
هشت روش برای بالابردن امنیت در معاملات ارزهای دیجیتال
امنیت تبادل کریپتو
بیتکوین نشان داده است که بر پایههای محکمی استوار است. در نظر بگیرید، 12 سال است که این رمزارز با ما بوده است، در حالی که هزاران ارز دیجیتال دیگر از آن زمان به وجود آمدهاند. از آن زمان، سارقان و کلاهبرداران میلیونها دلار ارزهای دیجیتال را از کاربران و صرافیها به سرقت بردهاند.
در حالی که بازار کریپتو هر روز در حال رشد است، این افزایش حجم کریپتو مسئولیت بیشتر و در نتیجه امنیت بهتری را لازم دارد. هم برای کاربران و هم برای مبادلات ارزهای دیجیتال. اگر امنیت کریپتوکارنسی در فضا بهبود نیابد، پذیرش انبوه رمزارز اتفاق نخواهد افتاد، زیرا افراد جدید از استفاده از کریپتو میترسند. تقریباً هر هفته، اطلاعاتی در مورد نشت اطلاعات خصوصی یا هک صرافی ارزهای دیجیتال وجود دارد.
هک صرافی رمزارز هیچ زمانی بیش از اکنون معامله بهتری نبودهاست. نه تنها تعداد آنها هرروز بیشتر و بیشتر میشود، بلکه مقادیر قابل توجهی نیز پول ذخیره میکنند. چرا کسی نخواهد یک شبه تنها با پیدا کردن شکاف امنیتی در یکی از این صرافیهای رمزنگاری میلیونر شود؟
خب، بهتره جدیتر باشیم، مجرمان سایبری همزمان با پیدایش اینترنت در این فضا حضور دارند. بنابراین قابل درک است که آنها اینجا و اکنون، در صنعت کریپتو، جایی که پولهای کلان جریان دارد، حضور دارند.
در مقاله قبلی، به فرآیند نحوه راهاندازی کسب و کار مبادلات رمزنگاری و میزان هزینه آن اشاره کردم. اما بیایید نگاهی به جنبه امنیتی آن بیندازیم. اگر کسی به طور جدی قصد راهاندازی یک صرافی رمزارز را دارد ، باید بسیاری از جنبههای ایمنی را در نظر بگیرد.
3+1 بزرگترین سرقت از صرافیهای رمزنگاری
از همان ابتدا، زمانی که بیتکوین شروع به معامله در صرافی کرد، قصد سرقت آن وجود داشت. طبیعی است، جایی که ارزشی وجود دارد، کسی هست که میخواهد آن را برای خود داشتهباشد. و هر چه کیسه پول بزرگتر باشد، دزدان و کلاهبرداران بیشتری با تکنیکهای بهبود یافته در آنجا حضور خواهند داشت.امروزه تقریباً 300 صرافی رمزنگاری وجود دارد و موارد جدید نیز هنوز ایجاد میگردند. در طول سالها دهها هک و نشت صرافی وجود داشت، اما بیایید به مهمترین آنها از نظر ارزشی و گفتاری نگاه کنیم.
- Coincheck 534 میلیون دلار
رمزارز ژاپنی Coincheck در ابتدای سال 2018 هک شد، در آن زمان که سارقان بیش از 534 میلیون دلار ارز دیجیتال NEM را به سرقت بردند، این ارز با رتبه بندی CMC جزو 10 ارز برتر قرار داشت. این اتفاق به این دلیل رخ داد که همه 523 میلیون توکن NEM در یک کیف پول داغ بدون هیچگونه امنیت چند امضایی ذخیره شده بودند! هکرها احتمالا بدافزاری را برای کارکنان Coincheck ارسال کرده و از راه دور به سیستم دسترسی پیدا کردهاند.
- Gox 450 میلیون دلار
Mt.Gox دوبار مورد سرقت قرار گرفت. در سال 2011، آنها 80000 بیتکوین از دست دادند. اما دومین سرقت در سال 2014 بسیار مهمتر بود زیرا ارزش بیتکوین بالاتر رفتهبود و هکرها 850000 بیتکوین را دزدیدند که به قیمت امروز حدود 29 میلیارد دلار است! هکرها به فایل رمزگذاری نشده wallet.dat دسترسی پیدا کردند که کلیدهای خصوصی وجوه صرافی را ذخیره میکرد.
- BitGrail 170 میلیون دلار
صرافی بیتگریل ایتالیایی در اوایل سال 2018 زمانی که هک شد، 17 میلیون سکه نانو به ارزش 170 میلیون دلار را از دست داد. این به دلیل دو آسیبپذیری اصلی اتفاق افتاد. کد اعتبارسنجی جاوا اسکریپت به راحتی فریب خورد تا کاربر بتواند وجوه بیشتری را نسبت به آنچه در حسابش بود برداشت کند. دلیل دوم این بود که کاربران میتوانستند در حین استفاده از موجودی حساب کاربری دیگری، وجوه خود را برداشت کنند، که ناشی از یک اشکال در مجوز است.
