امنیت در کیف‌‌‌های پول رمزارز به زبان ساده؛ آنچه باید بدانید

امنیت در کیف‌های پول رمزارز را چه مسائلی تعیین می‌کند؟ در این مقاله قصد داریم امنیت در کیف‌‌‌های پول رمزارز را به زبان ساده و قابل درک برای عموم مخاطبان بررسی کنیم و به مسائلی بپردازیم که اگر در بازار رمزارزها فعالیت می‌کنید، حتما باید به آن‌ها توجه داشته باشید.

• راهنمای کامل امور مالی غیرمتمرکز (DeFi) برای مبتدیان
• بلاک‌چین در مقابل پایگاه‌های داده سنتی؛ هر آنچه باید بدانید

قبل از اینکه به بررسی امنیت این کیف‌ها بپردازیم، بهتر است بدانیم که اصلا کیف پول ارز دیجیتالی چیست و روش کار آن به چه صورت است. اول از همه باید بگوییم که بر خلاف تصور عموم، کیف‌های پول رمزارز هیچ یک از ارزهای خریداری شده و یا منتقل شده به آن‌ها را در خود ذخیره نمی‌کنند (حتما شگفت زده شدید!). این مسئله کاملا حقیقت دارد و باید بدانید تمام کیف‌های پول دیجیتالی مانند تراست والت، صرافی‌های آنلاین، کیف‌های پول سخت‌افزاری مانند لجر و ترزور همگی فقط حاوی کلید خصوصی و عمومی شما و وسیله ای هستند که شما را به بلاک‌چین شبکه‌های مختلف مانند اتریوم، کاردانو، پولکادات، بیت کوین و… متصل می‌کنند.

با این مقدمه، بهتر است در ادامه به یک سری مفاهیم بنیادین در این زمینه بپردازیم.

کلید خصوصی و عمومی چیست؟

به خاطر اینکه در بلاک‌چین‌ها هیچ‌گونه اطلاعات هویتی از شما ثبت نمی‌گردد، داشتن کلید خصوصی بیانگر آن است که شما مالک دارایی در بلاک‌چین هستید (امیدوارم توانسته باشم اهمیت کلید خصوصی در این جمله کوتاه را بیان کرده باشم.) کلید خصوصی یک رشته متنی محرمانه و به صورت ترکیبی از حروف و اعداد است که به محض ساخت یک کیف پول توسط شما، به صورت تصادفی ایجاد می‌شود. در واقع، کلید خصوصی با استفاده از توابع رمزنگاری (توابع هشینگ)، از روی پسورد انتخابی ما برای کیف پول بدست می‌آید. روش کلی برای دستیابی و در اختیار گرفتن کنترل یک آدرس در رمزارزها، داشتن کلید خصوصی مرتبط با آن است. کلید خصوصی در واقع مانند رمز حساب‌های بانکی عمل می‌کند و هر کس با داشتن آن می‌تواند حساب مربوط به آن را به صورت کامل در اختیار بگیرد.

باید بدانید که کلید‍‌ خصوصی بیت‌کوین برای انجام تراکنش‌های غیرقابل برگشت استفاده می‌شود. وقتی که از کلید‌های خصوصی برای ارسال بیت کوین استفاده می‌‌کنید، این غیرقابل بازگشت بودن، توسط امضاهای دیجیتالی که به هر تراکنش مرتبط می شود، تضمین می‌شود. (در صورت اینکه تراکنشی انجام دهید و پولی به حساب کسی واریز نمایید این تراکنش غیرقابل بازگشت خواهد بود.) این امضاهای دیجیتالی، هرچند که توسط کلید‌های خصوصی یکسانی ایجاد می‌شوند، اما برای هر تراکنش یکتا و منحصربه‌فرد هستند. این ویژگی باعث می‌شود امکان کپی کردن و تقلب در آن‌ها غیر‌ممکن باشد و کاربران می‌توانند با اطمینان خاطر، بارها و بارها از یک کلید خصوصی استفاده کنند.

نمونه کلید عمومی و خصوصی

تا اینجا دانستیم کلید خصوصی چیست. حالا می‌رویم سراغ کلید عمومی. کلید عمومی یک رشته از حروف و متن است که اگر بخواهم در دنیای واقعی قابل درک برای شما مثال بزنم، همان شماره حساب شما است که با آن می توان ارز دیجیتال را به حساب شما در بلاک‌چین واریز نمود و با دانستن آن کسی نمی‌تواند حساب شما را در اختیار بگیرد. پس کلید یا آدرس عمومی به نوعی (نه کاملا) مانند شماره حساب بانکی شماست که می‌توانید آن را برای هر کسی که قرار است برای شما بیت کوین ارسال کند، بفرستید، و برای دسترسی به دارایی‌های کیف‌پولتان، باید آدرس یا کلید خصوصی خود را بدانید.

