هشت روش برای بالابردن امنیت در معاملات ارزهای دیجیتال

امنیت تبادل کریپتو

بیت‌کوین نشان داده است که بر پایه‌های محکمی استوار است. در نظر بگیرید، 12 سال است که این رمزارز با ما بوده است، در حالی که هزاران ارز دیجیتال دیگر از آن زمان به وجود آمده‌اند. از آن زمان، سارقان و کلاهبرداران میلیون‌ها دلار ارزهای دیجیتال را از کاربران و صرافی‌ها به سرقت برده‌اند.

در حالی که بازار کریپتو هر روز در حال رشد است، این افزایش حجم کریپتو مسئولیت بیشتر و در نتیجه امنیت بهتری را لازم دارد. هم برای کاربران و هم برای مبادلات ارزهای دیجیتال. اگر امنیت کریپتوکارنسی در فضا بهبود نیابد، پذیرش انبوه رمزارز اتفاق نخواهد افتاد، زیرا افراد جدید از استفاده از کریپتو می‌ترسند. تقریباً هر هفته، اطلاعاتی در مورد نشت اطلاعات خصوصی یا هک صرافی ارزهای دیجیتال وجود دارد.

هک صرافی رمزارز هیچ‌ زمانی بیش از اکنون معامله بهتری نبوده‌است. نه تنها تعداد آنها هرروز بیشتر و بیشتر می‌شود، بلکه مقادیر قابل توجهی نیز پول ذخیره می‌کنند. چرا کسی نخواهد یک شبه تنها با پیدا کردن شکاف امنیتی در یکی از این صرافی‌های رمزنگاری میلیونر شود؟

خب، بهتره جدی‌تر باشیم، مجرمان سایبری هم‌زمان با پیدایش اینترنت در این فضا حضور دارند. بنابراین قابل درک است که آنها اینجا و اکنون، در صنعت کریپتو، جایی که پول‌های کلان جریان دارد، حضور دارند.

در مقاله قبلی، به فرآیند نحوه راه‌اندازی کسب و کار مبادلات رمزنگاری و میزان هزینه آن اشاره کردم. اما بیایید نگاهی به جنبه امنیتی آن بیندازیم. اگر کسی به طور جدی قصد راه‌اندازی یک صرافی رمزارز را دارد ، باید بسیاری از جنبه‌های ایمنی را در نظر بگیرد.

3+1 بزرگترین سرقت از صرافی‌های رمزنگاری

از همان ابتدا، زمانی که بیت‌کوین شروع به معامله در صرافی کرد، قصد سرقت آن وجود داشت. طبیعی است، جایی که ارزشی وجود دارد، کسی هست که می‌خواهد آن را برای خود داشته‌باشد. و هر چه کیسه پول بزرگتر باشد، دزدان و کلاهبرداران بیشتری با تکنیک‌های بهبود یافته در آنجا حضور خواهند داشت.امروزه تقریباً 300 صرافی رمزنگاری وجود دارد و موارد جدید نیز هنوز ایجاد می‌گردند. در طول سال‌ها ده‌ها هک و نشت صرافی وجود داشت، اما بیایید به مهم‌ترین آنها از نظر ارزشی و گفتاری نگاه کنیم.

1. Coincheck 534 میلیون دلار

رمزارز ژاپنی Coincheck در ابتدای سال 2018 هک شد، در آن زمان که سارقان بیش از 534 میلیون دلار ارز دیجیتال NEM را به سرقت بردند، این ارز با رتبه بندی CMC  جزو 10 ارز برتر قرار داشت. این اتفاق به این دلیل رخ داد که همه 523 میلیون توکن NEM در یک کیف پول داغ بدون هیچ‌گونه امنیت چند امضایی ذخیره شده بودند‌! هکرها احتمالا بدافزاری را برای کارکنان Coincheck ارسال کرده و از راه دور به سیستم دسترسی پیدا کرده‌اند.

2. Gox 450 میلیون دلار

Mt.Gox دوبار مورد سرقت قرار گرفت. در سال 2011، آنها 80000 بیت‌کوین از دست دادند. اما دومین سرقت در سال 2014 بسیار مهمتر بود زیرا ارزش بیت‌کوین بالاتر رفته‌بود و هکرها 850000 بیت‌کوین را دزدیدند که به قیمت امروز حدود 29 میلیارد دلار است! هکرها به فایل رمزگذاری نشده wallet.dat دسترسی پیدا کردند که کلیدهای خصوصی وجوه صرافی را ذخیره می‌کرد.

3. BitGrail 170 میلیون دلار

صرافی بیت‌گریل ایتالیایی در اوایل سال 2018 زمانی که  هک شد، 17 میلیون سکه نانو به ارزش 170 میلیون دلار را از دست داد. این به دلیل دو آسیب‌پذیری اصلی اتفاق افتاد. کد اعتبارسنجی جاوا اسکریپت به راحتی فریب خورد تا کاربر بتواند وجوه بیشتری را نسبت به آنچه در حسابش بود برداشت کند. دلیل دوم این بود که کاربران می‌توانستند در حین استفاده از موجودی حساب کاربری دیگری، وجوه خود را برداشت کنند، که ناشی از یک اشکال در مجوز است.

