آیا کیف پول صرافی امن است؟

این مقاله با بیان یک داستان تلخ از ام تی کوگس  که در آن صدها هزار بیتکوین به تاراج رفت به اهمیت داشتن کیف پول سخت افراری یا همان دخیره سازی سرد می پردازد و اینکه نمی شود دخیره های بالا از بیتکوینرا در کیف پول صرافی قرار دهیم.

بیت کوین به امنیت خود افتخار می کند و تا حد زیادی درست است. میلیون‌ها سال طول می‌کشد تا یک ابر رایانه بتواند توابع هش یک‌طرفه‌ای را که بیت‌کوین برای استخراج و تولید آدرس استفاده می‌کند، شکست دهد، که تقلب الگوریتم استخراج یا حدس زدن کلید خصوصی شما را برای کسی تقریبا غیرممکن می‌کند. و به دلیل سیستم اثبات کار، جعل تراکنش‌های گذشته خارج از حمله 51% تقریباً غیرممکن است.

اما جایی که وعده‌های امنیتی بیت‌کوین کوتاهی می‌کند این است که به اندازه هر فناوری دیگری در برابر خطاهای انسانی آسیب‌پذیر است. معروف‌ترین نمونه از این کمبود، داستان سقوط ام تی کوگس است که زمانی صرافی برتر بیت‌کوین در جهان بود.

ام تی کوگس (MT Gox )  که در سال 2010 در توکیو تأسیس شد، به مردم در سراسر جهان اجازه داد ارزهای صادر شده توسط دولت یا فیات مانند دلار و ین را با بیت کوین و بالعکس مبادله کنند. ام تی کوگس در واقع زندگی خود را در سال 2009 به عنوان صرافی برای کارت های معاملاتی از بازی Magic: The Gathering آغاز کرد.

ام تی کوگس به سرعت رشد کرد و تا سال 2013، بیش از 70 درصد تجارت بیت کوین جهان از طریق این پلتفرم جریان داشت.

ام تی کوگس با وزارت امنیت داخلی ایالات متحده چندین بار از هک شدن جان سالم بدر برد، اما به طور کلی، معاملات این صرافی تا اوایل سال 2014 رونق داشت.

یک روز در فوریه 2014، ام تی کوگس به طور ناگهانی تمام برداشت‌های پول از صرافی را متوقف کرد، و معامله‌گران را از نقد کردن هر بیت کوین در کیف پول صرافی ام تی کوگس خود و خروج ارزهای فیات جلوگیری کرد.

چند هفته بعد ام تی کوگس تمام معاملات در سایت را تعطیل کرد. تنها چند روز پس از آن، ام تی کوگس اعلام ورشکستگی کرد. هشتصد و پنجاه هزار بیت کوین،  سپس به ارزش 450 میلیون دلار و در زمان نگارش مقاله به ارزش بیش از 8 میلیارد دلار، بدون هیچ اثری ناپدید شدند.

ام تی کوگس در کمتر از یک ماه از قله‌ای مرتفع به دهانه‌ای در حال دود تبدیل شده بود. آن را “برادران بلاک چین لیمن” نامیدند. چه اتفاقی افتاد؟

دزدی از کیف پول صرافی

به نظر می رسد که مشکلات ام تی کوگس، بدون اطلاع بیشتر کاربران آن، از اوایل سال 2011 آغاز شده بود. ام تی کوگس موجودی حساب کاربران را در کیف پول های خاصی ذخیره می کرد – کیف پول فقط اصطلاحی برای یک کلید خصوصی و جفت آدرس است.

در سال 2011، یک مهاجم – هکر یا کارمند سرکش – فایلی به نام “wallet.dat” را از سرورهای ام تی کوگس کپی کرد. این فایل حاوی کلیدهای خصوصی کیف پول های صرافی ام تی کوگس بود.

این مقاله هم می تواند برای شما مفید باشد :

5مشکل بیتکوین

طی چند سال بعد، مهاجم که اکنون به کلیدهای خصوصی ام تی کوگس مسلح شده بود، به آرامی کیف پول بیت کوین خود را تخلیه کرد. ام تی کوگس کاملاً از دزدی بی اطلاع بود. در واقع، فکر می‌کرد که مهاجمی که از کیف پول‌های ام تی کوگس پول می‌کشد، فقط مشتری است که پول را به حساب آنها واریز می‌کند.

