راهنمای جامع امنیت در دنیای ارز دیجیتال

هدف این راهنما این است که به شما کمک کند تا ریسک‌های امنیتی موجود در دنیای ارز دیجیتال را بشناسید و یاد بگیرید چگونه از اشتباهات رایج دوری کنید. در این راهنما درباره انواع کیف پول، خطرات Permit2، حملات فیشینگ، کلاهبرداری‌هایی در تلگرام و ایکس، پروژه‌های جعلی، توکن‌های تله‌ای و حتی نحوه سرقت عبارت بازیابی (Seed Phrase) از طریق OneDrive صحبت می‌کنیم. در پایان، شما آمادگی بیشتری برای محافظت از دارایی‌هایتان خواهید داشت؛ چرا که حتی اقدامات کوچک در امنیت ارز دیجیتال می‌توانند کار را برای کلاهبرداران صد برابر سخت‌تر کنند.

1. امنیت کیف پول ارز دیجیتال

در ذخیره‌سازی رمزارزها، باید بدانید که کیف پول‌ها به دو دسته اصلی تقسیم می‌شوند:

• کیف پول‌های امانی (Custodial)
• غیرامانی (Non-Custodial)

تفاوت اصلی آن‌ها در این است که چه کسی کنترل کلید خصوصی را در دست دارد و در نتیجه چه کسی واقعا مالک دارایی‌هاست.

کیف پول امانی

در این نوع کیف پول، یک شخص یا نهاد ثالث مثل یک صرافی، کلید خصوصی شما را نگهداری می‌کند. شبیه به حساب بانکی سنتی است که بانک پول شما را مدیریت می‌کند و شما فقط از طریق رابط کاربری آن به دارایی‌تان دسترسی دارید.

مزایا:

• رابط کاربری ساده: برای افراد تازه‌کار مناسب است.
• بازیابی حساب: در صورت فراموشی اطلاعات ورود، می‌توانید از طریق ایمیل یا شماره تلفن حساب را بازیابی کنید.

معایب:

• ریسک هک: اگر صرافی هک شود، ممکن است دارایی شما هم به سرقت برود (مثل ماجرای Mt.Gox یا Cryptopia).
• کنترل محدود: چون کلیدها دست صرافی است، در واقع شما مالک کامل دارایی نیستید. صرافی می‌تواند حساب شما را مسدود یا محدود کند؛ مثلا اگر صرافی مورد اعتماد نباشد، ممکن است از دارایی شما سواستفاده کند (مثل ماجرای FTX).

کیف پول غیرامانی

در این نوع کیف پول، شما مستقیما کلید خصوصی و در نتیجه کنترل کامل دارایی را در اختیار دارید. مثل تراست ولت، متامسک و.. یا کیف پول‌های سخت‌افزاری مثل Ledger. هیچ صرافی یا شخص دیگری به دارایی شما دسترسی ندارد مگر اینکه خودتان اجازه بدهید.

مزایا:

• کنترل کامل: فقط شما کنترل دارایی‌تان را دارید و هیچ‌کس نمی‌تواند در تراکنش‌های شما دخالت کند.
• امنیت بیشتر: اگر از کیف پول سخت‌افزاری یا تدابیر امنیتی قوی استفاده کنید، احتمال سرقت بسیار کمتر است.

معایب:

• مسئولیت کامل: اگر کلید خصوصی یا عبارت بازیابی‌تان را گم کنید، برای همیشه به کیف پول‌تان دسترسی نخواهید داشت. هیچ مکانیزم بازیابی‌ای وجود ندارد؛ بنابراین نوشتن و نگهداری امن عبارت بازیابی بسیار مهم است. (بعدا توضیح می‌دهیم چرا نوشتن روی کاغذ بهتر است.)
• مدیریت سخت‌تر: برای تازه‌کارها، مدیریت کلید و عبارت بازیابی ممکن است گیج‌کننده باشد.

در نهایت انتخاب بین این دو نوع کیف پول بستگی دارد به این‌که چقدر به نهادهای ثالث اعتماد دارید و چقدر حاضرید مسئولیت کامل دارایی‌تان را به‌عهده بگیرید. استفاده از صرافی‌ها ایرادی ندارد، چون معمولا نقدینگی بیشتری دارند، اما ذخیره‌سازی رمزارزها در کیف پول‌های Web3 امنیت بالاتری دارد.