- +1 مورد اضافی: Binance
این یکی از نظر وجوه دزدیده شده به اندازه محل سرقت آن قابل توجه نیست. بایننس امروزه بزرگترین و احتمالا امنترین صرافی ارز دیجیتال است ولی با این حال مهاجمان توانستهاند بر تدابیر امنیتی آن غلبه کنند. در ماه مه سال 2019، به دلیل یک بدافزار، هکرها حدود 7000 داده BTC و KYC را از 60 هزار کاربر به سرقت بردند. بنابراین حتی بزرگترین و ایمنترین صرافیها نیز نتوانستند از آسیب پذیریهای سیستم خود جلوگیری کنند!
محبوبترین راهها برای هک صرافی
علاوه بر موارد ذکر شده در پاراگراف قبل، اختلالات امنیتی هنوز بسیار رایج هستند. هکرها برای نحوه پیاده سازی یک کد مخرب یا حداقل بخشی از آن در صرافی ارز دیجیتال چندین گزینه دارند. این میتواند هر چیزی باشد مثل دسترسی به دادههای حساس، رایانه یکی از کارگران یا سرور. بیایید نگاهی به محبوبترین روشهای هک بیندازیم.
هک اپلیکیشن صرافی
چندین راه وجود دارد که کاربر میتواند به صرافی رمزنگاری دسترسی پیدا کند: از طریق مرورگر وب، دسکتاپ یا برنامه تلفن همراه. همه اینها دارای نوعی نقاط آسیب پذیر هستند. محبوبترین راهها برای حمله به پیوند ارتباطی بین صرافی و کاربر نهایی عبارتند از بدافزار، فیشینگ، کیلاگرها، حملات DDoS ، حملات ClickJacking ، حملات waterhole، حملات استراق سمع یا سرقت کوکیها. هدف هر صرافی شناسایی و آماده شدن برای حملات احتمالی است.
هک کیف پول داغ
هک یک کیف پول داغ یا چندین کیف پول داغ صرافی ارزهای دیجیتال سادهترین راه برای دسترسی به داراییهای کریپتو است. نه به این معنا که هک کردن صرافی یا سرور آنها کار دشواری نیست، اما به این معنا که وقتی هکر به آن کیف پولهای داغ دسترسی پیدا کرد، ممکن است وجوه به جای دیگری منتقل شود.
بیایید به هکهای خاصی که قبلاً رخ داده و قبلاً در این مقاله توضیح داده شد، نگاه بیاندازیم. یک درس مهم برای همه صرافیهای جدید از شکستهای قبلی آموخته شد. فقط ببینید که چقدر طول کشید تا Mt.Gox متوجه شدند که داراییهای آنها دیگر در کیف پول داغ آنها نیست؟ چندین ماه! امروزه به نظر میرسد غیرممکن است که آن را ظرف چند روز یا حداکثر چند هفته ندانیم.
جزئیات بیشتر در مورد ناامنی کیف پول داغ را میتوانید در قسمت بعدی بخوانید.
هک مهندسی اجتماعی
مهندسی اجتماعی یکی از راههای دستیابی به دادههای حساس یا دسترسی به آنهاست. این معمولاً با جعل هویت یک منبع قابل اعتماد داده انجام میشود – برخی از کارمندان با دادههای ذخیره شده عمومی در دسترس خودشان مورد حمله قرار میگیرند.
مهاجم معمولاً فایل .doc، .dot یا .exe را با اطلاعات مرتبط و حتی نام شخصی که کارمند صرافی قبلاً با او در ارتباط بوده است، برای او ارسال میکند. پس از باز شدن فایل، دستگاه کاربر تحت تأثیر بدافزار قرار میگیرد. تنها محافظت مؤثر این است که کارکنان خود را در مورد تهدیدهای بالقوه جدید آگاه کنید.
نحوه محافظت از مبادلات رمزنگاری
اگر صرافی رمزنگاری خود را دارید یا به راهاندازی آن فکر میکنید چه تدابیری برای امنیت دارید؟ در اینجا برخی از دستورالعملهای امنیتی صرافی ارزهای دیجیتال وجود دارد که اگر میخواهید امنیت سرمایه خود و مشتری خود را به حداکثر برسانید، خوب است آنها را دنبال کنید. بیایید 8 روش خود را برای ایمن کردن تبادل ارزهای دیجیتال بررسی کنیم.