دقیقاً مشخص نیست که دزد چند سکه از ام تی کوگس به سرقت برده است. دویست هزار سکه از 850000 سکه بعداً پیدا شد، اما حدود 600000 سکه هنوز کشف نشده است. برخی بر این باورند که کوه گوکس هرگز آنقدر سکه برای شروع در اختیار نداشت و کتاب‌ها را پخته تا ام تی گوکس در وضعیت مالی بهتری نسبت به آنچه بود به نظر برسد.

متخصصان امنیتی در نهایت یک مرد روسی به نام الکساندر وینیک را به عنوان صاحب کیف هایی که وجوه دزدیده شده به آن منتقل شده است، شناسایی کردند. Vinnik صاحب یک صرافی رقیب بیت کوین، BTC-e بود؛  حدود 300000 از آن سکه های سرقت شده در BTC-e فروخته شده بود.

هنگامی که خبر سرقت عظیم به مطبوعات رسید، دنیای بیت کوین دچار وحشت شد و قیمت بیت کوین 20 درصد سقوط کرد. برخی حتی می ترسیدند که “پایان بیت کوین” باشد.

درس های سرقت از کیف پول صرافی ام تی گوکس

این سرقت به وضوح پایان بیت کوین نبود، اما نشان داد که چگونه بیت کوین – با وجود تمام پیچیدگی های تکنولوژیکی اش – در برابر اقدامات امنیتی نامرغوب محافظت نمی شود. یک کیف پول بیت کوین فقط به اندازه کلید خصوصی آن امن است، و اگر شخصی آن کلید خصوصی را در دست بگیرد، پول متعلق به اوست – و اگر آن را بدزدد، عملاً غیرقابل برگشت است.

ام تی کوگس در واقع به خاطر اقدامات امنیتی نامرغوب و به طور کلی عملیات معاملاتی غیرحرفه ای بدنام بود. قبل از اینکه کد را برای مشتریان راه اندازی کند، کد جدیدی را آزمایش نکرد، به این معنی که مشتریان به راحتی می توانند با اشکالاتی مواجه شوند که حساب های آنها را خراب می کند.

هیچ نسخه پشتیبان از کد منبع خود نگهداری نمی کرد، به این معنی که هیچ راهی برای بازگرداندن یک تغییر اشتباه کد وجود ندارد. فقط به یک نفر اجازه می داد تغییرات کد را تایید کند و آن شخص، مدیرعامل ام تی کوگس، Mark Karpeles بود.

فایده ای نداشت که کارپلز به جزئیات کسب و کار توجه چندانی نکرد و ترجیح داد وقت خود – و میلیون ها دلار – را صرف یک پروژه  به نام کافه بیت کوین کند، فروشگاهی در توکیو که می توانید با آن نوشیدنی بخرید. بیت کوین. کارپلس در تصویب کد سهل انگاری کرد. حتی رفع‌های امنیتی حیاتی هفته‌ها طول کشید تا تأیید شوند و اجرا شوند.

اما لغزش غیرقابل توجیه ام تی کوگس کلیدهای خصوصی را بدون رمزگذاری روی یک سرور مشترک ذخیره می کرد. کلیدهای خصوصی معمولاً قبل از ذخیره شدن رمزگذاری می شوند. قبل از اینکه بتوانید به کلید خصوصی دسترسی پیدا کنید، باید یک کلید رمزگشایی ویژه وارد کنید، در غیر این صورت کلید خصوصی فقط شبیه به ابهام خواهد بود.

اگر ام تی کوگس فایل wallet.dat را رمزگذاری کرده بود، مهاجم نمی‌توانست کلیدهای خصوصی را استخراج کند. اما با رمزگذاری نشده نگه داشتن فایل – یا متن واضح – ام تی گوکس خود را برای این حمله آماده کرد.

