هشدار جدی و امنیتی؛ حتی کیف پول سختافزاری هم ۱۰۰٪ امن نیست و با یک اشتباه خالی میشود!
فائزه سوری
کیفپولهای سختافزاری (hardware wallets)، آفلاین کار میکنند و جلوی بسیاری از کلاهبرداریها که در فضای آنلاین رخ میدهند را میگیرند؛ اما متأسفانه، اگر حواستان به نکات مهم امنیتی نباشد، همه داراییهایتان با یک اشتباه ساده از بین میروند. امضای بدون بررسی تراکنشها، خرید کیف پول سختافزاری تقلبی و بیتوجهی به محل نگهداری Seed Phrase فقط چند نمونه از اشتباهات رایج هستند. خبر خوب اینکه با رعایت نکات امنیتی و مهم و خرید کیف پول سختافزاری از مراکز معتبر، این اتفاقات تلخ رخ نمیدهند. در این مطلب از مجله ایرانیکارت به این موضوع میپردازیم که چرا کیف پول سختافزاری 100% امن نیست و چه باید کرد!
کیف پول سختافزاری در برابر چه چیزهایی امن است؟
کیف پول سختافزاری با جدا نگهداشتن کلید خصوصی از اینترنت، یک لایه قدرتمند از امنیت فنی را فراهم میکند؛ همین موضوع، بسیاری از حملات رایج را خنثی میسازد، اما امنیت داراییها همچنان به رفتار خودتان بستگی دارد.
بهطورکلی، کیف پول سختافزاری در برابر موارد زیر امن است:
- در برابر هک آنلاین؛ زیرا کلید خصوصی هرگز به اینترنت متصل نمیشود و حتی در صورت آلودهبودن سیستم، امکان سرقت مستقیم وجود ندارد.
- در برابر بدافزارهای سیستم؛ زیرا امضای تراکنشها داخل خود دستگاه انجام میشود و بدافزارها به کلید خصوصی دسترسی ندارند.
- در برابر صرافیهای ناامن یا نامعتبر؛ دارایی شما روی کیف پول شخصی نگهداری میشود و ریسک ورشکستگی یا بلوکهشدن صرافی وجود ندارد.
- در برابر دسترسی فیزیکی بدون رمز؛ اکثر دستگاهها با PIN و محدودیت دفعات ورود محافظت میشوند.
- در برابر حملات فیشینگ ساده؛ البته، تا زمانیکه کاربر Seed Phrase را وارد سایتها و اپها نکند.
در مجموع به خاطر داشته باشید که ولت سختافزاری نفوذناپذیر است، اما امنیت دارایی شما در نهایت به هوشیاری خودتان گره خورده است؛ بزرگترین رخنه امنیتی، اشتباهات انسانی است.
اشتباهات رایج امنیتی در کیف پولهای سختافزاری
بسیاری از ما تصور میکنیم، همینکه یک کیف پول سختافزاری خریدهایم، امنیت داراییهایمان تضمین شده است؛ درحالیکه بسیاری از سرقتها بهخاطر تصمیمها و رفتارهای نادرست خودمان رخ میدهند. در ادامه، خطرناکترین اشتباهات امنیتی را که حتی امنترین کیف پول را هم بیدفاع میکنند، بررسی کردهایم:
اشتباه اول؛ افشای Seed Phrase (کُشندهترین اشتباه ممکن)
عبارت بازیابی یا همان Seed Phrase، کلید اصلی دسترسی به تمام داراییهای شما است؛ بنابراین، هر کسی که به آن دسترسی پیدا کند، بدون نیاز به دستگاه، کیف پول را بازیابی و داراییها را منتقل میکند. افشا یا لو رفتن این عبارت، به این معناست که شما کل سرمایهتان را دودَستی به مهاجم تقدیم کردهاید؛ بنابراین، هیچ راهی برای لغو یا بازگرداندن آن وجود ندارد.
ازجمله سناریوهای رایجی که باعث افشا یا لو رفتن عبارت بازیابی میشوند، عبارتاند از:
- عکس گرفتن از عبارت بازیابی که معمولاً بهطور ناخواسته در گالری یا بکآپ ابری ذخیره میشود.
- ارسال Seed Phrase برای پشتیبانی جعلی که خود را بهجای شرکت سازنده معرفی میکند.