- 1. ذخیره سازی در کیف پول سرد
اما در مورد صرافیها چطور ممکن است؟
آیا نمونه صرافی Coincheck و استفاده آنها از یک کیف پول داغ برای ذخیره همه توکنهای NEM در ابتدای این مقاله را به خاطر دارید؟ اگر Coincheck از ترکیب کیف پولهای سرد و گرم استفاده کرده بود، یا حداقل با این حجم بزرگ به صورت یکجا ذخیره نمیکرد، هرگز این اتفاق نمیافتاد. هک کردن سرور صرافی ممکن است داراییهای مشتریان را در زمانی که تمام داراییها در کیف پولهای داغ ذخیره میشود تهدید کند.
در حالی که بلاک چین یک مکان کاملاً شفاف است، مهاجمان ممکن است با تجزیه و تحلیل درون زنجیرهای مشاهده و ردیابی کنند که کدام کیف پولها به عنوان فضای ذخیره سازی سرد و کدام کیف پولها به عنوان فضای ذخیره سازی گرم عمل میکنند. صرافیها همچنین ممکن است از کیف پولهای پیش سرد و پیش گرم برای بهبود سطح امنیت ارزهای دیجیتال استفاده کنند.
کیف پولهای سرد باید حاوی بیشتر ارزهای دیجیتال باشد زیرا مستقیماً به اینترنت متصل نیستند.
کیف پولهای داغ به عنوان یک سپرده نقدی برای صرافیها عمل میکند تا امکان برداشت گسترده از مشتریان را فراهم کند.
برخی از صرافیها مانند KuCoin نیز داراییهای موجود در رابط کاربری مشتری را از هم جدا کردهاند. کاربران میتوانند ارزهای دیجیتال را هم در حساب اصلی و هم در حساب تجاری داشته باشند. در حالی که حساب اصلی برای سپردهها و برداشتها استفاده میشود، دریافت این وجوه به روش نقدشوندهتر ضروری است، به عنوان مثال، نگهداری در یک کیف پول داغ. حساب تجاری به عنوان یک استخر نقدینگی برای تراکنشها و معاملات ارزهای دیجیتال تعیین میشود. تا زمانی که داراییهای کریپتو از حساب تجاری به حساب اصلی منتقل نشوند، ممکن است برداشت نشوند و این بدان معناست که یک صرافی نیازی به نگه داشتن آنها در ذخیره سازی داغ برای مدت زمانی که در حساب معاملاتی است ندارد.
- 2. احراز هویت دو مرحله ای
احراز هویت دو مرحله ای به دلایل امنیتی در فضای رمزنگاری ضروری است. برخی از صرافیها فقط از دو عامل استفاده نمیکنند، بلکه برخی از آنها حتی از سه عامل یا بیشتر استفاده میکنند. پسوردها تا زمانی که شکسته نشوند مقاوم هستند. ناتوانی یک کاربر با تنظیم یک رمز عبور ضعیف یا استفاده از همان رمز در چندین حساب کاربری میتواند باعث شکسته شدن رمزعبور شود. برای دسترسی به رمزهای عبور کاربران، هکرها معمولاً از شیوههایی مانند keylogging یا ارسال نرم افزارهای جاسوسی که کدهای مخرب را وارد رایانه میکند، سوء استفاده میکنند. هنگامیکه رمز عبور به سرقت رفت یا کشف شد، مهاجم منتظر یک لحظه مناسب است تا از آن به نفع خود استفاده کند.
احراز هویت چند عاملی یک تقویت امنیتی لایه دوم در هنگام ورود به سیستم یا برداشت وجه است. احراز هویت دو مرحلهای میتواند به شکل یک پیام متنی در یک دستگاه تلفن یا یک ایمیل باشد. یک راه محبوب، استفاده از یک برنامه ویژه تلفن همراه برای این سرویس مانند Google Authenticator یا Authy است که یک سری منحصر به فرد از اعداد را در یک زمان خاص تولید میکند.
- 3. حساب متصل به آدرس IP خاص
این روش امنیتی به اندازه روشهای دیگر مورد استفاده قرار نمیگیرد، اما به خوبی برای مهاجم محدود کننده است. هنگامیکه حساب موجود در صرافی رمزارز به یک یا چند آدرس IP مرتبط شود، سبقت گرفتن از آن بسیار دشوارتر است.
مانیتورینگ آدرسهای IPکه کاربر با آنها در حال ورود به صرافی است، توسط صرافیهای اصلی استفاده میشود، اما فقط به دلایل آموزشی که کاربر در مورد فعالیت قبلی خود اطلاعات کسب کند. اما این اطلاعات بدون پیششرط خاصی – اگر مشتری رفتار خود را کنترل کند و نوسانات یا رویدادهای مشکوک را مشاهده کند یا خیر، کاملاً به مشتری داده میشود.