عبارات بازیابی

با دانستن اینکه کلید خصوصی و عمومی چیست، باید بدانیم که کیف‌ پول‌های دیجیتالی چه نقشی در این مورد ایفا خواهند کرد. همانطور که بالاتر گفتم ما نمی‌توانیم به صورت مستقیم به بلاک‌چین‌ها متصل شویم، پس نیاز به یک رابط داریم. اینجاست که کیف‎‎‌های پول دیجیتالی مانند تراست والت و لجر به میان می‌آیند و نقش یک واسطه را برای ما بازی خواهند کرد که ما را به بلاک‌چین متصل می‌کنند. یادمان باشد که کلید‌های خصوصی تنها مدرکی هستند که می‌توانند ثابت کنند ما صاحب آن دارایی‌ هستیم، پس باید آن‌ها را در یک جای خیلی امن ذخیره کرده و نگهداری کنیم. از آنجا‌یی که که نگهداری و حفظ کردن کلید خصوصی برای کاربران سخت است و برای هر رمزارز کلید خصوصی متفاوتی خواهیم داشت، عبارات بازیابی یا همان Seed در سال ۲۰۱۳ اختراع شدند. کیف‌های ارز دیجیتالی از روی کلید خصوصی شما عبارت‌های بازیابی یا همان Seed را درست می‌کنند و در سال ۲۰۱۴ با آپدیت بعدی خاصیت Multicurrency بودن عبارت بازیابی (به این صورت که با یک عبارت بازیابی در کیف پول به چند رمزارز دسترسی داشته باشیم) هم به این کیف‌ها اضافه شد.

نمونه کیف‌های پولی سخت افزاری (ترزور و لجر)

عبارت‌ بازیابی مجموعه‌ای از چند کلمه است که کاربر در هنگام ساخت یک کیف پول، آن‌‌ها را دریافت می‌کند. یکی از مهم‌ترین ویژگی‌های عبارت بازیابی در کیف پول ارزهای دیجیتال، امکان استفاده از آن برای چند رمزارز است. همان‌طور که گفته شد، ساز و کار ارزهای دیجیتال با هم متفاوت است و این اتفاق باعث می‌شود تا فرمت کلید خصوصی در شبکه برخی از رمزارزها با دیگری متفاوت باشد. اما درباره‌ی Seed چنین نیست. شما می‌توانید با داشتن یک عبارت بازیابی، به دارایی‌های خود در شبکه‌های بلاک‌چین مختلف دسترسی داشته باشید.

این ویژگی باعث می‌شود تا تجربه کاربری به هنگام استفاده از کیف‌های ارز دیجیتال تا حد زیادی بهبود پیدا کند و نیاز‌ی نباشد که کاربر برای هر رمزارز خود، کلید خصوصی را به صورت جداگانه استفاده یا حفظ و نگهداری کند. با داشتن یک Seed می‌توان به‌طور همزمان به دارایی‌های روی شبکه‌های مختلف مانند پولکادات، بیت کوین، کاردانو و… دسترسی داشت.

لیست تعداد کلماتی که برای تولید Seed Phrase استفاده می‌شوند، تعداد مشخصی است. عبارت بازیابی کیف پول (با هر تعداد کلمه، مثلا ۱۲ یا ۲۴ کلمه‌ای) از ۲۰۴۸ کلمه انتخاب می‌‌شود. لیست این کلمات از طریق این لینک قابل مشاهده است. برای نمونه، Abandon یکی از این ۲۰۴۸ کلمه است و در عبارت‌های بازیابی مورد استفاده قرار می‌گیرد، اما کلمه Asparagus جزئی از این کلمات نیست و در هیچ یک از عبارات بازیابی وجود نخواهد داشت. همچنین لازم به ذکر است که کنار هر کلمه یک شماره است و این بدین جهت است که ترتیب کلمات وارد شده برای بازیابی کیف پول ارز دیجیتال از طریق Recovery Phrase مهم است. اگر یکی از کلمات با دیگری جابه‌جا شود، امکان دسترسی به دارایی‌ها وجود نخواهد داشت.

نمونه عبارت بازیابی تولید شده در اپلیکیشن تراست والت

تفاوت کیف پول‌های نرم‌افزاری و سخت‌افزاری

تا به این جا با هم مروری داشتیم که ارکان اصلی و مهم در امنیت کیف‌های پول‌های دیجیتالی را چه چیزهایی تعیین می‌کنند. در همین رابطه به یاد دارم که در رویدادی، یکی از همراهان سؤال خوبی درباره‌ی این موضوع از من پرسید:

من از کیف چند امضایی استفاده می‌کنم، اما برای بسیاری از افراد تازه کار که وارد دنیای رمزارز می‌شوند، استفاده از لجر، ترزور و یا هات والت‌های مطرح مانند تراست والت را پیشنهاد می‌کنم چون رابط کاربری خیلی ساده‌ای دارند. ولی نکته اینجاست که آن‌ها چطور می‌توانند به این کیف‌ها برای ساخت کلمه بازیابی اعتماد کنند؟

حقیقتا این سؤال خیلی خوبی است که همیشه در ذهن کاربران به وجود می‌آید.