4. +1 مورد اضافی: Binance

این یکی از نظر وجوه دزدیده شده به‌ اندازه محل سرقت آن قابل توجه نیست. بایننس امروزه بزرگترین و احتمالا امن‌ترین صرافی ارز دیجیتال است ولی با این حال مهاجمان توانسته‌اند بر تدابیر امنیتی آن غلبه کنند. در ماه مه سال 2019، به دلیل یک بدافزار، هکرها حدود 7000 داده BTC و KYC را از 60 هزار کاربر به سرقت بردند. بنابراین حتی بزرگترین و ایمن‌ترین صرافی‌ها نیز نتوانستند از آسیب پذیری‌های سیستم خود جلوگیری کنند!

 

محبوب‌ترین راه‌ها برای هک صرافی

علاوه بر موارد ذکر شده در پاراگراف قبل، اختلالات امنیتی هنوز بسیار رایج هستند. هکرها برای نحوه پیاده سازی یک کد مخرب یا حداقل بخشی از آن در صرافی ارز دیجیتال چندین گزینه دارند. این می‌تواند هر چیزی باشد مثل دسترسی به داده‌های حساس، رایانه یکی از کارگران یا سرور. بیایید نگاهی به محبوب‌ترین روش‌های هک بیندازیم.

هک اپلیکیشن صرافی

چندین راه وجود دارد که کاربر می‌تواند به صرافی رمزنگاری دسترسی پیدا کند: از طریق مرورگر وب، دسکتاپ یا برنامه تلفن همراه. همه اینها دارای نوعی نقاط آسیب پذیر هستند. محبوب‌ترین راه‌ها برای حمله به پیوند ارتباطی بین صرافی و کاربر نهایی عبارتند از بدافزار، فیشینگ، کی‌لاگرها، حملات DDoS ، حملات ClickJacking ، حملات waterhole، حملات استراق سمع یا سرقت کوکی‌ها. هدف هر صرافی شناسایی و آماده شدن برای حملات احتمالی است.

هک کیف پول داغ

هک یک کیف پول داغ یا چندین کیف پول داغ صرافی ارزهای دیجیتال ساده‌ترین راه برای دسترسی به دارایی‌های کریپتو است. نه به این معنا که هک کردن صرافی یا سرور آنها کار دشواری نیست، اما به این معنا که وقتی هکر به آن کیف پول‌های داغ دسترسی پیدا کرد، ممکن است وجوه به جای دیگری منتقل شود.

بیایید به هک‌های خاصی که قبلاً رخ داده و قبلاً در این مقاله توضیح داده شد، نگاه بیاندازیم. یک درس مهم برای همه صرافی‌های جدید از شکست‌های قبلی آموخته شد. فقط ببینید که چقدر طول کشید تا Mt.Gox متوجه شدند که دارایی‌های آنها دیگر در کیف پول داغ آنها نیست؟ چندین ماه! امروزه به نظر می‌رسد غیرممکن است که آن را ظرف چند روز یا حداکثر چند هفته ندانیم.

جزئیات بیشتر در مورد ناامنی کیف پول داغ را می‌توانید در قسمت بعدی بخوانید.

هک مهندسی اجتماعی

مهندسی اجتماعی یکی از راه‌های دستیابی به داده‌های حساس یا دسترسی به آنهاست. این معمولاً با جعل هویت یک منبع قابل اعتماد داده انجام می‌شود – برخی از کارمندان با داده‌های ذخیره شده عمومی ‌در دسترس خودشان مورد حمله قرار می‌گیرند.

مهاجم معمولاً فایل .doc، .dot یا .exe را با اطلاعات مرتبط و حتی نام شخصی که کارمند صرافی قبلاً با او در ارتباط بوده است، برای او ارسال می‌کند. پس از باز شدن فایل، دستگاه کاربر تحت تأثیر بدافزار قرار می‌گیرد. تنها محافظت مؤثر این است که کارکنان خود را در مورد تهدیدهای بالقوه جدید آگاه کنید.

نحوه محافظت از مبادلات رمزنگاری

اگر صرافی رمزنگاری خود را دارید یا به راه‌اندازی آن فکر می‌کنید چه تدابیری برای امنیت دارید؟ در اینجا برخی از دستورالعمل‌های امنیتی صرافی ارزهای دیجیتال وجود دارد که اگر می‌خواهید امنیت سرمایه خود و مشتری خود را به حداکثر برسانید، خوب است آنها را دنبال کنید. بیایید 8 روش خود را برای ایمن کردن تبادل ارزهای دیجیتال بررسی کنیم.

1. 1. ذخیره سازی در کیف پول سرد

اما در مورد صرافی‌ها چطور ممکن است؟

آیا نمونه صرافی Coincheck و استفاده آنها از یک کیف پول داغ برای ذخیره همه توکن‌های NEM در ابتدای این مقاله را به خاطر دارید؟ اگر Coincheck از ترکیب کیف پول‌های سرد و گرم استفاده کرده بود، یا حداقل با این حجم بزرگ به صورت یکجا ذخیره نمی‌کرد، هرگز این اتفاق نمی‌افتاد. هک کردن سرور صرافی ممکن است دارایی‌های مشتریان را در زمانی که تمام دارایی‌ها در کیف پول‌های داغ ذخیره می‌شود تهدید کند.