اما اولین صرافیهایی وجود دارند که در صورت هرگونه دسترسی مشکوک به حساب کاربری کاربران، به عنوان مثال از یک مکان جغرافیایی ناشناخته یا از رایانه یا مرورگری متفاوت از آنچه که کاربر معمولاً از صرافی بازدید میکند، شروع به اطلاع رسانی به کاربران میکنند.
- 4. پیامهای اعلان هنگام برداشت وجوه
یکی دیگر از اقدامات احتیاطی مهم، اطلاع دادن به کاربر در مورد برداشت وجه است.
صرافیهای بزرگ نه تنها اعلانهایی را برای برداشت ارزهای دیجیتال ارسال میکنند، بلکه اطلاعات سپردهها را نیز ارسال میکنند. این به مشتریان کمک میکند تا در صورت بروز هر گونه رفتار نامناسب مراقب باشند.
برخی از صرافیها بسیار فراتر از ایمیلهای اطلاعرسانی در مورد برداشت وجه عمل میکنند. آنها به شما این امکان را میدهند که مستقیماً روی یک دکمه فعال در بدنه ایمیل کلیک کنید، که در صورت وجود حرکت ناشناخته یا مشکوک در حسابتان، لغو تراکنش یا حتی تعلیق حساب را انجام دهید.
- 5. برداشتها پس از تغییر دادههای حساب مسدود میشوند
تغییر دادههای حساب مانند آدرسهای ایمیل یا شماره تلفن مرتبط، رفتار معمول یک هکر است. هنگامی که مهاجم به حساب دسترسی پیدا کرد، باید مطمئن باشد که میتواند برداشت احتمالی را از طریق تلفن یا ایمیل کنترل شده خود تأیید کند. اگر قرار است حمله به خوبی انجام شود، شخص هک شده حداقل نباید اطلاعی از برداشت حساب خود داشته باشد.
با مسدود کردن برداشت برای چند روز یا حتی یک یا دو هفته پس از تغییر برخی تنظیمات حساب، صرافی ارز دیجیتال از آن نوع رفتارهای مخربی که معمولاً توسط هکرها انجام میشود، جلوگیری میکند.
- 6. وجود بخش مبارزه با کلاهبرداری
بخش مبارزه با کلاهبرداری یکی از نقاط حساس در شرکت است. وجود چنین بخشی، به ویژه برای شرکتهای بزرگ و صرافیهای رمزنگاری، برای پیشگیری و شناسایی هرگونه رفتار نادرست بسیار مفید است. همه کارکنان بورس باید از پیشگیری و افشای تقلب حتی قبل از وقوع آن آگاه باشند. آموزش کارکنان خود یکی از مراحل مهم است.
از سوی دیگر، علاوه بر مزایای استفاده از آن، وجود یک بخش جداگانه متمرکز بر کشف تقلب در یک شرکت، پیام مهمی را به مشتریان و سهامداران ارسال میکند. این پیام که این شرکت مبارزه با کلاهبرداران و دزدان را جدی میگیرد.
- 7. صندوقهای بیمه مشتریان
مبالغ ذخیره شده در بورس را میتوان به دو صورت بیمه کرد. اول توسط برخی از شرکتهای بیمه بیرون مجموعه، و روش دوم این است که آنها توسط برخی از سیاستها یا مقررات داخلی حمایت شوند. زیرا زمانی که داراییها دزدیده یا گم میشوند، صرافیها باید زیانهای مشتریان خود را پوشش دهند، در غیر این صورت میتواند عواقبی داشته باشد که ممکن است منجر به پایان کار آنها شود.
آیا تا به حال مدیر عامل بایننس را دیدهاید Changpeng Zhao (CZ) که توییت میکند “صندوقها سافو هستند ” ؟ نظر شما در مورد آن چیست؟ آیا فکر میکنید او املای کلمه “ایمن” را اشتباه مینویسد؟
پاسخ این است که هدفی برای این کار وجود دارد. زیرا بایننس در 14 جولای 2018 صندوق دارایی ایمن برای کاربران (به طور کوتاه SAFU) ایجاد کرد، جایی که آنها 10٪ از هزینههای معاملاتی دریافتی را برای محافظت از کاربران بایننس و داراییهای رمزنگاری شده آنها ذخیره میکنند.
بعداً در ماه مه 2019، همانطور که قبلاً در این مقاله اشاره کردیم، یکی از بزرگترین صرافیهای ارز دیجیتال Binance برای 7000 BTC هک شد. به لطف این صندوق دارایی، آنها قادر بودند ارزهای رمزنگاری شده از دست رفته را پوشش دهند تا مشتریان آنها متضرر نشوند.
از این به بعد، هر زمان که دوباره از CZ شنیدید که “صندوقها سافو هستند “، به صندوق بیمه مشتریان آنها فکر کنید.