واقعیت این است که جدای از اینکه از چه دستگاهی می‌کنید، شما مجبورید تا حدی به نرم‌افزارها و سخت‌افزارها اعتماد کنید. در واقع تنها راهی که شما به هیچ سازنده‌ی نرم‌افزار و یا سخت‌‌افزاری اعتماد نکنید این است که همه کا‌رها را با کاغذ و قلم انجام بدهید، که مسلما شدنی نیست!

اما فرض بگیرید که رویه‌ی اعتماد را در پیش گرفتیم، حالا چطور می‌توانیم میزان اعتماد به شخص سوم را به حداقل برسانیم؟ این سؤال مقداری فریبنده است. با توجه به این‌ که شما چه جوابی می‌دهید، مردم ممکن است راه درمانی را امتحان کنند که از بیماری هم بدتر باشد! اتفاقی که اینجا می‌افتد این است که مردم ممکن است بگویند من به لجر و ترزور یا سایر کیف‌های مطرح اعتمادی برای ساخت کلمات بازیابی ندارم و به جای این کارها نرم‌افزاری مثل Tails را دانلود می‌کنم و با رعایت پروتکل‌های Glacier آن را روی لپ‌تاپی که از ۳ سال پیش به نت وصل نشده نصب می‌کنم و با پرینتری که به شبکه وصل نیست عبارات بازیابی را چاپ خواهم کرد.

در جواب به چنین کاری، باید بگویم شما تنها کاری که کردید اعتماد به نرم‌افزار، سخت‌افزار و یا سیستم عاملی بوده که برای کاربری عمومی طراحی شده است، نه به طور اختصاصی برای نگهداری رمزارزها. بررسی منشأ اصلی این محصولات که برای کاربری عمومی طراحی شده‌اند هم به مراتب سخت‌تر است، و همین ضریب خطا را بالاتر می‌برد.

کیف‌های پول سخت‌افزاری همچنان امن‌ترین مکانیسم برای نگهداری رمز‌ارز به صورت آفلاین هستند. اگر هم نمی‌توانید کیف سخت‌افزاری تهیه کنید، و مقدار کمی کریپتو دارید، اپلیکیشن‌های موبایل مانند Trust Wallet گزینه‌های خوبی هستند.

دلیل اینکه به این کیف‌ها اعتماد می‌کنیم این است که هم نرم‌افزار، و هم سخت‌افزار آن‌ها به دقت توسط متخصصان امنیت بررسی می‌شود. البته این موضوع باز هم دلیلی بر این نمی‌شود که به طور ۱۰۰ درصد به آن‌ها اعتماد کنیم. در واقع شما به متخصصان امنیتی اعتماد می‌کنید که این دستگاه‌ها را به طور مداوم برای هر گونه آسیب‌پذیری بررسی می‌کنند. در صورتی هم که در این محصولات حفره‌ای امنیتی پیدا شود، این موضوع به سرعت فاش خواهد شد و این بدان معنی است که آن سازنده‌ی نرم‌افزار یا سخت‌افزار نگهداری رمزارز باید برای همیشه از دنیای کریپتو خداحافظی کند.

به یاد داشته باشید استفاده از کیف‌های پول آنلاین هم احتمال کلاهبرداری را به‌شدت افزایش می‌دهد. اگر از سیستمی استفاده می‌کنید که درک امنیت آن به دانش زیادی زیاد دارد، آن وقت احتمال از دست دادن پول به خاطر اشتباه بسیار بالاست.

سخن پایانی؛ بالاخره از چه نوع کیف پولی استفاده کنیم؟

با تمام این صحبت‌ها، حالا وقت جمع‌بندی رسیده است. اگر مقدار بسیار زیادی رمزارز دارید، لازم است که کلمات بازیابی را خودتان به صورت آفلاین بسازید و در کیف‌های سخت‌افزاری ذخیره کنید. (آموزش این موارد را به‌زودی در مقاله‌ای جدا منتشر خواهم کرد.)

نمونه دستگاه ذخیره‌سازی عبارات بازیابی به روش آفلاین (سرد)

ولی اگر مقدار کمی رمزارز دارید، بهترین گزینه کیف‌های پول نرم‌افزاری که بر روی موبایل دارید هستند. البته در صورت استفاده از کیف‌های پول نرم‌افزاری، باید کلمات بازیابی را به صورت آفلاین در جایی ذخیره کنید و در نظر داشته باشید که اگر این عبارات بازیابی به دست کسی برسد، مساوی است با از دست رفتن دارایی شما.

همچنین توجه داشته باشید که صرافی‌های آنلاین کلید خصوصی را در اختیار شما نمی‌گذارند، به این علت که در هر کیف صرافی احتمال دارد هزاران نفر به صورت مشترک رمزارز ذخیره کرده باشند. بنابراین اگر این کلید خصوصی به هر طریقی لو برود، شما همراه هزاران نفر دیگر تمام دارایی‌تان را از دست خواهید داد.

در مجموع مباحث مرتبط با امنیت در بلاک‌چین، نیاز به صرف زمان بسیار زیادی برای یادگیری دارد. با این وجود در این سری مقالات تلاش خواهیم کرد که موضوعات بنیادین در این حوزه را به زبان ساده برایتان توضیح بدهیم.