- نگهداری در فضای ابری مانند گوگل درایو یا آیکلاد که محبوبترین ترفند هکرها است.
- ذخیره Seed Phrase در موبایل که ممکن است، هک، گم یا آلوده به بدافزار شود.
نتیجه این اشتباه، تخلیه کامل دارایی بدون امکان بازگشت است و حتی شرکت سازنده کیف پول هم نمیتواند، کمکی کند.
اشتباه دوم؛ خرید کیف پول سختافزاری تقلبی یا دستکاریشده
یکی از اشتباهات بسیار خطرناک، خرید کیف پول سختافزاری از فروشنده نامعتبر یا فروشندگان محصولات دستدوم است. در این حالت، همیشه این احتمال وجود دارد که دستگاه از قبل دستکاری شده باشد؛ حتی این احتمال وجود دارد که Seed Phrase آن قبلاً تولید و ذخیره شده باشد و مهاجم، فقط منتظر واریز داراییهایتان بماند. استفاده از کیف پولی که امنیت کافی ندارد، تمام مزایای امنیتی کیف پول سختافزاری را بیاثر میکند؛ در این شرایط، شما عملاً با یک تله امنیتی روبهرو هستید.
اشتباه سوم؛ امضای کورکورانه تراکنشها
امضای کورکورانه (Blind Signing)، به حالتی گفته میشود که کسی بدون بررسی دقیق جزئیات تراکنش، آن را روی کیف پول سختافزاریاش تأیید میکند. در این شرایط، دستگاه فقط امضا را انجام میدهد؛ آن هم بدون اینکه کاربر بداند، دقیقاً چه مجوزی صادر کرده است.
خوشبختانه، بعضی از کیف پولها هنگام این نوع تراکنش هشدار میدهند؛ زیرا ممکن است که قرارداد هوشمند، دسترسی کامل به داراییها را درخواست کند. این دسترسی بعداً برای تخلیه کیف پول استفاده میشود.
ازجمله دسترسیهایی که باعث از بین رفتن داراییها میشوند:
- تعامل با DAppهای ناشناس؛ این نوع برنامهها گاهی قراردادهای مخربی دارند که دسترسی دائمی به توکنها را میگیرند و بعداً از آنها سوءاستفاده میکنند.
- یک کلیک اشتباه = تخلیه کل دارایی شما؛ ازآنجاییکه امضای نادرست، اجازه انتقال همه داراییها را بدون تأیید دوباره صادر میکند، یک کلیک برابر با آخرین کلیک است.
در این شرایط خاص، کاربر خودش مجوز سرقت از داراییهایش را امضا کرده است و بلاکچین هم آن را کاملاً معتبر میداند.
اشتباه آخر؛ نگهداری نادرست Seed Phrase
حتی اگر Seed Phrase افشا نشود یا لو نرود، نگهداری فیزیکی نادرست آن، به همان اندازه خطرناک است. بسیاری از کاربران این عبارت را روی کاغذهای ساده یا در مکانهای ناامن نگه میدارند؛ درصورتیکه چنین کاری، بدترین اشتباه ممکن است.
موارد زیر، چند مورد از نگهداری فیزیکی اشتباه از Seed Phrase هستند:
- استفاده از کاغذ ساده که در برابر رطوبت، پارگی و فرسودگی مقاوم نیست.
- یادداشت کردن عبارت بازیابی در چت یا گفتوگو با دوستان یا افرادی که به آن دسترسی دارند.
- قرار دادن Seed Phrase در مکانهای عمومی مثل محیط خانه که دیگران بهراحتی به آن دسترسی دارند.
بهتر است که از گاوصندوق یا ابزارهای فلزی مثل محافظ فولادی Seed Phrase استفاده کنید؛ این ابزارها در برابر آتش و آب مقاومتر هستند و ریسک نابودی Seed Phrase را به حداقل میرسانند.
