعاد ذخیره‌‌سازی رمز ارزها آگاه کنید. وظیفه‌‌ی حفظ امنیت ارزهای دیجیتال و حفظ کلیدهای خصوصی و موارد امنیتی دیگر کاملاً برعهده خودتان است، چون در نهایت سود و زیان آن نیز به خودتان برمی‌گردد.

منبع