در حالی که بلاک چین یک مکان کاملاً شفاف است، مهاجمان ممکن است با تجزیه و تحلیل درون زنجیره‌ای مشاهده و ردیابی کنند که کدام کیف پول‌ها به عنوان فضای ذخیره سازی سرد و کدام کیف پول‌ها به عنوان فضای ذخیره سازی گرم عمل می‌کنند. صرافی‌ها همچنین ممکن است از کیف پول‌های پیش سرد و پیش گرم برای بهبود سطح امنیت ارزهای دیجیتال استفاده کنند.

کیف پول‌های سرد باید حاوی بیشتر ارزهای دیجیتال باشد زیرا مستقیماً به اینترنت متصل نیستند.

کیف پول‌های داغ به عنوان یک سپرده نقدی برای صرافی‌ها عمل می‌کند تا امکان برداشت گسترده از مشتریان را فراهم کند.

برخی از صرافی‌ها مانند KuCoin نیز دارایی‌های موجود در رابط کاربری مشتری را از هم جدا کرده‌اند. کاربران می‌توانند ارزهای دیجیتال را هم در حساب اصلی و هم در حساب تجاری داشته باشند. در حالی که حساب اصلی برای سپرده‌ها و برداشت‌ها استفاده می‌شود، دریافت این وجوه به روش نقدشونده‌تر ضروری است، به عنوان مثال، نگهداری در یک کیف پول داغ. حساب تجاری به عنوان یک استخر نقدینگی برای تراکنش‌ها و معاملات ارزهای دیجیتال تعیین می‌شود. تا زمانی که دارایی‌های کریپتو از حساب تجاری به حساب اصلی منتقل نشوند، ممکن است برداشت نشوند و این بدان معناست که یک صرافی نیازی به نگه داشتن آنها در ذخیره سازی داغ برای مدت زمانی که در حساب معاملاتی است ندارد.

2. 2. احراز هویت دو مرحله ای

احراز هویت دو مرحله ای به دلایل امنیتی در فضای رمزنگاری ضروری است. برخی از صرافی‌ها فقط از دو عامل استفاده نمی‌کنند، بلکه برخی از آنها حتی از سه عامل یا بیشتر استفاده می‌کنند. پسوردها تا زمانی که شکسته نشوند مقاوم هستند. ناتوانی یک کاربر با تنظیم یک رمز عبور ضعیف یا استفاده از همان رمز در چندین حساب کاربری می‌تواند باعث شکسته شدن رمزعبور شود. برای دسترسی به رمزهای عبور کاربران، هکرها معمولاً از شیوه‌هایی مانند keylogging یا ارسال نرم افزارهای جاسوسی که کدهای مخرب را وارد رایانه می‌کند، سوء استفاده می‌کنند. هنگامی‌که رمز عبور به سرقت رفت یا کشف شد، مهاجم منتظر یک لحظه مناسب است تا از آن به نفع خود استفاده کند.

احراز هویت چند عاملی یک تقویت امنیتی لایه دوم در هنگام ورود به سیستم یا برداشت وجه است. احراز هویت دو مرحله‌ای می‌تواند به شکل یک پیام متنی در یک دستگاه تلفن یا یک ایمیل باشد. یک راه محبوب، استفاده از یک برنامه ویژه تلفن همراه برای این سرویس مانند Google Authenticator یا Authy است که یک سری منحصر به فرد از اعداد را در یک زمان خاص تولید می‌کند.

3. 3. حساب متصل به آدرس IP خاص

این روش امنیتی به‌ اندازه روش‌های دیگر مورد استفاده قرار نمی‌گیرد، اما به خوبی برای مهاجم محدود کننده است. هنگامی‌که حساب موجود در صرافی رمزارز به یک یا چند آدرس IP مرتبط شود، سبقت گرفتن از آن بسیار دشوارتر است.

مانیتورینگ آدرس‌های IPکه کاربر با آنها در حال ورود به صرافی است، توسط صرافی‌های اصلی استفاده می‌شود، اما فقط به دلایل آموزشی که کاربر در مورد فعالیت قبلی خود اطلاعات کسب کند. اما این اطلاعات بدون پیش‌شرط خاصی – اگر مشتری رفتار خود را کنترل کند و نوسانات یا رویدادهای مشکوک را مشاهده کند یا خیر، کاملاً به مشتری داده می‌شود.

اما اولین صرافی‌هایی وجود دارند که در صورت هرگونه دسترسی مشکوک به حساب کاربری کاربران، به عنوان مثال از یک مکان جغرافیایی ناشناخته یا از رایانه یا مرورگری متفاوت از آنچه که کاربر معمولاً از صرافی بازدید می‌کند، شروع به اطلاع رسانی به کاربران می‌کنند.

