امنیت در کیفهای پول رمزارز به زبان ساده؛ آنچه باید بدانید
امنیت در کیفهای پول رمزارز را چه مسائلی تعیین میکند؟ در این مقاله قصد داریم امنیت در کیفهای پول رمزارز را به زبان ساده و قابل درک برای عموم مخاطبان بررسی کنیم و به مسائلی بپردازیم که اگر در بازار رمزارزها فعالیت میکنید، حتما باید به آنها توجه داشته باشید.
- راهنمای کامل امور مالی غیرمتمرکز (DeFi) برای مبتدیان
- بلاکچین در مقابل پایگاههای داده سنتی؛ هر آنچه باید بدانید
قبل از اینکه به بررسی امنیت این کیفها بپردازیم، بهتر است بدانیم که اصلا کیف پول ارز دیجیتالی چیست و روش کار آن به چه صورت است. اول از همه باید بگوییم که بر خلاف تصور عموم، کیفهای پول رمزارز هیچ یک از ارزهای خریداری شده و یا منتقل شده به آنها را در خود ذخیره نمیکنند (حتما شگفت زده شدید!). این مسئله کاملا حقیقت دارد و باید بدانید تمام کیفهای پول دیجیتالی مانند تراست والت، صرافیهای آنلاین، کیفهای پول سختافزاری مانند لجر و ترزور همگی فقط حاوی کلید خصوصی و عمومی شما و وسیله ای هستند که شما را به بلاکچین شبکههای مختلف مانند اتریوم، کاردانو، پولکادات، بیت کوین و… متصل میکنند.
با این مقدمه، بهتر است در ادامه به یک سری مفاهیم بنیادین در این زمینه بپردازیم.
کلید خصوصی و عمومی چیست؟
به خاطر اینکه در بلاکچینها هیچگونه اطلاعات هویتی از شما ثبت نمیگردد، داشتن کلید خصوصی بیانگر آن است که شما مالک دارایی در بلاکچین هستید (امیدوارم توانسته باشم اهمیت کلید خصوصی در این جمله کوتاه را بیان کرده باشم.) کلید خصوصی یک رشته متنی محرمانه و به صورت ترکیبی از حروف و اعداد است که به محض ساخت یک کیف پول توسط شما، به صورت تصادفی ایجاد میشود. در واقع، کلید خصوصی با استفاده از توابع رمزنگاری (توابع هشینگ)، از روی پسورد انتخابی ما برای کیف پول بدست میآید. روش کلی برای دستیابی و در اختیار گرفتن کنترل یک آدرس در رمزارزها، داشتن کلید خصوصی مرتبط با آن است. کلید خصوصی در واقع مانند رمز حسابهای بانکی عمل میکند و هر کس با داشتن آن میتواند حساب مربوط به آن را به صورت کامل در اختیار بگیرد.
باید بدانید که کلید خصوصی بیتکوین برای انجام تراکنشهای غیرقابل برگشت استفاده میشود. وقتی که از کلیدهای خصوصی برای ارسال بیت کوین استفاده میکنید، این غیرقابل بازگشت بودن، توسط امضاهای دیجیتالی که به هر تراکنش مرتبط می شود، تضمین میشود. (در صورت اینکه تراکنشی انجام دهید و پولی به حساب کسی واریز نمایید این تراکنش غیرقابل بازگشت خواهد بود.) این امضاهای دیجیتالی، هرچند که توسط کلیدهای خصوصی یکسانی ایجاد میشوند، اما برای هر تراکنش یکتا و منحصربهفرد هستند. این ویژگی باعث میشود امکان کپی کردن و تقلب در آنها غیرممکن باشد و کاربران میتوانند با اطمینان خاطر، بارها و بارها از یک کلید خصوصی استفاده کنند.
تا اینجا دانستیم کلید خصوصی چیست. حالا میرویم سراغ کلید عمومی. کلید عمومی یک رشته از حروف و متن است که اگر بخواهم در دنیای واقعی قابل درک برای شما مثال بزنم، همان شماره حساب شما است که با آن می توان ارز دیجیتال را به حساب شما در بلاکچین واریز نمود و با دانستن آن کسی نمیتواند حساب شما را در اختیار بگیرد. پس کلید یا آدرس عمومی به نوعی (نه کاملا) مانند شماره حساب بانکی شماست که میتوانید آن را برای هر کسی که قرار است برای شما بیت کوین ارسال کند، بفرستید، و برای دسترسی به داراییهای کیفپولتان، باید آدرس یا کلید خصوصی خود را بدانید.