- 8. ممیزیهای امنیتی صرافی کریپتو
به طور مشابه، برای صندوقهای بیمه مشتریان، ممیزیهای امنیتی دورهای ارزهای دیجیتال دو نقش عمده را برای تجارت صرافی ایفا میکنند. ممیزی نه تنها میتواند نقاط ضعفی را در امنیت صرافی ارزهای دیجیتال نشان دهد، بلکه اعتماد سرمایهگذاران و اطمینان حقوقی را نیز ایجاد میکند. ممیزی همچنین نقش بزرگ و مهمی در بسیاری از حوزههای قضایی برای تحقق چارچوبهای نظارتی ایفا میکند. فضای پولشویی و کلاهبرداری از هر نوع باید به حداقل برسد تا اعتبار بیشتری به دست آید.
انواع مختلفی از ممیزیها وجود دارد، اما برای کسب و کارهای مربوط به مبادلات رمزنگاری، ممیزیهای کنترل سیستم و سازمان (SOC) مرتبطترین هستند، زیرا از این ممیزیها برای شناسایی مستقل خطرات بالقوه صرافی استفاده میشود و به مشتریان اطلاع میدهد که شرکت شما کارآمد است و کنترلهای داخلی اجرا میشود.
ممیزی SOC1
حسابرسی SOC1 بر کنترلهای داخلی مرتبط با گزارشگری مالی (ICFR) متمرکز است. وظیفه گزارشSOC1 این است که مشتریان را در مورد مراحل شناسایی و رفع خطراتی که خدمات ارائه شده بر امور مالی مشتری تأثیر نامطلوب نمیگذارد، آگاه کند.
ممیزی SOC2
ممیزی SOC2 در مورد امنیت فناوری اطلاعات در این دستهها اطلاعات میدهد: امنیت، محرمانه بودن، یکپارچگی پردازش، حریم خصوصی اطلاعات و در دسترس بودن. شرکتهای حسابرسی شده میتوانند دسته امنیتی به اضافه برخی خدمات دیگر یا همه آنها را انتخاب کنند. گزارش SOC2 برای انطباق با معیارهای خدمات اعتماد مورد نیاز توسط( AICPA موسسه حسابداران رسمی آمریکا) مهم است.
ممیزی SOC3
ممیزی SOC3 اغلب توسط شرکتها استفاده نمیشود. در مقایسه با ممیزی SOC2، SOC3 شامل توضیحات و نتایج دقیق کنترل نمیشود و همچنین میتوان آن را آزادانه توزیع کرد.
SOC برای ممیزی امنیت سایبری
SOC برای امنیت سایبری یکی از گزینههای جدیدتر است که معمولاً توسط شرکتها استفاده میشود و به روشی رسمی برای ارائه شواهد و گزارش در مورد برنامه مدیریت ریسک امنیت سایبری خود نیاز دارد.
نتیجه
تجارت ارز دیجیتال ممکن است بسیار پررونق باشد، اما مسائل امنیتی باید در وهله اول قرار گیرد. در غیر این صورت، خطرات آن بیشتر از درآمدهای احتمالی است. یک حمله هکری دقیق به وجوه ذخیره شده در صرافی ارزهای دیجیتال میتواند همه چیز را بدتر کند.
فقط نگاهی به صرافیهای رمزنگاری که در گذشته هک شدهاند بیاندازید. برخی از آنها مانند Mt.Gox ، Cryptsy ، Cryptopia یا BitGrail دیگر وجود ندارند.
هکرها و کلاهبرداران هنوز در حال توسعه ابزارها و تکنیکهای جدید برای دسترسی به سرورهای مبادلات و برنامههای کاربران هستند. آنها دلیل خوبی برای این کار دارند: ارزهای دیجیتال شما. میلیونها دارایی رمزنگاری ذخیره شده در صرافیها برای آنها مانند ظرف عسل است.
راهاندازی یک کسب و کار رمزنگاری بدون اجرای یک برنامه امنیت سایبری موثر یک ریسک بسیار بزرگ است، زیرا در این صورت فقط مهم است که اتفاق غیرمنتظره و ناخواسته چه زمانی رخ میدهد. این مثل بازی با آتش است، شما میتوانید به راحتی بسوزید.
نکاتی که باید برای محافظت از سرمایههای ارز دیجیتال به آن توجه داشت؛
هک حساب ارزهای دیجیتال در حال افزایش است.