2. خطرات Approve و Permit2

در شبکه اتریوم و سایر بلاکچین‌هایی که با قرارداد هوشمند کار می‌کنند، مکانیزمی به نام Permit وجود دارد که اجازه می‌دهد کاربران بدون افشای کلید خصوصی تراکنش را امضا کنند. این قابلیت تعامل با اپلیکیشن‌های غیرمتمرکز (dAppها) را سریع‌تر و راحت‌تر می‌کند. اما همین ابزار می‌تواند خطرناک باشد.

Permit2 چیست؟

Permit2 نسخه پیشرفته‌تری از مکانیزم Permit اصلی است که برای مدیریت مجوزهای تراکنش در اتریوم و شبکه‌های مشابه طراحی شده است. هدف اصلی آن این است که کاربران بتوانند اجازه انجام عملیات خاصی را روی توکن‌های خود صادر کنند، بدون اینکه مجبور باشند برای هر تراکنش جداگانه امضا دهند. این موضوع به‌خصوص در بازی‌های Web3 که تعاملات زیاد و کوچک دارند، بسیار کاربردی است.

بیشترین خطر از مجوزها ناشی می‌شود، که می‌تواند راه را برای دسترسی هکرها به دارایی‌های شما باز کند:

• مجوزهای نامحدود: برخی کاربران برای کاهش تعداد تراکنش‌ها، مجوز نامحدود به قراردادهای هوشمند می‌دهند تا هر زمان که خواستند بتوانند به توکن‌ها دسترسی پیدا کنند. این یعنی قرارداد می‌تواند بدون محدودیت به هر مقدار توکن دسترسی داشته باشد تا زمانی که شما این مجوز را لغو نکنید. اگر این قرارداد هک شود یا آسیب‌پذیر باشد، دارایی شما به راحتی به سرقت می‌رود.

• قراردادهای جعلی: کلاهبردارها می‌توانند dAppها یا قراردادهای هوشمند جعلی طراحی کنند که از شما اجازه دسترسی به توکن‌ها را می‌خواهند. به محض اینکه این اجازه را بدهید، آن‌ها می‌توانند دارایی‌های شما را به کیف پول خود منتقل کنند.
• آسیب‌پذیری‌های پنهان: برخی قراردادها ممکن است حاوی باگ‌ها یا ضعف‌های امنیتی پنهانی باشند که هکرها از آن‌ها سو استفاده می‌کنند تا توکن‌های شما را بدون اطلاع‌تان به آدرس‌های کلاهبرداری منتقل کنند.

چطور از خودتان محافظت کنید؟

برای کاهش ریسک‌های مرتبط با Permit2 و Approve، این چند نکته ساده را رعایت کنید:

• مجوز محدود بدهید: هیچ‌وقت به قراردادهای هوشمند اجازه دسترسی نامحدود به توکن‌های‌تان ندهید. همیشه مقدار مشخصی برای هر تراکنش تعیین کنید. مثلا اگر می‌خواهید ۱۳۵ DAI را با ETH مبادله کنید، مقدار Approve را دقیقا روی ۱۳۵ DAI تنظیم کنید.

• بررسی منظم: به‌صورت دوره‌ای، مجوزهای فعالی که به قراردادهای مختلف داده‌اید را بررسی کنید. از ابزارهایی مثل Etherscan یا Revoke.cash استفاده کنید که به شما امکان می‌دهند به‌راحتی مجوزهای غیرضروری یا مشکوک را لغو کنید.

• از کیف پول‌هایی استفاده کنید که توضیح تراکنش‌ها را نمایش می‌دهند: برخی کیف پول‌ها مثل Rabby یا Phantom به شما اجازه می‌دهند توضیح عملکرد قراردادها را قبل از تایید مشاهده کنید. Rabby حتی این قابلیت را دارد که مستقیما از داخل کیف پول، مجوزهای Approve را لغو کنید که این ویژگی برای افراد تازه‌کار بسیار مفید و کاربردی است.

• فقط از dApp های معتبر استفاده کنید: همیشه مطمئن شوید که تنها از پروژه‌ها و اپلیکیشن‌های غیرمتمرکز شناخته‌شده و معتبر استفاده می‌کنید. از پروژه‌های ناشناس یا تازه راه‌اندازی‌شده دوری کنید. اگر در برنامه‌های مربوط به بلاکچین‌های جدید شرکت می‌کنید، بهتر است یک کیف پول جداگانه بدون هیچ دارایی برای این کار بسازید.