4. 4. پیام‌های اعلان هنگام برداشت وجوه

یکی دیگر از اقدامات احتیاطی مهم، اطلاع دادن به کاربر در مورد برداشت وجه است.

صرافی‌های بزرگ نه تنها اعلان‌هایی را برای برداشت ارزهای دیجیتال ارسال می‌کنند، بلکه اطلاعات سپرده‌ها را نیز ارسال می‌کنند. این به مشتریان کمک می‌کند تا در صورت بروز هر گونه رفتار نامناسب مراقب باشند.

برخی از صرافی‌ها بسیار فراتر از ایمیل‌های اطلاع‌رسانی در مورد برداشت وجه عمل می‌کنند. آنها به شما این امکان را می‌دهند که مستقیماً روی یک دکمه فعال در بدنه ایمیل کلیک کنید، که در صورت وجود حرکت ناشناخته یا مشکوک در حسابتان، لغو تراکنش یا حتی تعلیق حساب را انجام دهید.

5. 5. برداشت‌ها پس از تغییر داده‌های حساب مسدود می‌شوند

تغییر داده‌های حساب مانند آدرس‌های ایمیل یا شماره تلفن مرتبط، رفتار معمول یک هکر است. هنگامی که مهاجم به حساب دسترسی پیدا کرد، باید مطمئن باشد که می‌تواند برداشت احتمالی را از طریق تلفن یا ایمیل کنترل شده خود تأیید کند. اگر قرار است حمله به خوبی انجام شود، شخص هک شده حداقل نباید اطلاعی از برداشت حساب خود داشته باشد.

با مسدود کردن برداشت برای چند روز یا حتی یک یا دو هفته پس از تغییر برخی تنظیمات حساب، صرافی ارز دیجیتال از آن نوع رفتارهای مخربی که معمولاً توسط هکرها انجام می‌شود، جلوگیری می‌کند.

6. 6. وجود بخش مبارزه با کلاهبرداری

بخش مبارزه با کلاهبرداری یکی از نقاط حساس در شرکت است. وجود چنین بخشی، به ویژه برای شرکت‌های بزرگ و صرافی‌های رمزنگاری، برای پیشگیری و شناسایی هرگونه رفتار نادرست بسیار مفید است. همه کارکنان بورس باید از پیشگیری و افشای تقلب حتی قبل از وقوع آن آگاه باشند. آموزش کارکنان خود یکی از مراحل مهم است.

از سوی دیگر، علاوه بر مزایای استفاده از آن، وجود یک بخش جداگانه متمرکز بر کشف تقلب در یک شرکت، پیام مهمی را به مشتریان و سهامداران ارسال می‌کند. این پیام که این شرکت مبارزه با کلاهبرداران و دزدان را جدی می‌گیرد.

7. 7. صندوق‌های بیمه مشتریان

مبالغ ذخیره شده در بورس را می‌توان به دو صورت بیمه کرد. اول توسط برخی از شرکت‌های بیمه بیرون مجموعه، و روش دوم این است که آنها توسط برخی از سیاست‌ها یا مقررات داخلی حمایت شوند. زیرا زمانی که دارایی‌ها دزدیده یا گم می‌شوند، صرافی‌ها باید زیان‌های مشتریان خود را پوشش دهند، در غیر این صورت می‌تواند عواقبی داشته باشد که ممکن است منجر به پایان کار آنها شود.

آیا تا به حال مدیر عامل بایننس را دیده‌اید   Changpeng Zhao (CZ) که توییت می‌کند “صندوق‌ها سافو هستند ” ؟ نظر شما در مورد آن چیست؟  آیا فکر می‌کنید او املای کلمه “ایمن” را اشتباه می‌نویسد؟

پاسخ این است که هدفی برای این کار وجود دارد. زیرا بایننس در 14 جولای 2018 صندوق دارایی ایمن برای کاربران (به طور کوتاه  SAFU)  ایجاد کرد، جایی که آنها 10٪ از هزینه‌های معاملاتی دریافتی را برای محافظت از کاربران بایننس و دارایی‌های رمزنگاری شده آنها ذخیره می‌کنند.

بعداً در ماه مه 2019، همانطور که قبلاً در این مقاله اشاره کردیم، یکی از بزرگترین صرافی‌های ارز دیجیتال   Binance   برای 7000 BTC هک شد. به لطف این صندوق دارایی، آنها قادر بودند ارزهای رمزنگاری شده از دست رفته را پوشش دهند تا مشتریان آنها متضرر نشوند.

از این به بعد، هر زمان که دوباره از CZ شنیدید که “صندوق‌ها سافو هستند “، به صندوق بیمه مشتریان آنها فکر کنید.

8. 8. ممیزی‌های امنیتی صرافی کریپتو

به طور مشابه، برای صندوق‌های بیمه مشتریان، ممیزی‌های امنیتی دوره‌ای ارزهای دیجیتال دو نقش عمده را برای تجارت صرافی ایفا می‌کنند. ممیزی نه تنها می‌تواند نقاط ضعفی را در امنیت صرافی ارزهای دیجیتال نشان دهد، بلکه اعتماد سرمایه‌گذاران و اطمینان حقوقی را نیز ایجاد می‌کند. ممیزی همچنین نقش بزرگ و مهمی در بسیاری از حوزه‌های قضایی برای تحقق چارچوب‌های نظارتی ایفا می‌کند. فضای پولشویی و کلاهبرداری از هر نوع باید به حداقل برسد تا اعتبار بیشتری به دست آید.