محبوبیت و افزایش قیمتها در بیت کوین و اتریوم به این معنی است که ارزهای مجازی اغلب به هدف هکرهایی تبدیل میشوند که میخواهند از این داراییهای ارزشمند استفاده کنند. جک مانینو ، مدیر عامل nVisium ، ارائهدهنده امنیت اپلیکیشن مستقر در فالز چرچ در ویرجینیا، میگوید: «اقتصاد هک نشان میدهد که مهاجمان همچنان به سمت ارزهای دیجیتال جذب خواهند شد، زیرا ارزش آنها افزایش مییابد و در زندگی روزمره ما رایجتر میشوند.» ردیابی کار هکرها اغلب سخت است زیرا ردپای آنها را میتوان به صورت دیجیتالی از بین برد. وقتی یک حساب ارز دیجیتال هک میشود، سرمایهگذاران از نظر قانونی هیچ راهحلی ندارند، زیرا ارزهای مجازی هنوز توسط هیچ نهاد دولتی یا بانک مرکزی کنترل نمیشوند. در اینجا 10 نکته برای محافظت از سرمایه گذاری در ارزهای دیجیتال آورده شده است.
یک رویکرد ترکیبی برای امنیت کیف پول دیجیتال داشته باشید.
محبوبیت کیف پولهای آنلاین افزایش یافته و توجه هکرها را به خود جلب کرده است. ترنس جکسون، افسر ارشد امنیت اطلاعات در Thycotic ، ارائهدهنده مدیریت دسترسی ممتاز در واشنگتن ، میگوید: کیف پولهای آفلاین یا فیزیکی باید برای ذخیره اکثر ارزهای دیجیتال مصرفکننده استفاده شوند، در حالی که تنها مقدار کمی ارز در کیف پول آنلاین نگهداری شود. این افسر ارشد امنیت اطلاعات میگوید: «کیف پول فیزیکی نیز باید در مکانی امن مانند گاوصندوق یا صندوق امانات نگهداری شود. همچنین پیشنهاد میکنم کلیدهای بخش خصوصی و عمومیرا از هم جدا کنید. هر دو باید با رمزهای عبور قوی و احراز هویت چندعاملی در صورت امکان ایمن شوند. همانطور که ارز دیجیتال رایجتر میشود، گزینههای سنتی ظاهر میشوند، اما در این میان، شما مسئول حفظ امنیت ارز دیجیتال خود هستید.»
دو رمز عبور قوی کلید امنیت هستند.
هرگز از رمزهای عبور در حسابهای خود استفاده مجدد نکنید، به خصوص از آنجایی که خدمات ارزهای دیجیتال هدف اصلی هکرها هستند. کوین دان، رئیس Greenlight، ارائهدهنده راهحلهای مدیریت ریسک یکپارچه مستقر در فلمینگتون در نیوجرسی، میگوید: «فرض را بر این بگذارید که همه آنها در نهایت رخنه اطلاعاتی خواهند داشت. در حالی که ارز دیجیتال یک فناوری نوآورانه است که به سرعت در حال تکامل است، سریعترین و عاتی آسانترین راه برای ایمن کردن کیف پول شما با تاکتیکهای امنیتی آزمایششده و واقعی است. » او میگوید: «با داشتن یک رمز عبور منحصر به فرد و قوی برای هر کدام از کیف پولها، با فعال کردن احراز هویت دو مرحله ای و چرخش رمز عبور در صورت امکان، قرار گرفتن در معرض خطر خود را محدود کنید. استفاده از یک مدیر رمز عبور قابل اعتماد میتواند به خودکارسازی این فرآیند و از بین بردن حدس و گمان کمک کند.»
با کیف پولهای رمزنگاری، صرافیها، کارگزاریها و اپلیکیشنهای موبایل معتبر کار کنید.
سرمایهگذاران قبل از تصمیمگیری در مورد استفاده از کدام پلتفرم باید به دقت ویژگیهای امنیتی هر پلتفرم را بررسی کنند تا بفهمند چگونه از دادههای آنها محافظت میشود. آستین مریت، تحلیلگر اطلاعات تهدیدات سایبری در Digital Shadows، از سانفرانسیسکو، میگوید: «نهادهای مورد اعتماد باید از بهترین شیوههای امنیتی مانند نیاز به احراز هویت چند عاملی، رمزگذاری SSL/TLS و استفاده از دستگاههای دارای شکاف هوا را که هنگام ذخیره ارزهای دیجیتال آفلاین نگه داشته میشوند استفاده کنند.» ارائه دهنده راه حلهای دیجیتالی حفاظت از ریسک میگوید استفاده از بیش از یک پلتفرم ارز دیجیتال میتواند ایمنتر باشد تا زمانی که مالکان از رمزهای عبور متفاوت و پیچیده برای هر پلتفرم استفاده کنند. او میگوید: چه از یک یا چند پلتفرم ارز دیجیتال استفاده کنید، حفظ یک مدیر رمز عبور ایمن برای اطمینان از گم نشدن رمزهای عبور ضروری است.
از خود در برابر فیشینگ تلفن همراه محافظت کنید.
