تجربه واقعی و تلخ یک سرمایه گذار رمز ارز که قربانی هک رمزارزی شد و راهکار جلوگیری از تکرار آن

حوزه کریپتو پر از ماجراهای عجیب‌ و باورنکردنی است. چندی پیش، کاربری ایرانی در یکی از شبکه‌های اجتماعی، ماجرای شوکه‌کننده‌ و غم‌انگیزی را به اشتراک گذاشت:

«تقریباً دو ساعت پیش فهمیدم کیف پول ارز دیجیتالم هک شده. نتیجه ۶ سال تلاش و سرمایه‌ام به هدر رفت و فقط ۲۷ دلار برایم مانده است. دلیل هک‌شدن، نصب نرم‌افزار آلوده روی کامپیوتر بود...»

این فقط یک نمونه از سرقت دارایی‌های دیجیتال است. هکرها همواره در کمین‌اند تا از کوچک‌ترین غفلت سرمایه‌گذاران ارز دیجیتال سوءاستفاده کنند. در این مطلب، ماجرای این کاربر را مرور می‌کنیم و راه‌های جلوگیری از سرقت رمز ارز مثل خرید ولت سخت‌ افزاری یا عدم نصب برنامه‌های مشکوک را معرفی خواهیم کرد.

تجربه تلخ در سرمایه‌گذاری رمز ارز

این سرمایه‌گذار علی‌رغم تجربه بالای حضور در سرمایه‌گذاری ارز دیجیتال، از جایی ضربه خورده که حتی فکرش را هم نمی‌کرده است. او یک هفته قبل‌از هک‌شدن، نرم‌افزار KMS Auto را نصب کرده بود تا لایسنس کرک‌شده برنامه ورد در ویندوز را فعال کند.

تا قبل‌از سرقت، همه‌چیز عادی به‌ نظر می‌رسیده است. مال‌باخته با نرم‌افزار دانلودشده، برنامه Word را فعال کرد؛‌ اما حقیقت این است که نفوذ هکرها از همان لحظه دانلود و نصب نرم‌افزار رخ داده بود. فایل دانلودشده KMS Auto احتمالاً یا دست‌کاری شده بود یا همراهش، یک بدافزار در سیستم نصب شده بود.

هکرها به‌واسطه این رخنه امنیتی به کامپیوتر کاربر نفوذ کردند و با سوءاستفاده از آسیب‌پذیری ولت نرم‌افزاری متامسک، حاصل ۶ سال تلاش و سرمایه‌گذاری او را به سرقت بردند. تنها کمی احتیاط یا یک اقدام پیش‌گیرانه مثل خرید کیف پول لجر یا هر ولت معتبر دیگر از این اتفاق جلوگیری می‌کرد.

در انتها، برای این سرمایه‌گذار، چیزی جز ۲۷ دلار از کل سرمایه اصلی و دردهای روحی ناشی از سرقت باقی نماند. سرگذشت این سرمایه‌گذار، غم‌انگیز اما عبرت‌آموز است.

روش‌های جلوگیری از تهدیدهای این‌ چنینی

اتفاق رخ‌داده برای این سرمایه‌گذار، یکی از رایج‌ترین تهدیدهاست. هکرها به روش‌های مختلف به گوشی یا کامپیوتر نفوذ می‌کنند و با کسب دسترسی به داده‌های حساس، به‌راحتی دارایی‌ها را به آدرس‌های ناشناس و غیرقابل ردیابی خودشان انتقال می‌دهند. در ادامه، روش‌های رایج برای جلوگیری از این نوع سرقت رمز ارز را مرور می‌کنیم.

۱- انتخاب کیف پول‌های سخت‌افزاری برای نگه‌داری از دارایی دیجیتال

نقشه سرقت از دو قسمت تشکیل شده است: نخست،‌ کسب دسترسی به سیستم کاربر توسط بدافزار و سپس، استفاده از آسیب‌پذیری موجود در افزونه کرومِ متامسک. به نقش کیف پول نرم‌افزاری در این ماجرا دقت کنید. تهیه یک ولت سرد؛ برای مثال، خرید کیف پول لجر استکس یا حتی مدل‌های اقتصادی مثل لجر نانو اس پلاس، به‌راحتی جلوی وقوع این اتفاق را می‌گرفت.

انواع مختلف ولت‌های گرم مثل متامسک و تراست ولت، چه در نسخه تحت وب چه افزونه کروم،‌ آسیب‌پذیر هستند. در سمت مقابل، کیف پول‌های سخت‌افزاری از نظر امنیت، چندین رده بالاتر از این نرم‌افزارها عمل می‌کنند. ولت‌های سرد یا به سیستم‌ها (گوشی یا کامپیوتر) اتصالی ندارند یا آن‌که درصورت نیاز به اتصال از لایه‌های امنیتی متعددی بهره می‌برند.

از طرفی، احتمال نصب سهوی یا عمدی هرگونه بدافزار در کیف پول‌های سخت‌افزاری تقریباً صفر است؛ حتی درصورتی‌که نفوذ به یک کیف پول سخت افزاری انجام شود، خوانش اطلاعات حیاتی برای هکرها بسیار دشوار خواهد بود. اطلاعات حیاتی مثل آدرس‌ها و کلید‌های خصوصی کاربر به‌صورت ایزوله محافظت می‌شوند؛ این یعنی نگه‌داری اطلاعات حساس در فضایی امن و رمزنگاری‌شده صورت می‌گیرد.