3. امنیت دربرابر حملات فیشینگ (Phishing)

حملات فیشینگ در دنیای کریپتو اغلب با یک پیام جعلی شروع می‌شود؛ مثل یک ایمیل، پیام در اپلیکیشن‌های چت یا نوتیفیکیشن جعلی از طرف سایت‌های به ظاهر رسمی. هدف این پیام‌ها این است که شما را فریب دهند تا روی یک لینک مخرب کلیک کنید یا کیف پول خود را به یک سایت تقلبی متصل کرده و تراکنشی را امضا کنید.

در سال‌های اخیر، بسیاری از پروژه‌ها (به‌ویژه آن‌هایی که نزدیک به زمان عرضه توکن یا TGE هستند) هدف حملات سایبری در شبکه‌های اجتماعی قرار گرفته‌اند که منجر به انتشار لینک‌های جعلی برای ایردراپ شده‌اند. این پیام‌ها عباراتی مثل: فقط برای مدت محدود، همین حالا پاداش‌تان را دریافت کنید یا تا ۲ ساعت دیگر این ایردراپ تمام می‌شود را شامل می‌شوند. کلاهبردارها روی ترس کاربران از جا ماندن یا همان فومو (FOMO) حساب می‌کنند.

چطور از حملات فیشینگ جلوگیری کنیم؟

• آدرس سایت را دوبار چک کنید: قبل از کلیک روی هر لینکی یا اتصال کیف پول، مطمئن شوید که در سایت رسمی پروژه هستید. برای اطمینان، آدرس سایت را از منابع مختلف بررسی کنید؛ مثل توییتر (X)، مدیوم یا دیسکورد رسمی پروژه‌ها. همچنین، لینک سایت رسمی معمولا در پلتفرم‌های تحلیلی مثل CryptoRank هم درج می‌شود. آدرس سایت را با دقت مقایسه کرده و تنها در صورتی ادامه دهید که از اصالت آن مطمئن هستید.
• روی لینک‌های مشکوک کلیک نکنید: اگر پیشنهادی غیرمنتظره از یک فرستنده ناشناس دریافت کردید، چه در ایمیل و چه پیام خصوصی، هیچ‌وقت روی لینک آن کلیک نکنید. شرکت‌های معتبر در حوزه کریپتو هیچ‌وقت کلید خصوصی یا اطلاعات حساس شما را نمی‌خواهند.
• آدرس گیرنده را بررسی کنید: قبل از ارسال هرگونه دارایی، آدرسی که در حال ارسال به آن هستید را بررسی کنید. سایت‌های فیشینگ می‌توانند آدرس واقعی را با آدرس تقلبی جایگزین کنند، به‌گونه‌ای که کاراکترهای اول و آخر آن مشابه کیف پول شما به نظر برسد. این ترفند بسیار رایج است.

• ایجاد حس فوریت و فشار روانی: کلاهبردارها اغلب سعی می‌کنند با ایجاد حس اضطرار شما را وادار به تصمیم‌گیری سریع کنند، مثلا با پیام‌هایی مثل: حساب شما مسدود خواهد شد! یا  آخرین فرصت برای دریافت ایردراپ! این روش باعث می‌شود بدون فکر و بررسی، تصمیم عجولانه بگیرید و وارد دام آن‌ها شوید.
• درخواست اطلاعات حساس: سرویس‌های معتبر هیچ‌گاه از شما کلید خصوصی، رمز عبور یا عبارت بازیابی (Seed Phrase) نمی‌خواهند. اگر جایی چنین درخواستی از شما شد، قطعا با یک کلاهبرداری مواجه هستید.
• همیشه نام کاربری رسمی پروژه‌ها را در X بررسی کنید: یکی از ترفندهای رایج فیشینگ، ساختن حساب جعلی در X است که در بخش کامنت‌های یک رشته توییت رسمی ظاهر می‌شود و لینک فیشینگ یا ایردراپ تقلبی را در ادامه قرار می‌دهد.

کلاهبردارها سعی می‌کنند نام کاربری‌ها را بسیار شبیه به حساب رسمی بسازند؛ مثلا برای جعل حساب رسمی SuiNetwork از این نمونه‌ها استفاده می‌کنند: @SuiNethwork، @SiuNetwork، @SuiNetvork در حالی که حساب اصلی، @SuiNetwork است.