عبارات بازیابی
با دانستن اینکه کلید خصوصی و عمومی چیست، باید بدانیم که کیف پولهای دیجیتالی چه نقشی در این مورد ایفا خواهند کرد. همانطور که بالاتر گفتم ما نمیتوانیم به صورت مستقیم به بلاکچینها متصل شویم، پس نیاز به یک رابط داریم. اینجاست که کیفهای پول دیجیتالی مانند تراست والت و لجر به میان میآیند و نقش یک واسطه را برای ما بازی خواهند کرد که ما را به بلاکچین متصل میکنند. یادمان باشد که کلیدهای خصوصی تنها مدرکی هستند که میتوانند ثابت کنند ما صاحب آن دارایی هستیم، پس باید آنها را در یک جای خیلی امن ذخیره کرده و نگهداری کنیم. از آنجایی که که نگهداری و حفظ کردن کلید خصوصی برای کاربران سخت است و برای هر رمزارز کلید خصوصی متفاوتی خواهیم داشت، عبارات بازیابی یا همان Seed در سال ۲۰۱۳ اختراع شدند. کیفهای ارز دیجیتالی از روی کلید خصوصی شما عبارتهای بازیابی یا همان Seed را درست میکنند و در سال ۲۰۱۴ با آپدیت بعدی خاصیت Multicurrency بودن عبارت بازیابی (به این صورت که با یک عبارت بازیابی در کیف پول به چند رمزارز دسترسی داشته باشیم) هم به این کیفها اضافه شد.
عبارت بازیابی مجموعهای از چند کلمه است که کاربر در هنگام ساخت یک کیف پول، آنها را دریافت میکند. یکی از مهمترین ویژگیهای عبارت بازیابی در کیف پول ارزهای دیجیتال، امکان استفاده از آن برای چند رمزارز است. همانطور که گفته شد، ساز و کار ارزهای دیجیتال با هم متفاوت است و این اتفاق باعث میشود تا فرمت کلید خصوصی در شبکه برخی از رمزارزها با دیگری متفاوت باشد. اما دربارهی Seed چنین نیست. شما میتوانید با داشتن یک عبارت بازیابی، به داراییهای خود در شبکههای بلاکچین مختلف دسترسی داشته باشید.
این ویژگی باعث میشود تا تجربه کاربری به هنگام استفاده از کیفهای ارز دیجیتال تا حد زیادی بهبود پیدا کند و نیازی نباشد که کاربر برای هر رمزارز خود، کلید خصوصی را به صورت جداگانه استفاده یا حفظ و نگهداری کند. با داشتن یک Seed میتوان بهطور همزمان به داراییهای روی شبکههای مختلف مانند پولکادات، بیت کوین، کاردانو و… دسترسی داشت.
لیست تعداد کلماتی که برای تولید Seed Phrase استفاده میشوند، تعداد مشخصی است. عبارت بازیابی کیف پول (با هر تعداد کلمه، مثلا ۱۲ یا ۲۴ کلمهای) از ۲۰۴۸ کلمه انتخاب میشود. لیست این کلمات از طریق این لینک قابل مشاهده است. برای نمونه، Abandon یکی از این ۲۰۴۸ کلمه است و در عبارتهای بازیابی مورد استفاده قرار میگیرد، اما کلمه Asparagus جزئی از این کلمات نیست و در هیچ یک از عبارات بازیابی وجود نخواهد داشت. همچنین لازم به ذکر است که کنار هر کلمه یک شماره است و این بدین جهت است که ترتیب کلمات وارد شده برای بازیابی کیف پول ارز دیجیتال از طریق Recovery Phrase مهم است. اگر یکی از کلمات با دیگری جابهجا شود، امکان دسترسی به داراییها وجود نخواهد داشت.
تفاوت کیف پولهای نرمافزاری و سختافزاری
تا به این جا با هم مروری داشتیم که ارکان اصلی و مهم در امنیت کیفهای پولهای دیجیتالی را چه چیزهایی تعیین میکنند. در همین رابطه به یاد دارم که در رویدادی، یکی از همراهان سؤال خوبی دربارهی این موضوع از من پرسید:
من از کیف چند امضایی استفاده میکنم، اما برای بسیاری از افراد تازه کار که وارد دنیای رمزارز میشوند، استفاده از لجر، ترزور و یا هات والتهای مطرح مانند تراست والت را پیشنهاد میکنم چون رابط کاربری خیلی سادهای دارند. ولی نکته اینجاست که آنها چطور میتوانند به این کیفها برای ساخت کلمه بازیابی اعتماد کنند؟
حقیقتا این سؤال خیلی خوبی است که همیشه در ذهن کاربران به وجود میآید.
واقعیت این است که جدای از اینکه از چه دستگاهی میکنید، شما مجبورید تا حدی به نرمافزارها و سختافزارها اعتماد کنید. در واقع تنها راهی که شما به هیچ سازندهی نرمافزار و یا سختافزاری اعتماد نکنید این است که همه کارها را با کاغذ و قلم انجام بدهید، که مسلما شدنی نیست!
