امنیت صرافی ارز دیجیتال برای خرید ارز دیجیتال و امنیت داراییهای معاملهگران این بازار بسیار مهم است؛ اما این بسترهای آنلاین، از حملات سایبری مکرر در امان نیستند. در این مطلب با رایجترین مشکلات امنیتی در صرافی ارز دیجیتال آشنا خواهید شد.
اهمیت شناخت آسیبپذیریهای امنیتی صرافی ارز دیجیتال
بر اساس استدلال بسیاری از کارشناسان، ارزهای دیجیتال نه تنها بخش مالی، بلکه عملکرد کل جامعه را تحت تأثیر قرار داده و منجر به تغییرات اساسی در آن میشوند. راحتی در تولید، ذخیره و مدیریت آسان، تراکنش و حساب کردن ارزهای رمزنگاری شده، دلایل توجیهکنندهای برای این ادعا هستند. در سالهای اخیر، بیتکوین موفقیت زیادی کسب کرد و همراه با سایر ارزهای دیجیتال، جایگاه ویژهای در اقتصاد دیجیتال پیدا کردند. همین امر منجر به ترغیب بسیاری از افراد به فعالیت در این بازار شده است. از آنجایی که نقصها و خطرات امنیتی، اعتماد به ارزهای دیجیتال را تضعیف میکند، شناخت مشکلات امنیتی رایج در صرافیها ضروری است.
در طول سالهای اخیر، حملات متعددی به ارزهای دیجیتال وارد شده است. بهعنوان یک نمونه میتوانیم به هک صرافی ارز دیجیتال کوین ریل (Coinrial) کره جنوبی در ژوئن 2018 اشاره کنیم. بر اساس گزارشی که خبرگزاری محلی یونهاپ منتشر کرد، صرافی Coinrail بر اثر این حمله سایبری، مبلغی بالغ بر 40 میلیارد وون (9/36 میلیون دلاآمریکا) را از دست داد. مورد بعدی خبر هک صرافی کریپتو کارنسی کوین چک ژاپن در ژانویه 2018 بود که زیانی بالغ بر 500 میلیون دلار آمریکا را برای این صرافی به بار آورد. همچنین صرافی یوبیت کره جنوبی نیز پس از دوبار هک شدن در سال 2017 اعلام ورشکستگی کرد.
بر اساس آنچه گفته شد، صرافیهای ارز دیجیتال برای جلوگیری از هک شدن، باید اطلاعات خود را درباره آسیبپذیریها و مشکلات امنیتی رایج بالا ببرند. در واقع اگرچه اقدامات پس از حادثه، موثر هستند؛ اما احتمال کمی وجود دارد که پیامدهای منفی و زیانبار هک شدن را به صفر برساند.
پنج آسیبپذیری رایج صرافی ارز دیجیتال
مقالات متعددی درباره نحوه انتخاب بهترین صرافی ارز دیجیتال برای خرید ارز دیجیتال وجود دارد. در همه آنها به مزایا و معایب صرافیها اشاره شده است. در کنار این اطلاعات، بهتر است با آسیبپذیریهای رایج صرافیهای ارز دیجیتال نیز آشنا باشید. صرافی ارز دیجیتال Wallex و Binance امنیت مناسبی دارند که برای جلوگیری از خطرات تحریم، صرافی ارز دیجیتال والکس انتخاب مناسبی است.
ما میتوانیم حداقل 5 آسیبپذیری رایج در صرافیهای ارز دیجیتال را تشخیص دهیم. 1) حساسیت صرافیهای ارزهای دیجیتال به فیشینگ، 2) حفاظت ضعیف از اعتبارنامه ورود کارکنان، 3) از دست رفتن امنیت و حفاظت کیف پول گرم، 4) آسیبپذیری نرم افزار و 5) انعطافپذیری معاملات.
1- حساسیت مبادلات ارزهای دیجیتال به فیشینگ
حمله فیشینگ (Phishing) به ترفندی گفته میشود که کلاهبردارن و سارقان سایبری، با استفاده از آن اطلاعات شخصی و اطلاعات بانکی را برای اهداف سودجویانه خود جمعآوری میکنند. یکی از آسیبپذیریهای صرافیهای ارز دیجیتال، همین حملات فیشینگ است. تاکنون موارد زیادی از این حملات علیه صرافیها، رقم خورده است. حملات فیشینگ معمولاً با ارسال ایمیلهای جعلی برای کاربران صورت میگیرد. این ایمیلها کاربر را قانع میکنند تا اطلاعات شخصی خود را در یک وبسایت جعلی وارد کند.