همه اینها نشان می دهد که موسسات رمزنگاری مانند ام تی کوگس لزوما از موسسات معمولی امن تر نیستند. هرکسی که رویه‌های امنیتی ضعیفی داشته باشد می‌تواند هک شود، بلاک چین یا بدون بلاک چین

راه حل : ذخیره سازی سرد، چرا ذخیره سازی سرد مهم است؟

گفتنی است، جامعه بیت کوین تکنیک هایی را برای جلوگیری از تکرار چنین هک هایی کشف کرده است. برجسته‌ترین چنین تکنیکی، ذخیره‌سازی سرد نامیده می‌شود که کلیدهای خصوصی را دور از رایانه متصل به اینترنت ذخیره می‌کند،  و بنابراین اطمینان می‌دهد که هیچ دزد سایبری نمی‌تواند آن را بدزدد.

ذخیره سازی سرد یکی از دو شکل رایج را دارد. اولی یک کیف پول کاغذی است که در آن کلیدهای خصوصی و آدرس ها روی یک تکه کاغذ چاپ شده و در مکانی امن نگهداری می شود.

تفاوت زیادی با نگه داشتن رمز عبور بانکی شما روی یک یادداشت چسبناک در دفتر مطالعه شما ندارد: استفاده از آن ناخوشایند است و به راحتی جابه‌جا می‌شود، اما تضمین می‌کند که هیچ هکری در اینترنت نمی‌تواند به آن دسترسی پیدا کند.

یک نمونه کیف پول کاغذی کد سمت چپ آدرس است و کد سمت راست یک کلید خصوصی است. کدهای QR قابل اسکن از دردسر تایپ کل کلید خصوصی و آدرس شما جلوگیری می کند. منبع:

شکل دیگر ذخیره سازی سرد، یک USB است که کلید خصوصی شما را ذخیره می کند که به آن کیف پول سخت افزاری می گویند. ایمن است زیرا کلید خصوصی شما روی حافظه USB زندگی می‌کند و هرگز آن را ترک نمی‌کند. تراکنش‌ها روی کلید خصوصی امضا می‌شوند، بنابراین می‌توانید بدون اینکه رایانه (متصل به اینترنت) کلید خصوصی شما را ببیند، پول ارسال کنید.

علاوه بر این، برخی از کیف پول‌های سخت‌افزاری شما را وادار می‌کنند یک دکمه فیزیکی را برای تأیید ارسال پول فشار دهید، بنابراین مهاجم نمی‌تواند پول شما را بگیرد مگر اینکه بتواند کیف پول سخت‌افزاری شما را دریافت کند.

استراتژی داشتن یک آیتم فیزیکی برای تکمیل ورود دیجیتال در فناوری بسیار رایج شده است. اگر تا به حال از احراز هویت دو مرحله ای مانند تأیید ورود با تلفن خود استفاده کرده اید، از این روش استفاده کرده اید.

تصویر نزدیک از دستی که تلفن همراه را در دست دارد توضیحات به طور خودکار ایجاد می شود

یک کیف پول سخت افزاری کلیدهای خصوصی شما روی این دستگاه کوچک باقی می مانند که از طریق درگاه USB به رایانه شما وصل می شود. برای تایید تراکنش باید از دکمه های فیزیکی استفاده کنید. منبع: ویکی مدیا

نظریه تا حدودی متناقض پشت ذخیره سازی سرد این است که در واقع ذخیره کردن چیزهای حساس به صورت آفلاین ایمن تر است، زیرا هر چیزی که در یک رایانه متصل به اینترنت ذخیره شده است را می توان توسط یک هکر با انگیزه پیدا کرد.

ذخیره سازی سرد مطمئناً به ام تی گوکس کمک می کرد، زیرا هکر مجبور بود به طور فیزیکی به مقر آن نفوذ کند (یا از مدیر عامل شرکت دزدی کند) تا به جای اینکه بی سر و صدا پول را از یک فاصله امن دور کند، پول را بدزدد.

اگرچه استفاده از ذخیره سازی سرد هنوز کمی ناخوشایند است. به همین دلیل، کارشناسان می‌گویند که بهترین رویکرد این است که پس‌اندازهای طولانی‌مدت را در ذخیره سازی سرد نگه دارید و پول را برای هزینه‌های روزانه در یک رایانه معمولی متصل به اینترنت، که به عنوان ذخیره‌سازی گرم شناخته می‌شود، نگهداری کنید​.