آنچه در این مقاله خواهید خواند
کارشناسان امنیت ارزهای دیجیتال رازهای خود، مانند انتخاب یک صرافی امن و روش پیادهسازی صحیح یک پروتکل دیفای، درباره چگونگی جلوگیری از سرقت رمز ارزها را با شما به اشتراک میگذارند.
کاربران ارزهای دیجیتال با نزدیک شدن به بازار صعودی بعدی باید بسیار با احتیاط و هشیارانه عمل کنند و مواظب صرافیهای غیرقابل اعتماد، پروتکلهای مالی غیرمتمرکز (دیفای) ناامن و روشهای کلاهبرداری همواره در حال تکامل این صنعت باشند.
مطابق دادههای دریافتی از سایت PeckShield، هکرها در ماه ژانویه امسال بیش از 30 حمله انجام دادند و با به جیب زدن بیش از 182.5 میلیون دلار از اموال سرقتی، نرخ درآمد سالانه خود را 771 درصد نسبت به ژانویه 2023 (دی 1401) و 84 درصد نسبت به ماه دسامبر (آذر 1402) افزایش دادند.
ماه فوریه امسال (بهمن 1402) هم ماه بسیار خوبی برای سوءاستفاده کنندگان از باگهای نرمافزاری بود که توانستند با سرقا 380 میلیون دلار، نرخ درآمد خود را نسبت به ماه ژانویه، دوبرابر کنند. 290 میلیون دلار از این مبلغ از اپ دیفای PlayDapp، مبلغ 26 میلیون دلار از اپ فیکسدفلوت (FixedFloat) و 9.7 میلیون دلار از هم از جیب جف زیرلین (Jeff Zirlin)، همبنیانگذار آکسی اینفینیتی (Axie Infinity) به سرقت رفت.
اریک جارداین (Eric Jardine)، محقق ارشد جرایم سایبری شرکت چینالیسیس (Chainalysis)، در مصاحبه خود با کوینتلگراف گفت:
اولین خط دفاعی برای امن نگه داشتن رمز ارزها آموزش است و برای کاربران هشیار بودن همیشه اهمیت دارد.
به گفته اریک جارداین، پروتکلهای ارزهای دیجیتال به دلیل روند توسعه متن باز خود معمولا از درجه شفافیت بسیار بالایی برخوردار هستند. این موضوع برای کاربرانی که میخواهند کدها را بازبینی کنند بسیار عالی است اما در را برای خرابکارهایی که میتوانند «اسکریپتها را برای یافتن نقاط ضعف در همان ابتدای کار و سوءاستفاده از آنها آنالیز کنند» باز نگه میدارد.
جارداین در ادامه افزود:
(باید) قبل از استفاده از پلتفرمها و پروتکلهای دیفای در مورد آنها تحقیق کنید. ویژگیها و استراتژی امنیتی آنها را درک کنید و بروزرسانیهای آن پلتفرم و تاثیرات مثبت آنها (بر این ویژگیها) را زیر نظر داشته باشید.
بررسی صحت آدرس سایتها و لینکهای شبکههای اجتماعی
بنابر تحلیل سایت اسکم اسنیفر (Scam Sniffer)، در سال 2023 بیش از 324 هزار کاربر ارزهای دیجیتال قربانی کلاهبرداری شدند و مبلغی در حدود 295 میلیون دلار را از دست دادند.
این پلتفرم مبارزه با کلاهبرداری به کوین تلگراف گفت که «شبکههای اجتماعی حاوی بیشترین تعداد لینکهای کلاهبرداری هستند» و به این نکته اشاره کرد که لینک سایتهای تقلبی معمولا در تبلیغات این پلتفرمها قرار داده میشوند.
پن تائو (Pan Tao)، محقق پلتفرم امنیتی بوزین (Beosin Security) هشدار داد که تبلیغات حملات فیشینگی که در شبکه اجتماعی ایکس خود را به شکل استیکینگ اتریوم و ایردراپ توکنهای مختلف جا میزنند، «در این اواخر بسیار پردامنه و کارآمد بودهاند».
هکرها در تاریخ 25 فوریه (6 اسفند) با نفوذ به حساب کاربری شبکه ایکس شرکت مایکرواستراتژی (MicroStrategy) با اعلام یک ایردراپ تقلبی و خالی کردن کیف پولها، حداقل 440 هزار دلار به جیب زدند.