حملات فیشینگ انواع مختلفی دارند و اگر میخواهید اطلاعات بیشتری در مورد جزئیات این ناامنی در صرافیهای ارز دیجیتال کسب کنید، بهتر است به مقالههای تخصصیتر درباره این موضوع رجوع فرمایید.
2) حفافظت ضعیف از اعتبارنامه ورود کارکنان
این مورد به کارکنان صرافی ارز دیجیتال مربوط است. در واقع کارمندان این صرافیها، اگر از رمزهای عبور ضعیف و ناامن استفاده کرده و اعتبار ورود خود را به روشی ناامن ذخیره کرده باشند، بهراحتی طعمه مجرمان و کلاهبرداران خواهند شد. موارد متعددی از این ضعف امنیتی مشاهده شده است که هک BitThumb و هک YouBit در 2017 نمونههایی از آن هستند.
موضوع دیگری در خصوص ناامنی اعتبارنامه کارکنان، حمله هکرها به کامپیوترهای خصوصی این افراد است. به گفته هرزبرگ (محقق امنیتی) در رابطه با هک BitThumb، نقض مربوط به دادههای ذخیره شده خارج از داراییهای شرکت در رایانه شخصی دلیل هک شدن این صرافی است؛ بنابراین سازمانها باید اطمینان حاصل کنند که کارکنان آنها از اعتبارنامههای ورود امن هم برای رایانههای کاری و هم برای رایانههای شخصی خود استفاده میکنند.
3- از دست دادن امنیت کیف پول داغ
اصطلاح کیف پول داغ (Hot Wallet) به یک کیف پول ارز دیجیتال آنلاین اشاره دارد که به اینترنت متصل است. کلیدهای خصوصی رایجترین حفاظ این کیف پولهاست و تعداد زیادی صرافی ارز دیجیتال آن را به کار میبرند. اگر این کلیدها را محافظت نکنید، در واقع محافظت کیف پول و داراییهای شما به خطر افتاده است. مجرمان از طریق کلیدهای خصوصی، کیف پولی که به آن کلید مربوط است را هک میکنند و به داراییها و اطلاعات کیف پول دست خواهند یافت.
نمونهای از حملات کلید خصوصی در 2016 برای Parity و Bitfinex اتفاق افتاد که منجر به خسارتهای 65 میلیون دلاری و 30 میلیون دلاری برای این صرافیها شد. صرافیهای ارز دیجیتال با استفاده از کلیدهای خصوصی چند امضایی میتوانند از حملاتی اینچنینی جلوگیری کنند.
4- آسیبپذیریهای نرمافزاری
براساس قانون، اجرای اقدامات امنیت اطلاعات برای محافظت از سپردههای مشتریان و جلوگیری از تراکنشهای غیرمجاز، برای همه بانکها و موسسات مالی، لازم و ضروری است. در حوزه خرید و فروش ارز دیجیتال نیز چند قانون از این دست قوانین، اعمال میشود. با این حال هنوز هم صرافیهایی وجود دارند که نرمافزارهای آنها مورد حمله هکرها قرار گرفته و مقادیر قابلتوجهی پول به سرقت رفته است.
5- انعطافپذیری معاملات
دستکاری تراکنشهای مربوط به خرید ارز دیجیتال قبل از بسته شدن، یکی از رایجترین آسیبپذیریهای مربوط به صرافی ارز دیجیتال است. قبول این موضوع برای طرفداران فناوریهای بلاکچین تاحدودی دشوار است. چراکه آنها بر امنیت و ثبت تغییرناپذیر تراکنشهای بلاکچین باور دارند؛ اما نباید فراموش کنند که هر تراکنش در بلاکچین دارای یک امضاست و این امضا ممکن است قبل از بسته شدن دستکاری شود.
هک “Mt.Gox” یکی از بزرگترین حملات در تاریخ ارزهای دیجیتال توسط هکرهایی انجام شد که تغییرات را قبل از ارسال تراکنشهای اولیه به دفتر کل عمومی، ارسال کرده و منجر به زیان 473 میلیون دلاری و ورشکستگی صرافی شدند.
کلام آخر
تعداد زیادی از حملات سایبری مورد بحث در این مقاله، همچنین گزارشهای متعدد درباره آسیبپذیریهای امنیتی خرید و فروش ارز دیجیتال، نشان میدهد که هر صرافی ارز دیجیتال باید به اقدامات امنیتی سختگیرانهای را برای امنیت داراییهای کاربران و امنیت شغلی خود اتخاذ کند.