بسیاری از افرادی که دارای کیف پول رمزنگاری هستند از یک اپلیکیشن موبایل برای مدیریت آن استفاده میکنند. هنک شلس ، مدیر ارشد راه حلهای امنیتی در Lookout، ارائهدهنده راهحلهای امنیتی تلفن همراه در سانفرانسیسکو ، میگوید با افزایش قیمت رمزارزها، هکرهای مخرب انگیزه دارند تا سرمایهگذاران را با کمپینهای فیشینگ موبایلی هدف قرار دهند تا رمز ورود شما را به سرقت ببرند. این حملات مهندسی اجتماعی میتواند از هر نقطه از دستگاه تلفن همراه، از جمله متون، رسانههای اجتماعی، پلتفرمهای پیامرسان شخص ثالث یا ایمیل انجام شود. او میگوید: «فراتر از فیشینگ، برنامههای تلفن همراه مخربی نیز وجود دارند که توانایی پنهانی برای ثبت کلیدهایی که میزنید یا ضبط فعالیتها بر روی صفحه نمایش شما دارند. بسیاری از مردم نرم افزار آنتی ویروس را بر روی رایانههای خود نصب میکنند، و به اهمیت استفاده از آن آگاهند، که باید همین کار را با گوشیهای هوشمند و تبلتهای خود نیز انجام دهند. Schless میگوید: «با توجه به مقدار دادههایی که با اعتماد در آن دستگاهها قرار دادیم، حفظ امنیت آنها مهمترین موضوع است.
از نحوه استفاده از کیف پول شما در تراکنشها آگاه باشید.
دیرک شریدر، معاون جهانی در New Net Technologies، یک ارائهدهنده امنیت سایبری و نرمافزار انطباق مستقر در ناپل، میگوید: اصول اصلی «تابآوری سایبری» را در کیف پول خود اعمال کنید. “هر کیف پول رمزنگاری یک قطعه داده و کد است، اما قطعه ای است که ارزش زیادی برای شما و دیگران دارد. از فرآیندهای استفاده از آن در تراکنشها آگاه باشید، مطمئن باشید که اگر شما از آنها برای تراکنشها استفاده میکنید سیستمها و شبکهها به خطر نیفتند و از محافظت فیزیکی در محل خود برخوردار هستند.” سرمایهگذارانی که با ارزشهای بالاتر معامله میکنند باید مدتی را صرف سنجش ریسک کنند. شریدر میگوید: “حملات سایبری صحنه سازی میشوند. آنها ابتدا جای پای خود را ایجاد میکنند و قبل از حمله به هدف اصلی (کیف پول شما) گسترش مییابند .” او میگوید”محافظتهای سایبری اعمال شده روی کیف پول شما به اندازه درک شما از آنها است.”
روشها و فرآیندهای مختلف برای محافظت از ارز دیجیتال خود را بدانید.
محبوبیت سرمایهگذاری در ارزهای دیجیتال نزد افرادی که سابقه فنی ندارند، اما به دنبال تنوع بخشیدن به سبد دارایی خود هستند، ادامه دارد. براندونهافمن، افسر ارشد امنیت اطلاعات در Netenrich ، مستقر در کالیفرنیا، میگوید: هیچ یک از داراییهای دیجیتال توسط یک سازمان معتبر یا بانک مرکزی مدیریت نمیشود، بنابراین مسئولیت محافظت از پول شما، “تقریبا به طور کامل بر عهده خودتان است.” ارائه دهنده عملیات و خدمات فناوری اطلاعات، ابر و امنیت سایبری معتقد است. احتمال بازیابی خسارات بسیار کم است. سه مؤلفه مهم برای یادگیری عبارتند از: حفاظت از کلید مخفی، حفاظت از دانههای بازیابی و محافظت از بدافزار cryptominer .
از اشتراکگذاری کلید مخفی خودداری کنید.
از کلید مخفی برای تایید این موضوع استفاده میشود که شخصی که سکههای دیجیتال را ارسال یا دریافت میکند، صاحب کیف پول مورد استفاده است. این کلید مخفی یا خصوصی هرگز نباید به اشتراک گذاشته شود. «ایمنترین راه برای ذخیره کلید خصوصی، استفاده از فضای سرد است.» او میگوید: «ذخیره سرد اساساً به معنای پرینت گرفتن کلید خود و از بین بردن تمام آثار دیجیتالی آن است.» روش نیمه ایمن، نیمه شکست برای بازیابی کلید خصوصی شما، استفاده از seed است، مجموعه ای از کلمات تولید شده به طور تصادفی که کاربر میتواند از آنها استفاده کند. هافمن میگوید: «این عبارات seed فقط باید روی کاغذ نوشته یا چاپ شود و در جایی امن نگهداری شود. به این دلیل که مهاجمان به راحتی میتوانند به سیستمهای کاربر نهایی و سایر برنامههای ذخیرهسازی دیجیتال دسترسی پیدا کنند، نگه داشتن این عبارت در جایی دیجیتال بسیار خطرناک است.