نمونههایی از کلاهبرداریهای مرتبط با کیف پولهای سختافزاری
در دنیای ارزهای دیجیتال، حتی سختترین ابزارهای امنیتی هم از دست روشهای مهندسی اجتماعی و حملات فریبکارانه در امان نیستند. یکی از نمونههای واقعی در سالهای اخیر، ارسال کیف پول سختافزاری تقلبی برای کاربران Ledger بوده است. در این کلاهبرداری، مهاجمان بستههایی با ظاهر بسیار مشابه محصول اصلی Ledger برای قربانیان ارسال میکردند؛ اما متأسفانه، این کیفپولها، درواقع دستگاههای جعلی بودند. داخل این دستگاهها فلشدرایوی نصب شده بود؛ در صورت اتصال کیف پول به کامپیوتر، از کاربر خواسته میشد که برنامه جعلی را نصب و سپس Seed Phrase را وارد کند. در ادامه، سرقت کامل داراییها بهراحتی انجام میشد. این نوع حمله نشان میدهد که حتی ظاهر فیزیکی محصول هم تضمینکننده امنیت آن نیست.
نمونه دوم، حملات فیشینگ پیچیده علیه کاربران کیف پول Trezor است که در ماههای اخیر گزارش شدهاند. مهاجمان با جعل ایمیلها و ارسال لینکهایی که بهنظر میرسد از پشتیبانی رسمی Trezor ارسال شدهاند، کاربران را به سایتهای جعلی هدایت میکردند؛ در این سناریو، تلاش بر این بود که عبارت بازیابی کاربران از آنها دریافت شود. پس از واردکردن این عبارت در سایتهای تقلبی، مهاجمان بلافاصله به کیف پول دسترسی پیدا میکردند. متاسفانه، این نوع کلاهبرداریها موفقیت زیادی داشتهاند!
آیا این یعنی کیف پول سختافزاری امن نیست؟
خیر؛ اتفاقاً کیف پول سختافزاری امنترین گزینه موجود است؛ البته، بهشرطی که از آن درست استفاده کنید. کیف پول سختافزاری بهمراتب امنتر از سایر گزینهها برای نگهداری داراییهای دیجیتال است. برای درک بهتر این موضوع، به جدول مقایسهای زیر نگاه کنید:
|
معیار امنیت |
کیف پول سختافزاری |
صرافیها |
کیف پول نرمافزاری |
|
دسترسی آنلاین |
❌ ندارد |
✔️ دارد |
✔️ دارد |
|
کنترل کلید خصوصی |
✔️ دارد |
❌ ندارد |
✔️ دارد |
|
در برابر بدافزار |
✔️ مقاوم |
❌ آسیبپذیر |
❌ آسیبپذیر |
|
خطر اشتباه انسانی |
وجود دارد |
وجود دارد |
وجود دارد |
|
مناسب برای ذخیره بلندمدت |
بهترین گزینه |
بدترین گزینه |
قابل قبول |
استفاده صحیح از کیف پولهای سختافزاری
برای اینکه کیف پول سختافزاری واقعاً مطمئن باشد، باید تمام نکات ایمنی را رعایت کنید؛ یعنی آن را از فروشنده معتبر بخرید، Seed Phrase را هرگز در فضای دیجیتال ذخیره نکنید و آن را برای کسی نفرستید. همچنین، همانطور که گفتیم، قبل از تأیید هر تراکنش، محتوا و آدرس مقصد را دقیقاً چک کنید تا از امضای ناآگاهانه جلوگیری شود. اگر همین اصول ساده را رعایت کنید، هیچ اتفاق تلخی برایتان رخ نمیدهد.
خبر خوب اینکه برای تهیه کیف پول سختافزاری اورجینال از برندهای معتبر میتوانید، از ایرانیکارت خرید کنید! وارد صفحه اصلی سایت ایرانیکارت شوید و روی لیست خدمات بزنید؛ سپس، روی گزینه خرید کیف پول سختافزاری کلیک کنید و سفارش دهید. ما محصولات برندهای مختلف مثل سیفپال، کولولت، لجر و ترزور در دسترستان قرار دادهایم تا کیف پول اورجینال را تهیه کنید.
خیر؛ اما درحالحاضر امنترین روش نگهداری داراییهای دیجیتال است.
کیف پول را فقط از فروشندههای رسمی و معتبر بخرید و بستهبندی را برای علائم دستکاری یا بازشدگی بررسی کنید.
اگر Seed Phrase لو برود، مهاجم میتواند، داراییها را بازیابی و تخلیه کند؛ در این حالت، هیچ راه برگشتی وجود ندارد.
خیر؛ برای مدیریت تراکنشها گاهی به اتصال اینترنت نیاز دارید؛ اما کلیدهای خصوصی شما همیشه آفلاین باقی میمانند. این موضوع، مزیت اصلی امنیتی این کیف پولها است.
