اکثر صرافی‌های ارز دیجیتال حفره امنیتی دارند!

بحث امنیت صرافی‌های دیجیتال یک بار دیگر پس از حمله‌ی هکرها به کوکوین (KuCoin)، داغ شده است؛ ولی بن ژو (Ben Zhou)، مدیرعامل بای‌بیت (ByBit)، معتقد است که این امر نباید مردم را شگفت زده کند چرا که طراحی صرافی‌ها به گونه‌ای است که آن‌ها را آسیب‌پذیر می‌کند.

ژو در مصاحبه با کوین تلگراف (Cointelegraph) گفت که صرافی‌ها مثل یک تک نقطه‌ی خرابی* (SPOF) (تک نقطه‌ی خرابی یا نقطه‌ی تکی شکست، به قسمتی از یک سیستم گفته می‌شود که اگر خراب شود، کل سیستم دچار مشکل و توقف می شود) عمل می‌کنند. صرافی‌ها هم به عنوان یک برنامه‌ی تحت وب متمرکز، در معرض خطراتی قرار دارند که سایر وبسایت‌ها را تهدید می‌کند.

با توجه به شمار رو به افزایش سرمایه‌گذاران و معامله‌گرانی که از صرافی‌ها برای محافظت از دارایی‌هایشان استفاده می‌کنند، مسئله‌ی امنیت، اهمیت دوچندانی می‌یابد.

خرید ارز دیجیتال با ۱۰ هزار تومان!

تو صرافی ارزپلاس میتونی فقط با ۱۰ هزار تومان و با کارمزد صفر، بیش از ۳۰۰ ارز دیجیتال رو بخری!

شروع

ژو در ادامه گفت که اکثریت قریب به اتفاق سرورها و شبکه‌های ذخیره‌ی اطلاعات صرافی‌های دیجیتال، ارزهای دیجیتال را در کیف پول‌های گرم (Hot Wallet) نگهداری می‌کنند. اگر کیف پول‌های گرم به خوبی محافظت نشوند، طبعاً در معرض سرقت قرار می‌گیرند. ژو معتقد است که سیستم کیف پول‌های سرد (Cold Wallet) امن‌تر است چرا که کیف پول‌های گرم به اینترنت متصل هستند که این امر، آن‌ها را در برابر هکرها آسیب‌پذیر می‌کند؛ در حالی که کیف پول‌های سرد، آنلاین نیستند. تنها عیب آن‌ها این است که قابلیت برداشت مبالغ بزرگ از یک صرافی را به صورت آنی فراهم نمی‌کنند.

مطابق نظر ژو، سرمایه‌گذاری در بحث امنیت، باید یکی از مهم‌ترین اولویت‌های موجود در دستور کار یک صرافی دیجیتال باشد؛ به ویژه اگر آن صرفی به صورت آنلاین کار می‌کند. همچنین برای مبارزه با تهدیدات هکرها، صرافی‌ها نیاز دارند که قسمت‌هایی از وبسایت را که آدرس آن‌ها آسیب‌پذیر است، تقویت کنند و چندین لایه‌ی امنیتی را برای آزمایش نفوذپذیری وبسایت به کار گیرند.

ضمناً تمام سیستم‌های امنیتی باید در تمامی مراحل تعامل کاربران با وبسایت، از اطلاعات محافظت کنند. این به معنای حفاظت از داده‌های کاربران از ابتدای ساخت حساب کاربری تا ورود به حساب، انجام معامله و هرگونه تبادل اطلاعات میان کاربر و وبسایت است.

این امر، از طریق به کارگیری بهترین رویه‌ها برای مدیریت چرخه‌ی حیات، استخدام مشاوران امنیتی بامعلومات و معتبر برای آزمایش نفوذپذیری و همچنین برگزاری مسابقه میان هکرهای کلاه سفید برای شناسایی هرگونه ضعف بالقوه، قابل دستیابی است.

ژو همچنین پیشنهاد داد که صرافی‌های رمزارزها با شرکت‌های امنیتی مشهور کار کنند تا آن‌ها امور امنیتی را بررسی کنند، از فرایندهای سختگیرانه‌ی مدیریتی استفاده کنند و بیشتر روی معماری زیرو تراست (Zero Trust) سرمایه‌گذاری کنند. معماری زیرو تراست صرف نظر از اینکه چه کسی قصد دسترسی به سرویس را دارد، درخواست تأیید می‌کند تا از هرگونه نفوذ داخلی یا خارجی به داده‌ها پیشگیری کند.

ژو فاش کرد که بای‌بیت، مبالغ قابل توجهی را برای توسعه و پیشرفت راهکارها و پروتکل‌های امنیتی، صرف کرده است. آن‌ها یک سیستم کیف پول سرد چندامضایی (Multi-Signature) را به کار گرفته‌اند تا از امنیت وجوه کاربران حفاظت کنند.

بای‌بیت برای مبارزه با تهدیدات بالقوه‌ی هکرها، چندین سناریوی تهدید امنیتی و برنامه‌های برگزاری مسابقه میان هکرهای کلاه سفید را طراحی و اجرا کرد تا مطمئن شود که ضعفی در سیستم وجود ندارد. ژو افزود:

حتی در بحث برداشت از حساب، ما تمام درخواست‌ها را حداقل با سه لایه‌ی تأییدی کنترلِ خطر بررسی می‌کنیم. تثبیت دارایی‌های دیجیتال در سیستم کیف پول سرد، سختگیرانه‌ترین سیاست‌ها را دنبال می‌کند، از جمله امنیت فیزیکی محیط، امنیت سیستم، تکنیک‌های رمزنگاری، احراز هویت عملیات‌ها، تحت نظر گرفتن کارکنان و رسیدگی به حساب‌ها.