انواع مختلفی از ممیزی‌ها وجود دارد، اما برای کسب و کارهای مربوط به مبادلات رمزنگاری، ممیزی‌های کنترل سیستم و سازمان (SOC) مرتبط‌ترین هستند، زیرا از این ممیزی‌ها برای شناسایی مستقل خطرات بالقوه صرافی استفاده می‌شود و به مشتریان اطلاع می‌دهد که شرکت شما کارآمد است و کنترل‌های داخلی اجرا می‌شود.

ممیزی  SOC1

حسابرسی SOC1 بر کنترل‌های داخلی مرتبط با گزارشگری مالی (ICFR) متمرکز است. وظیفه گزارشSOC1   این است که مشتریان را در مورد مراحل شناسایی و رفع خطراتی که خدمات ارائه شده بر امور مالی مشتری تأثیر نامطلوب نمی‌گذارد، آگاه کند.

ممیزی  SOC2

ممیزی SOC2 در مورد امنیت فناوری اطلاعات در این دسته‌ها اطلاعات می‌دهد: امنیت، محرمانه بودن، یکپارچگی پردازش، حریم خصوصی اطلاعات و در دسترس بودن. شرکت‌های حسابرسی شده می‌توانند دسته امنیتی به اضافه برخی خدمات دیگر یا همه آن‌ها را انتخاب کنند. گزارش SOC2 برای انطباق با معیارهای خدمات اعتماد مورد نیاز توسط( AICPA موسسه حسابداران رسمی آمریکا) مهم است.

ممیزی  SOC3

ممیزی SOC3 اغلب توسط شرکت‌ها استفاده نمی‌شود. در مقایسه با ممیزی  SOC2،  SOC3 شامل توضیحات و نتایج دقیق کنترل نمی‌شود و همچنین می‌توان آن را آزادانه توزیع کرد.

SOC برای ممیزی امنیت سایبری

SOC برای امنیت سایبری یکی از گزینه‌های جدیدتر است که معمولاً توسط شرکت‌ها استفاده می‌شود و به روشی رسمی برای ارائه شواهد و گزارش در مورد برنامه مدیریت ریسک امنیت سایبری خود نیاز دارد.

نتیجه

تجارت ارز دیجیتال ممکن است بسیار پررونق باشد، اما مسائل امنیتی باید در وهله اول قرار گیرد. در غیر این صورت، خطرات آن بیشتر از درآمدهای احتمالی است. یک حمله هکری دقیق به وجوه ذخیره شده در صرافی ارزهای دیجیتال می‌تواند همه چیز را بدتر کند.

فقط نگاهی به صرافی‌های رمزنگاری که در گذشته هک شده‌اند بیاندازید. برخی از آنها مانند Mt.Gox ، Cryptsy ، Cryptopia یا BitGrail دیگر وجود ندارند.

هکرها و کلاهبرداران هنوز در حال توسعه ابزارها و تکنیک‌های جدید برای دسترسی به سرورهای مبادلات و برنامه‌های کاربران هستند. آنها دلیل خوبی برای این کار دارند: ارزهای دیجیتال شما. میلیون‌ها دارایی رمزنگاری ذخیره شده در صرافی‌ها برای آنها مانند ظرف عسل است.

راه‌اندازی یک کسب و کار رمزنگاری بدون اجرای یک برنامه امنیت سایبری موثر یک ریسک بسیار بزرگ است، زیرا در این صورت فقط مهم است که اتفاق غیرمنتظره و ناخواسته چه زمانی رخ می‌دهد. این مثل بازی با آتش است، شما می‌توانید به راحتی بسوزید.

نکاتی که باید برای محافظت از سرمایه‌های ارز دیجیتال به آن توجه داشت؛

هک حساب ارزهای دیجیتال در حال افزایش است.

محبوبیت و افزایش قیمت‌‌ها در بیت کوین و اتریوم به این معنی است که ارزهای مجازی اغلب به هدف هکرهایی تبدیل ‌‌می‌شوند که ‌‌می‌خواهند از این دارایی‌‌های ارزشمند استفاده کنند. جک مانینو ، مدیر عامل nVisium ، ارائه‌دهنده امنیت اپلیکیشن مستقر در فالز چرچ در ویرجینیا، می‌گوید: «اقتصاد هک نشان می‌دهد که مهاجمان همچنان به سمت ارزهای دیجیتال جذب خواهند شد، زیرا ارزش آن‌ها افزایش می‌یابد و در زندگی روزمره ما رایج‌تر می‌شوند.» ردیابی کار هکرها اغلب سخت است زیرا ردپای آنها را می‌توان به صورت دیجیتالی از بین برد. وقتی یک حساب ارز دیجیتال هک می‌شود، سرمایه‌گذاران از نظر قانونی هیچ راه‌حلی ندارند، زیرا ارزهای مجازی هنوز توسط هیچ نهاد دولتی یا بانک مرکزی کنترل نمی‌شوند. در اینجا 10 نکته برای محافظت از سرمایه گذاری در ارزهای دیجیتال آورده شده است.