طبق گزارشهای رسیده، مهاجمان کاربران را به یک وب سایت تقلبی با آدرسی تقریبا مشابه (microsfrategy.com) هدایت کردند.
به گفته سایت اسکم اسنیفر، کاربران همیشه باید صحت آدرس لینکها را از منابع مختلف بررسی کنند و قبل از امضای هر تراکنش متوجه باشند که قرارداد آن به چه صورتی عمل میکند.
تائو همچنین در مورد ابزار کلاهبرداری موسوم به «سرویس خالی کردن کیف پول» یا Daas، مانند ابزارهای به کار رفته در ایردراپهای تقلبی، هشدار داد و گفت که این ابزارها تبدیل به یک «ابزار کلاهبرداری ساده و مطمئن» شدهاند که مهاجمان معمولا از آنها برای تبلیغ روی پلتفرمهای ایکس و گوگل استفاده میکنند.
انتخاب یک صرافی متمرکز مطمئن
به گفته این تحلیلگر، خیلی از کاربران تازهوارد ارزهای دیجیتال هنوز اولین ارزهای خود را از صرافیهای متمرکزی (CEX) خریداری میکنند که مالکیت و مدیریت آنها بر عهده یک نهاد یا شرکت است.
در همین حال «چندین کلاهبرداری در صرافیهای متمرکز» مشاهده شده است که از میان آنها میتوان به سرقت سرمایههای مشتریان صرافی FTX و اتهام کلاهبرداری صرافی جیپکس (JPEX) از کاربرانش اشاره کرد.
تائو پیشنهاد داد که اولین ملاک انتخاب یک صرافی ارز دیجیتال امن متمرکز، یاید اطمینان از کسب مجوزهای قانونی یا «حداقل اطمینان از انتشار دورهای گزارش اثبات ذخایر ارزهای» توسط آن صرافی باشد.
به گفته او همچنین باید بررسی کرد که صرافی مورد نظر « سابقه بروز مشکل در برداشتهای کاربران یا تعیین کارمزد بالا برای برداشت» نداشته باشد و «از پاسخدهی بهموقع و شفاف مرکز پشتیبانی از مشتریان» آن اطمینان حاصل کرد.
از کلیدهای خصوصی خود محافظت کنید
به گفته اریک جارداین، پروتکلهای دیفای باید مطمئن شوند که تلاشهای امنیتی آنها آسیبپذیریهای داخل و داخل بلاک چین را برطرف کرده است.
جارداین با اشاره به اینکه آسیبپذیریهای درون زنجیرهای، مانند قراردادهای هوشمند، «محرک قسمت اعظم فعالیتهای هکرها در سال 2023 بوده است». البته به گفته او «در نیمه دوم سال 2023 این وضعیت تغییر کرد و این کلیدهای خصوصی به سرقت رفته بودند که سهم بیشتری از هکها را به خود اختصاص دادند».
او در ادامه افزود:
مهمترین درس برای پروتکلهای دیفای این است که مطمئن شوند تلاشهای امنیتی آنها، مخصوصا با افزایش نرخ آسیبپذیریهای برون زنجیرهای، دامنهای وسیعتر از آسیبپذیریهای درون زنجیرهای و قراردادهای هوشمند را پوشش میدهد.
جارداین پیشنهاد داد که پروژهها باید سیستمهایی را ایجاد کنند که بتوانند فعالیتهای درون زنجیرهای را برای یافتن نقاط آسیبپذیر احتمالی زیر نظر بگیرند.
او در ادامه به شرکتهایی اشاره کرد که محصولاتشان در زمان مواجه شدن با تهدیدهای سایبری هشدار صادر کرده و نسبت به آنها واکنش نشان میدهند و میتوانند در زمینه ادغامهای محصولات خارج از سازمان (با این پروتکلها) و «برقراری ارتباط با مشتریانی که ممکن است آسیب ببینند»، موثر باشند.
اریک جارداین در پایان گفت که شرکت چینالیسیس (Chainalysis) اخیرا شاهد بهکارگیری روشهای امنیتی بهتری در زمینه پروتکلهای دیفای بوده است و خاطر نشان کرد که زیانهای ناشی از هک سالانه این پروتکلها، نسبت به 1.1 میلیارد دلار سال 2023، تقریبا 64 درصد کاهش یافته است.
تهیه شده در بیت ۲۴