۲- دقت هنگام نصب برنامه‌ها و نرم‌افزارها

شاید فکر کنید که مشکل اصلی ماجرا، نصب یک نرم‌افزار ناشناخته باشد؛ اما حقیقت این است که حتی معروف‌ترین و مشهورترین برنامه‌ها نیز از آلودگی به بدافزارهای هکرها در امان نیستند. هکرها با آلوده‌کردن نرم‌افزارها یا دست‌کاری فایل‌ها،‌ آن‌ها را به عامل خود برای جاسوسی از اطلاعات کاربر یا کسب دسترسی به سیستم او تبدیل می‌کنند. در گام بعد، برنامه آلوده در سایت‌های مختلف دانلود پخش می‌شود.

یک کاربر ارز دیجیتال باید برای حفاظت از دارایی‌ها،‌ حساسیت شدیدی هنگام نصب برنامه‌های مختلف در گوشی و کامپیوتر داشته باشد. نخست آن‌که تا حد امکان باید از دانلود برنامه‌های کرک‌شده یا نرم‌افزارهای فعال‌کننده لایسنس برنامه‌ها امتناع کرد، چون چنین برنامه‌هایی ریسک آلودگی بالایی دارند.

برای دانلود برنامه‌ها نیز باید سراغ سایت رسمی خود سازنده نرم‌افزار یا اپ استورهای رسمی و امن رفت. سایت‌های امن و معتبر دانلود، ابتدا فایل هر برنامه را با نهایت دقت از نظر سلامت چک می‌کنند، سپس آن را برای دانلود روی سایت قرار می‌دهند.

۳- استفاده از سخت‌افزارهای ایزوله و پاک برای مدیریت دارایی‌ها

آنلاین‌شدن و اتصال به هر شبکه بی‌سیم،‌ درب‌ها را به روی انواع تهدید امنیتی باز می‌کند. گوشی‌ها و کامپیوترهایی که ما به‌صورت روزانه برای کارهای مختلف استفاده می‌کنیم، حتی مواردی که در ظاهر هیچ خطر امنیتی ندارد در معرض آلودگی قرار دارند.

هرگونه سخت‌افزار استفاده‌شده برای مدیریت دارایی‌های دیجیتال یا انتقال رمزارز باید کاملاً ایزوله باشد. استفاده از یک گوشی یا کامپیوتر جداگانه برای اتصال با کیف پول سخت افزاری یا انجام هرگونه عملیات دیگر، جزو بالاترین سطوح امنیتی است.

سرمایه‌گذاران حرفه‌ای، از کامپیوترهای اختصاصی در کنار سیستم‌های شخصی استفاده می‌کنند تا شانس آلوده‌شدن دستگاه‌ها به حداقل برسد. این سخت‌افزارها باید به‌صورت اختصاصی برای مدیریت رمز ارزها یا کیف پول‌های متصل به آن‌ها استفاده شوند.

۴- استفاده از ایمیل‌ها و حساب‌های اختصاصی برای مدیریت ارز دیجیتال

ایمیل ثبت‌نام در صرافی یا کیف پول باید جدا از ایمیل‌های استفاده‌شده برای مصارف عادی و روزانه باشد. ایمیل‌هایی که ما برای امور روزمره مثل ثبت‌نام در سایت‌ها و اپلیکیشن‌های مختلف استفاده می‌کنیم با برنامه‌های مختلفی در تماس هستند. همه این نقاط تماس می‌توانند یک بستر بالقوه برای دسترسی هکرها به سیستم و اکانت‌های حساس باشند.

پس بهتر است برای هرگونه عملیات یا مدیریت سخت‌افزار مربوط به مدیریت دارایی‌های دیجیتال از ایمیل‌های اختصاصی استفاده شود؛ همچنین فعال‌سازی رمز عبور دومرحله‌ای برای این اکانت‌ها یک اقدام امنیتی حیاتی است. کلیک‌نکردن روی لینک‌ها در ایمیل‌های مشکوک نیز اقدامیست که بسیاری به اهمیت آن توجه نمی‌کنند.

۵- محافظت از رمزها و کلیدهای خصوصی

مواردی مثل رمز بازکردن ولت‌ها، پسورد حساب کاربر در صرافی یا کلیدهای خصوصی کیف پول‌های سخت افزاری، حیاتی‌ترین اطلاعات در حوزه ارزهای دیجیتال هستند. هیچ‌کس جز خود سرمایه‌گذار نباید به هیچ‌کدام از این اطلاعات دسترسی داشته باشد.

بهترین راه برای ثبت این اطلاعات، یادداشت آن‌ها روی کاغذ یا محفظه‌های مخصوص عرضه‌شده توسط برندهای سازنده کیف‌پول سخت‌افزاری است. ذخیره‌سازی این اطلاعات در فضای دیجیتال مثل ثبت در نوت گوشی یا تهیه اسکرین‌شات از آن‌ها اشتباهی رایج است که می‌تواند زمینه‌ساز سرقت دارایی شود.

سرمایه‌گذاران حوزه رمز ارز، تهدیدها را جدی بگیرند

اهمال‌کاری در رعایت تدابیر امنیتی یا عدم سرمایه‌گذاری در بخش امنیت،‌ زمینه‌ساز بروز تهدیدهای مختلف در حوزه رمز ارز هستند. حتی اگر دارایی نه‌چندان زیادی در حوزه ارزهای دیجیتال دارید،‌ کار امروز را به فردا نسپارید و همین حالا برای تقویت رمز‌ها یا خرید ولت سرد اقدام کنید.

سرمایه‌گذاری در تأمین امنیت دارایی‌ها، سود آینده را تضمین می‌کند. خرید نرم‌افزارهای اصل برای درامان‌ماندن از بدافزارها یا از همه مهم‌تر، تهیه کیف پول سخت افزاری شاید نیاز به بودجه اضافه داشته باشد؛ اما در نهایت، ریسک بروز هرگونه تهدید را به حداقل می‌رسانند و از جانب حرفه‌ای‌های حوزه پیشنهاد می‌شوند.