 

یک رویکرد ترکیبی برای امنیت کیف پول دیجیتال داشته باشید.

محبوبیت کیف پول‌‌های آنلاین افزایش یافته و توجه هکرها را به خود جلب کرده است. ترنس جکسون، افسر ارشد امنیت اطلاعات در Thycotic ، ارائه‌دهنده مدیریت دسترسی ممتاز در واشنگتن ، می‌گوید: کیف پول‌های آفلاین یا فیزیکی باید برای ذخیره اکثر ارزهای دیجیتال مصرف‌کننده استفاده شوند، در حالی که تنها مقدار کمی ‌ارز در کیف پول آنلاین نگهداری ‌شود. این افسر ارشد امنیت اطلاعات ‌‌می‌گوید: «کیف پول فیزیکی نیز باید در مکانی امن مانند گاوصندوق یا صندوق امانات نگهداری شود. همچنین پیشنهاد می‌کنم کلیدهای بخش خصوصی و عمو‌‌می‌را از هم جدا کنید. هر دو باید با رمزهای عبور قوی و احراز هویت چندعاملی در صورت امکان ایمن شوند. همانطور که ارز دیجیتال رایج‌تر می‌شود، گزینه‌های سنتی ظاهر می‌شوند، اما در این میان، شما مسئول حفظ امنیت ارز دیجیتال خود هستید.»

 

دو رمز عبور قوی کلید امنیت هستند.

هرگز از رمزهای عبور در حساب‌‌های خود استفاده مجدد نکنید، به خصوص از آنجایی که خدمات ارزهای دیجیتال هدف اصلی هکرها هستند. کوین دان، رئیس  Greenlight، ارائه‌دهنده راه‌حل‌های مدیریت ریسک یکپارچه مستقر در فلمینگتون در نیوجرسی، می‌گوید: «فرض را بر این بگذارید که همه آنها در نهایت رخنه اطلاعاتی خواهند داشت. در حالی که ارز دیجیتال یک فناوری نوآورانه است که به سرعت در حال تکامل است، سریع‌ترین و عاتی آسان‌ترین راه برای ایمن کردن کیف پول شما با تاکتیک‌های امنیتی آزمایش‌شده و واقعی است. » او می‌گوید: «با داشتن یک رمز عبور منحصر به فرد و قوی برای هر کدام از کیف پول‌ها، با فعال کردن احراز هویت دو مرحله ای و چرخش رمز عبور در صورت امکان، قرار گرفتن در معرض خطر خود را محدود کنید. استفاده از یک مدیر رمز عبور قابل اعتماد ‌‌می‌تواند به خودکارسازی این فرآیند و از بین بردن حدس و گمان کمک کند.»

با کیف پول‌‌های رمزنگاری، صرافی‌‌ها، کارگزاری‌‌ها و اپلیکیشن‌‌های موبایل معتبر کار کنید.

سرمایه‌گذاران قبل از تصمیم‌گیری در مورد استفاده از کدام پلتفرم باید به دقت ویژگی‌‌های امنیتی هر پلتفرم را بررسی کنند تا بفهمند چگونه از داده‌‌های آنها محافظت ‌‌می‌شود. آستین مریت، تحلیلگر اطلاعات تهدیدات سایبری در Digital Shadows، از سانفرانسیسکو، می‌گوید: «نهادهای مورد اعتماد باید از بهترین شیوه‌های امنیتی مانند نیاز به احراز هویت چند عاملی، رمزگذاری SSL/TLS و استفاده از دستگاه‌های دارای شکاف هوا را که هنگام ذخیره ارزهای دیجیتال آفلاین نگه داشته می‌شوند استفاده کنند.» ارائه دهنده راه حل‌‌های دیجیتالی حفاظت از ریسک می‌گوید استفاده از بیش از یک پلتفرم ارز دیجیتال ‌‌می‌تواند ایمن‌تر باشد تا زمانی که مالکان از رمزهای عبور متفاوت و پیچیده برای هر پلتفرم استفاده کنند. او می‌گوید: چه از یک یا چند پلتفرم ارز دیجیتال استفاده کنید، حفظ یک مدیر رمز عبور ایمن برای اطمینان از گم نشدن رمزهای عبور ضروری است.

از خود در برابر فیشینگ تلفن همراه محافظت کنید.