اما فرض بگیرید که رویهی اعتماد را در پیش گرفتیم، حالا چطور میتوانیم میزان اعتماد به شخص سوم را به حداقل برسانیم؟ این سؤال مقداری فریبنده است. با توجه به این که شما چه جوابی میدهید، مردم ممکن است راه درمانی را امتحان کنند که از بیماری هم بدتر باشد! اتفاقی که اینجا میافتد این است که مردم ممکن است بگویند من به لجر و ترزور یا سایر کیفهای مطرح اعتمادی برای ساخت کلمات بازیابی ندارم و به جای این کارها نرمافزاری مثل Tails را دانلود میکنم و با رعایت پروتکلهای Glacier آن را روی لپتاپی که از ۳ سال پیش به نت وصل نشده نصب میکنم و با پرینتری که به شبکه وصل نیست عبارات بازیابی را چاپ خواهم کرد.
در جواب به چنین کاری، باید بگویم شما تنها کاری که کردید اعتماد به نرمافزار، سختافزار و یا سیستم عاملی بوده که برای کاربری عمومی طراحی شده است، نه به طور اختصاصی برای نگهداری رمزارزها. بررسی منشأ اصلی این محصولات که برای کاربری عمومی طراحی شدهاند هم به مراتب سختتر است، و همین ضریب خطا را بالاتر میبرد.
کیفهای پول سختافزاری همچنان امنترین مکانیسم برای نگهداری رمزارز به صورت آفلاین هستند. اگر هم نمیتوانید کیف سختافزاری تهیه کنید، و مقدار کمی کریپتو دارید، اپلیکیشنهای موبایل مانند Trust Wallet گزینههای خوبی هستند.
دلیل اینکه به این کیفها اعتماد میکنیم این است که هم نرمافزار، و هم سختافزار آنها به دقت توسط متخصصان امنیت بررسی میشود. البته این موضوع باز هم دلیلی بر این نمیشود که به طور ۱۰۰ درصد به آنها اعتماد کنیم. در واقع شما به متخصصان امنیتی اعتماد میکنید که این دستگاهها را به طور مداوم برای هر گونه آسیبپذیری بررسی میکنند. در صورتی هم که در این محصولات حفرهای امنیتی پیدا شود، این موضوع به سرعت فاش خواهد شد و این بدان معنی است که آن سازندهی نرمافزار یا سختافزار نگهداری رمزارز باید برای همیشه از دنیای کریپتو خداحافظی کند.
به یاد داشته باشید استفاده از کیفهای پول آنلاین هم احتمال کلاهبرداری را بهشدت افزایش میدهد. اگر از سیستمی استفاده میکنید که درک امنیت آن به دانش زیادی زیاد دارد، آن وقت احتمال از دست دادن پول به خاطر اشتباه بسیار بالاست.
سخن پایانی؛ بالاخره از چه نوع کیف پولی استفاده کنیم؟
با تمام این صحبتها، حالا وقت جمعبندی رسیده است. اگر مقدار بسیار زیادی رمزارز دارید، لازم است که کلمات بازیابی را خودتان به صورت آفلاین بسازید و در کیفهای سختافزاری ذخیره کنید. (آموزش این موارد را بهزودی در مقالهای جدا منتشر خواهم کرد.)
ولی اگر مقدار کمی رمزارز دارید، بهترین گزینه کیفهای پول نرمافزاری که بر روی موبایل دارید هستند. البته در صورت استفاده از کیفهای پول نرمافزاری، باید کلمات بازیابی را به صورت آفلاین در جایی ذخیره کنید و در نظر داشته باشید که اگر این عبارات بازیابی به دست کسی برسد، مساوی است با از دست رفتن دارایی شما.
همچنین توجه داشته باشید که صرافیهای آنلاین کلید خصوصی را در اختیار شما نمیگذارند، به این علت که در هر کیف صرافی احتمال دارد هزاران نفر به صورت مشترک رمزارز ذخیره کرده باشند. بنابراین اگر این کلید خصوصی به هر طریقی لو برود، شما همراه هزاران نفر دیگر تمام داراییتان را از دست خواهید داد.
در مجموع مباحث مرتبط با امنیت در بلاکچین، نیاز به صرف زمان بسیار زیادی برای یادگیری دارد. با این وجود در این سری مقالات تلاش خواهیم کرد که موضوعات بنیادین در این حوزه را به زبان ساده برایتان توضیح بدهیم.
بسیار عالی
کاملا گویا و مفید ، منتظر ادامه این مقاله هستیم
خیلی روان توضیح دادین…واقعا برای من که دانش امنیت ندارم درکش راحت بود..ممنون از شما