از استفاده از کیف پولهای میزبانی شده توسط ارائه دهندگان صرف نظر کنید.
روشهای دیگر ذخیره بیت کوین کیف پولهایی هستند که روی لپ تاپ یا دسکتاپ شما میزبانی میشوند و کیف پولهایی که توسط ارائه دهندگان و در سرور آنها میزبانی میشوند. هافمن میگوید کیفپولهایی که توسط ارائهدهندگان میزبانی میشوند بدترین انتخاب هستند زیرا به آنها اجازه میدهید کلید خصوصی شما را روی سرورهایشان که کاملاً خارج از کنترل شما هستند ذخیره کنند. “این رایج ترین انتخاب است زیرا به کمترین تلاش فنی نیاز دارد. اما کلید خصوصی شما را در معرض خطرات متعددی قرار میدهد، از جمله نقض سرور ارائه دهنده، از کار افتادن ارائه دهنده یا حتی تصاحب زیرساخت توسط یک دولت یا سایر مسائل قانونی موجود.” او میگوید از یک کیف پول سختافزاری استفاده کنید، که یک دستگاه مبتنی بر USB است که کلید خصوصی شما را به همراه سایر جزئیات مرتبط رمزگذاری و ذخیره میکند. روش رمزگشایی آنها گاهی اوقات فیزیکی است و در مقایسه با روشهای دیگر بسیار ایمنتر است.
کیف پول سرد برای معامله گران فعال معایبی دارد.
بیک ، کارشناس ارشد امنیت سایبری در Digital Shadows میگوید، کیف پول سرد کاملا آفلاین است و باید آدرس خصوصی را روی کاغذی بنویسد که فقط مالک به آن دسترسی دارد یا یک دستگاه فیزیکی بخرد که به طور ایمن وجوه ارزهای دیجیتال را ذخیره میکند. او میگوید: معایب شامل زمان مورد نیاز برای ذخیره ارزهای دیجیتال میشود، و اگر درگیر فعالیتهای معاملاتی هستید، فرآیند «انتقال مداوم وجوه بین صرافی و کیف پول سرد میتواند هزینههای برداشت مکرری را به همراه داشته باشد». “مزایای کیف پول سرد شامل آرامش خاطر است هنگامی که فقط شما به وجوه خود دسترسی دارید.”
کیف پولهای داغ برای معامله گران راحت تر است، اما میتواند ضرر بیشتری داشته باشد.
بیک میگوید، سرمایهگذاران خردهفروش میتوانند از کیفپولهای داغ استفاده کنند، روشی برای ذخیرهسازی که همیشه به اینترنت متصل است تا دسترسی آسانتر و امکان تجارت و خرید راحتتر ارزهای دیجیتال مانند Coinbase و PayPal را تسهیل کند. او میگوید که این مبادله امنیت و سپردن امنیت آدرس عمومی و خصوصی شما به پلتفرم است، که “از لحاظ تاریخی منجر به از دست رفتن وجوه قابل توجهی پس از نقض موفقیتآمیز صرافی شده است.” این سناریو فقط باید برای معامله گران فعال در نظر گرفته شود، اما میزان وجوهی که آنها نیاز به دسترسی دارند باید به طور مداوم ارزیابی شود. هکرها همیشه صرافیهای بزرگ را هدف قرار میدهند، به ویژه با افزایش تعداد سرمایهگذاران خرده فروشی. او میگوید: «صرف نظر از اینکه یک پلتفرم متمرکز یا غیرمتمرکز باشد، بدون فرآیندهای ذخیرهسازی مناسب که توسط خود سرمایهگذار اجرا میشود، احتمالاً در معرض خطر یک حمله احتمالی باقی میمانند.»
راههایی برای ایمن نگه داشتن ارز دیجیتال:
- یک رویکرد ترکیبی برای امنیت کیف پول دیجیتال داشته باشید.
- دو رمز عبور قوی کلید هستند.
- با کیف پولهای رمزنگاری معتبر، صرافیها، کارگزاریها و اپلیکیشنهای موبایل کار کنید.
- از خود در برابر فیشینگ تلفن همراه محافظت کنید.
- از نحوه استفاده از کیف پول خود در معاملات آگاه باشید.
- روشها و فرآیندهای مختلف برای محافظت از ارز دیجیتال خود را بدانید.
- از اشتراک گذاری کلید مخفی خودداری کنید.
- از استفاده از کیف پولهای میزبانی شده توسط ارائه دهندگان صرف نظر کنید.
- کیف پول سرد برای معامله گران فعال معایبی دارد.
- کیف پولهای داغ برای معامله گران راحت تر است، اما میتواند ضرر بیشتری داشته باشد.
منبع: money.usnews.com ؛