4. پروژه‌های کلاهبرداری (Rug Pull) و توکن‌های تله‌ای (Honeypot)

فرض کنید با پروژه‌ای مثل “PUPKINO” مواجه می‌شوید که ادعا دارد با یک بلاک‌چین انقلابی همه مشکلات دنیای کریپتو را حل می‌کند و از طریق عرضه اولیه در DEX (IDO) سرمایه جذب می‌کند. شما ۱۰۰۰ دلار سرمایه‌گذاری می‌کنید، اما بعد از پیش‌فروش، حساب X و دیسکورد پروژه ناپدید می‌شود. این یک نمونه کلاسیک از کلاهبرداری Rug Pull است: تیم پروژه با پول سرمایه‌گذاران فرار می‌کند و شما می‌مانید و توکن‌های بی‌ارزش.

نشانه‌های Rug Pull و راه‌های جلوگیری

• تیم ناشناس: اگر توسعه‌دهندگان پروژه اطلاعات واقعی یا لینکدین خود را منتشر نکرده‌اند، اولین زنگ خطر است.
• وعده‌های غیرواقعی: وعده سود زیاد در مدت کوتاه معمولا نشانه کلاهبرداری است. در کریپتو، هیچ بازدهی تضمین‌شده‌ای وجود ندارد؛ مخصوصا در پروژه‌های تازه.
• حساب‌ها و کانال‌های تازه ساخته‌شده: تاریخ ساخت حساب‌های پروژه را بررسی کنید. اکانت‌هایی که به‌تازگی ساخته شده‌اند و دنبال‌کننده یا اطلاعات کمی دارند، مشکوک‌اند.
• عدم سرمایه‌گذاری توسط صندوق‌ها: صندوق‌های معتبر قبل از سرمایه‌گذاری، پروژه‌ها را بررسی می‌کنند. اگر هیچ صندوق مطرحی در پروژه سرمایه‌گذاری نکرده، بهتر است شما هم نکنید.
• نبود کد یا مستندات: پروژه‌های معتبر کد خود را روی GitHub منتشر می‌کنند و مستنداتی مثل وایت‌پیپر دارند. اگر این موارد موجود نیست یا مبهم‌اند، نشانه خطر است.

Honeypot (تله توکن)

در این مدل کلاهبرداری، برخلاف فیشینگ یا Rug Pull که پول شما را مستقیما می‌دزدند، توکن جعلی به شکلی طراحی شده که در ابتدا عادی به‌نظر می‌رسد، اما وقتی می‌خواهید آن را بفروشید، متوجه می‌شوید امکانش وجود ندارد.

در این روش، یک قرارداد هوشمند یا توکن ساختگی با وعده سود سریع ساخته می‌شود. کاربران می‌خرند، اما هنگام فروش، با ارورهایی مواجه می‌شوند که عمدی هستند: مثلا هزینه گس کافی نیست یا باگ فنی وجود دارد، در حالی‌که کد قرارداد طوری نوشته شده که فقط خرید مجاز است، نه فروش. پس از جذب سرمایه کافی، کلاهبرداران نقدینگی را برداشت می‌کنند.

چطور Honeypot را شناسایی کنیم؟

• بررسی قرارداد هوشمند: همیشه کد قرارداد را در سایت‌هایی مثل Etherscan یا BscScan بررسی کنید. اگر کد فروش را محدود کرده، نشانه خطر است.
• احتیاط در توکن‌های کم‌نقدینگی: اگر توکن فقط در یکی دو صرافی ناشناخته لیست شده یا نقدینگی کمی دارد، مشکوک است. از ابزارهایی مثل DexScreener یا DexTools استفاده کنید.
• تحقیق درباره پروژه: Honeypotها معمولا خود را به‌عنوان پروژه‌های جدید جا می‌زنند. تیم پروژه، اعتبار آن و کد منبع باید قابل بررسی باشند.
• استفاده از ابزارهای شناسایی Honeypot: مثل سایت Honeypot.is که بررسی می‌کند آیا یک قرارداد جعلی است یا نه.

5. تشخیص کلاهبرداری‌های تلگرامی

احتمالا برایتان پیام‌هایی با مضمون همکاری با صرافی رسمی، درآمد غیرفعال، شغل در شرکت ترید، یا دعوت به تست‌نت فرستاده شده است. این پیام‌ها معمولا از طرف اکانت‌هایی هستند که عکس پروفایل شیک دارند و به سرعت به شما دایرکت می‌دهند.

در بسیاری از موارد، کلاهبردارها ابتدا از شما مثلا ۱۰۰ دلار می‌گیرند و بعد ۲۰۰ دلار به شما پس می‌دهند تا اعتمادتان را جلب کنند. شما هم ۱۰۰۰ دلار می‌فرستید و آن‌ها برای همیشه ناپدید می‌شوند.