بسیاری از افرادی که دارای کیف پول رمزنگاری هستند از یک اپلیکیشن موبایل برای مدیریت آن استفاده ‌‌می‌کنند. هنک شلس ، مدیر ارشد راه حل‌های امنیتی در Lookout، ارائه‌دهنده راه‌حل‌های امنیتی تلفن همراه در سانفرانسیسکو ، می‌گوید با افزایش قیمت رمزارزها، هکرهای مخرب انگیزه دارند تا سرمایه‌گذاران را با کمپین‌های فیشینگ موبایلی هدف قرار دهند تا رمز ورود شما را به سرقت ببرند. این حملات مهندسی اجتماعی می‌تواند از هر نقطه از دستگاه تلفن همراه، از جمله متون، رسانه‌های اجتماعی، پلتفرم‌های پیام‌رسان شخص ثالث یا ایمیل انجام شود. او می‌گوید: «فراتر از فیشینگ، برنامه‌های تلفن همراه مخربی نیز وجود دارند که توانایی پنهانی برای ثبت کلیدهایی که می‌زنید یا ضبط فعالیت‌ها بر روی صفحه نمایش شما دارند. بسیاری از مردم نرم افزار آنتی ویروس را بر روی رایانه‌‌های خود نصب ‌‌می‌کنند، و به اهمیت استفاده از آن آگاهند، که باید همین کار را با گوشی‌‌های هوشمند و تبلت‌‌های خود نیز انجام دهند.  Schless می‌گوید: «با توجه به مقدار داده‌هایی که با اعتماد در آن دستگاه‌ها قرار دادیم، حفظ امنیت آنها مهم‌ترین موضوع است.

از نحوه استفاده از کیف پول شما در تراکنش‌‌ها آگاه باشید.

دیرک شریدر، معاون جهانی در New Net Technologies، یک ارائه‌دهنده امنیت سایبری و نرم‌افزار انطباق مستقر در ناپل، می‌گوید: اصول اصلی «تاب‌آوری سایبری» را در کیف پول خود اعمال کنید. “هر کیف پول رمزنگاری یک قطعه داده و کد است، اما قطعه ای است که ارزش زیادی برای شما و دیگران دارد. از فرآیندهای استفاده از آن در تراکنش‌‌ها آگاه باشید، مطمئن باشید که اگر شما از آنها برای تراکنش‌ها استفاده می‌کنید سیستم‌‌ها و شبکه‌‌ها به خطر نیفتند و از محافظت فیزیکی در محل خود برخوردار هستند.” سرمایه‌گذارانی که با ارزش‌‌های بالاتر معامله ‌‌می‌کنند باید مدتی را صرف سنجش ریسک کنند. شریدر ‌‌می‌گوید: “حملات سایبری صحنه سازی ‌‌می‌شوند. آنها ابتدا جای پای خود را ایجاد ‌‌می‌کنند و قبل از حمله به هدف اصلی (کیف پول شما) گسترش ‌‌می‌یابند .” او می‌گوید”محافظت‌‌های سایبری اعمال شده روی کیف پول شما به اندازه درک شما از آنها است.”

روش‌‌ها و فرآیندهای مختلف برای محافظت از ارز دیجیتال خود را بدانید.

محبوبیت سرمایه‌گذاری در ارزهای دیجیتال نزد افرادی که سابقه فنی ندارند، اما به دنبال تنوع بخشیدن به سبد دارایی خود هستند، ادامه ‌‌دارد. براندون‌‌هافمن، افسر ارشد امنیت اطلاعات در Netenrich ، مستقر در کالیفرنیا، ‌‌می‌گوید: هیچ یک از دارایی‌‌های دیجیتال توسط یک سازمان معتبر یا بانک مرکزی مدیریت نمی‌شود، بنابراین مسئولیت محافظت از پول شما، “تقریبا به طور کامل بر عهده خودتان است.” ارائه دهنده عملیات و خدمات فناوری اطلاعات، ابر و امنیت سایبری معتقد است. احتمال بازیابی خسارات بسیار کم است. سه مؤلفه مهم برای یادگیری عبارتند از: حفاظت از کلید مخفی، حفاظت از دانه‌‌های بازیابی و محافظت از بدافزار cryptominer .

از اشتراک‌گذاری کلید مخفی خودداری کنید.

از کلید مخفی برای تایید این موضوع استفاده می‌شود که شخصی که سکه‌های دیجیتال را ارسال یا دریافت می‌کند، صاحب کیف پول مورد استفاده است. این کلید مخفی یا خصوصی هرگز نباید به اشتراک گذاشته شود. «ایمن‌ترین راه برای ذخیره کلید خصوصی، استفاده از فضای سرد است.» او می‌گوید: «ذخیره سرد اساساً به معنای پرینت گرفتن کلید خود و از بین بردن تمام آثار دیجیتالی آن است.» روش نیمه ایمن، نیمه شکست برای بازیابی کلید خصوصی شما، استفاده از seed است، مجموعه ای از کلمات تولید شده به طور تصادفی که کاربر ‌‌می‌تواند از آنها استفاده کند. هافمن می‌گوید: «این عبارات seed فقط باید روی کاغذ نوشته یا چاپ شود و در جایی امن نگهداری شود. به این دلیل که مهاجمان به راحتی ‌‌می‌توانند به سیستم‌های کاربر نهایی و سایر برنامه‌‌های ذخیره‌سازی دیجیتال دسترسی پیدا کنند، نگه داشتن این عبارت در جایی دیجیتال بسیار خطرناک است.