علاوه بر این، در تلگرام فایل‌های PDF یا ZIP جعلی می‌فرستند که به‌صورت خودکار در دستگاه شما دانلود می‌شود (این ویژگی به‌صورت پیش‌فرض فعال است). این فایل‌ها ممکن است ظاهرا یک کتاب یا دوره باشند، اما در واقع حاوی بد افزار هستند که می‌تواند اطلاعات و کلید خصوصی شما را سرقت کند.

همچنین، برخی ربات‌های خرید و فروش سریع توکن (مثلا برای میم‌کوین‌ها) از شما می‌خواهند کلید خصوصی‌تان را وارد کنید. این بسیار خطرناک است و می‌تواند منجر به سرقت کل دارایی‌تان شود.

چطور از خودتان محافظت کنید؟

• به پیام افراد ناشناس پاسخ ندهید و بلافاصله آن‌ها را بلاک و به‌عنوان اسپم گزارش کنید.
• هیچ‌وقت وارد طرح‌هایی با وعده درآمد آسان نشوید، چنین چیزی وجود ندارد.
• دانلود خودکار فایل‌ها را در تلگرام غیرفعال کنید.
• هرگز کلید خصوصی خود را در ربات‌های تلگرام وارد نکنید.
• کلیدها و Seed Phrase را روی کاغذ و در جای امن نگه‌داری کنید، نه دیجیتالی.

۶. خطرات OneDrive و سایر فضاهای ذخیره‌سازی ابری

بسیاری از کاربران بدون توجه به اهمیت امنیت، عبارت بازیابی (Seed Phrase) خود را در جاهایی مثل فایل متنی، اکسل، Notion یا سرویس‌های ابری مثل OneDrive، Google Drive یا iCloud ذخیره می‌کنند.

چطور Seed Phrase شما از طریق فضای ابری به سرقت می‌رود؟

هک حساب ابری: اگر حساب شما هک شود، فایل‌های شما در دسترس هکرها خواهد بود. حتی اگر فایل رمز داشته باشد، اگر پسورد ضعیف باشد، قابل شکستن است.

بدافزارها و کی‌لاگرها: بدافزارها یا حملات فیشینگ می‌توانند اطلاعات ورود به حساب‌های ابری را سرقت کنند. اگر روی دستگاه شما بدافزار باشد، حتی رمز ورودتان هم لو می‌رود.

همگام‌سازی خودکار: بسیاری از کاربران نمی‌دانند که فایل‌هایشان به‌طور خودکار در فضای ابری آپلود می‌شود. مثلا اگر فایلی حاوی Seed Phrase در کامپیوتر بسازید، ممکن است به‌صورت خودکار در OneDrive آپلود شود، که این موضوع امنیت را به‌شدت به خطر می‌اندازد.

چطور بررسی کنیم که آیا کسی به OneDrive ما دسترسی دارد؟

• لیست فایل‌های ذخیره‌شده در فضای ابری را بررسی کنید.
• ورودهای موفق به حساب‌تان را در بخش Activity بررسی کنید.

چطور از Seed Phrase خود محافظت کنیم؟

• هرگز عبارت بازیابی یا کلید خصوصی را در فضای ابری ذخیره نکنید. این یک قانون اولیه امنیتی است.
• از کیف پول سخت‌افزاری استفاده کنید، مثل Ledger یا Trezor، که کلیدها را به‌هیچ‌وجه آنلاین ذخیره نمی‌کنند.
• رمزهای قوی و متفاوت برای هر حساب ایجاد کنید. از Password Managerها برای تولید و ذخیره پسورد استفاده کنید.
• همگام‌سازی خودکار فایل‌ها را غیرفعال کنید. مطمئن شوید هیچ فایل مهمی بدون اطلاع شما در فضای ابری آپلود نمی‌شود.
• فایل‌های مهم را رمزنگاری کنید. اگر مجبورید چیزی را آنلاین ذخیره کنید، حتما از الگوریتم رمزنگاری قوی استفاده کنید؛البته اگر رمز ضعیف باشد، رمزنگاری هم بی‌فایده است.

جمع‌بندی

در دنیای کریپتو، خود شما مسئول دارایی‌تان هستید. با رعایت همین چند نکته ساده و افزایش آگاهی، می‌توانید از سرمایه‌تان محافظت کنید و از بسیاری از اشتباهات رایج در امنیت ارزهای دیجیتال جلوگیری کنید.

Cryptorank.io