از استفاده از کیف پول‌‌های میزبانی شده توسط ارائه دهندگان صرف نظر کنید.

روش‌‌های دیگر ذخیره بیت کوین کیف پول‌‌هایی هستند که روی لپ تاپ یا دسکتاپ شما میزبانی ‌‌می‌شوند و کیف پول‌‌هایی که توسط ارائه دهندگان و در سرور آنها میزبانی ‌‌می‌شوند. ‌‌هافمن می‌گوید کیف‌پول‌هایی که توسط ارائه‌دهندگان میزبانی می‌شوند بدترین انتخاب هستند زیرا به آنها اجازه می‌دهید کلید خصوصی شما را روی سرورهایشان که کاملاً خارج از کنترل شما هستند ذخیره کنند. “این رایج ترین انتخاب است زیرا به کمترین تلاش فنی نیاز دارد. اما کلید خصوصی شما را در معرض خطرات متعددی قرار ‌‌می‌دهد، از جمله نقض سرور ارائه دهنده، از کار افتادن ارائه دهنده یا حتی تصاحب زیرساخت توسط یک دولت یا سایر مسائل قانونی موجود.” او می‌گوید از یک کیف پول سخت‌افزاری استفاده کنید، که یک دستگاه مبتنی بر USB است که کلید خصوصی شما را به همراه سایر جزئیات مرتبط رمزگذاری و ذخیره می‌کند. روش رمزگشایی آنها گاهی اوقات فیزیکی است و در مقایسه با روش‌‌های دیگر بسیار ایمن‌تر است.

کیف پول سرد برای معامله گران فعال معایبی دارد.

بیک ، کارشناس ارشد امنیت سایبری در Digital Shadows می‌گوید، کیف پول سرد کاملا آفلاین است و باید آدرس خصوصی را روی کاغذی بنویسد که فقط مالک به آن دسترسی دارد یا یک دستگاه فیزیکی بخرد که به طور ایمن وجوه ارزهای دیجیتال را ذخیره می‌کند. او می‌گوید: معایب شامل زمان مورد نیاز برای ذخیره ارزهای دیجیتال می‌شود، و اگر درگیر فعالیت‌های معاملاتی هستید، فرآیند «انتقال مداوم وجوه بین صرافی و کیف پول سرد می‌تواند هزینه‌های برداشت مکرری را به همراه داشته باشد». “مزایای کیف پول سرد شامل آرامش خاطر است هنگامی که فقط شما به وجوه خود دسترسی دارید.”

کیف پول‌‌های داغ برای معامله گران راحت تر است، اما ‌‌می‌تواند ضرر بیشتری داشته باشد.

بیک می‌گوید، سرمایه‌گذاران خرده‌فروش می‌توانند از کیف‌پول‌های داغ استفاده کنند، روشی برای ذخیره‌سازی که همیشه به اینترنت متصل است تا دسترسی آسان‌تر و امکان تجارت و خرید راحت‌تر ارزهای دیجیتال مانند Coinbase و PayPal را تسهیل کند. او می‌گوید که این مبادله امنیت و سپردن امنیت آدرس عمو‌‌می‌ و خصوصی شما به پلتفرم است، که “از لحاظ تاریخی منجر به از دست رفتن وجوه قابل توجهی پس از نقض موفقیت‌آمیز صرافی شده است.” این سناریو فقط باید برای معامله گران فعال در نظر گرفته شود، اما میزان وجوهی که آنها نیاز به دسترسی دارند باید به طور مداوم ارزیابی شود. هکرها همیشه صرافی‌‌های بزرگ را هدف قرار ‌‌می‌دهند، به ویژه با افزایش تعداد سرمایه‌گذاران خرده فروشی. او می‌گوید: «صرف نظر از اینکه یک پلت‌فرم متمرکز یا غیرمتمرکز باشد، بدون فرآیندهای ذخیره‌سازی مناسب که توسط خود سرمایه‌گذار اجرا می‌شود، احتمالاً در معرض خطر یک حمله احتمالی باقی می‌مانند.»

راه‌‌هایی برای ایمن نگه داشتن ارز دیجیتال:

• یک رویکرد ترکیبی برای امنیت کیف پول دیجیتال داشته باشید.
• دو رمز عبور قوی کلید هستند.
• با کیف پول‌‌های رمزنگاری معتبر، صرافی‌‌ها، کارگزاری‌‌ها و اپلیکیشن‌‌های موبایل کار کنید.
• از خود در برابر فیشینگ تلفن همراه محافظت کنید.
• از نحوه استفاده از کیف پول خود در معاملات آگاه باشید.
• روش‌‌ها و فرآیندهای مختلف برای محافظت از ارز دیجیتال خود را بدانید.
• از اشتراک گذاری کلید مخفی خودداری کنید.
• از استفاده از کیف پول‌‌های میزبانی شده توسط ارائه دهندگان صرف نظر کنید.
• کیف پول سرد برای معامله گران فعال معایبی دارد.
• کیف پول‌‌های داغ برای معامله گران راحت تر است، اما ‌‌می‌تواند ضرر بیشتری داشته باشد.

منبع:‌ money.usnews.com ؛