داده‌های KYC شما یک هدف هستند و حملات فیزیکی در حال افزایش‌اند

من سال‌هاست که بازار کریپتو را زیر نظر دارم و می‌بینم در حالی که همه روی جریان ETFها یا اینکه آیا تسلط بیت‌کوین در ۶۰ درصد متوقف می‌شود یا نه وسواس به خرج می‌دهند، یک روند خیلی ترسناک‌تر را نادیده می‌گیرند. ما طوری درباره «هک» حرف می‌زنیم که انگار فقط بچه‌ای در یک زیرزمین با یک اسکریپت است، اما یک بُعد فیزیکی در این ماجرا هست که به اندازه کافی به آن توجه نمی‌شود. منظورم «حمله آچار» یا همان Wrench attack است؛ جایی که مهاجم نیازی ندارد رمزنگاری شما را بشکند، چون یک ابزار فیزیکی در دست دارد و آدرس خانه شما را می‌داند. اگر به دنبال یک راه امن برای ذخیره کلیدهای خصوصی کریپتو هستید، باید بفهمید که بزرگ‌ترین نقطه ضعف شما شاید نه یک باگ در قرارداد هوشمند، بلکه همان داده‌های KYC باشد که به هر صرافی‌ای که تا به حال استفاده کردید، تحویل داده‌اید. ما قبلاً برای پیش‌زمینه بیشتر، موضع بلانچ در مورد کریپتو را بررسی کردیم.

خطر ردپای KYC

بسیاری از ما به احراز هویت یا همان KYC به چشم یک مرحله اداری خسته‌کننده نگاه می‌کنیم. پاسپورتتان را آپلود می‌کنید، یک سلفی می‌گیرید و به حساب خود دسترسی پیدا می‌کنید. اما در تجربه من، ما در واقع یک دیتابیس جهانی و لو رفته ساخته‌ایم که دقیقاً می‌گوید چه کسی چه چیزی دارد. وقتی یک صرافی هک می‌شود، فقط رمز عبورها لو نمی‌روند؛ بلکه نام کامل، آدرس‌ها و شماره تلفن‌ها پخش می‌شود.

این موضوع را با داده‌های روی شبکه (on-chain) ترکیب کنید و می‌بینید که یک نقشه کامل شکل گرفته است. اگر یک فرد بدخواه بتواند از طریق یک دیتابیس لو رفته KYC، یک کیف‌پول با ارزش بالا را به یک هویت واقعی در دنیای فیزیکی وصل کند، دیگر نیازی نیست دنبال حفره امنیتی در بلاک‌چین بگردد. او فقط باید بفهمد شما کجا زندگی می‌کنید. اینجاست که حمله آچار وارد می‌شود. این بدوی‌ترین شکل هک است: اخاذی فیزیکی. شما با یک ربات نمی‌جنگید؛ با کسی می‌جنگید که می‌داند پول دارید و می‌داند کجا می‌خوابید. برای کاربرانی که در ایران هستند و به دلیل تحریم‌ها مجبورند از صرافی‌های خارجی یا واسطه‌ها استفاده کنند، این ریسک دوچندان است چون هر لایه اضافی در انتقال اطلاعات، یک نقطه نفوذ جدید ایجاد می‌کند.

چرا راه امن برای ذخیره کلیدهای خصوصی فقط نرم‌افزار نیست

دیده‌ام افرادی ساعت‌ها بحث می‌کنند که کدام کیف‌پول نرم‌افزاری امن‌تر است، اما بعد عبارت بازیابی (seed phrase) خود را در یک فایل متنی ساده روی دسکتاپ یا بدتر از آن، به صورت عکس در فضای ابری ذخیره می‌کنند. این یعنی منتظر یک فاجعه نشستن. اما حتی یک تکه کاغذ در کش میز هم ریسک است، اگر کسی بداند آنجا قرار دارد.

مشکل این است که ما شرطی شده‌ایم که امنیت را فقط یک دیوار دیجیتالی ببینیم. فراموش می‌کنیم که این دیوار در دارد. اگر از یک صرافی متمرکز استفاده می‌کنید، در واقع هویت و دارایی خود را به آن‌ها می‌سپارید. اگر آن‌ها هک شوند، هویت شما تبدیل به یک فانوس راهنما برای هر کسی می‌شود که دنبال هدف می‌گردد. به همین دلیل است که من همیشه روی خود-حضانتی (self-custody) تاکید کرده‌ام.

برای اینکه واقعاً از خودتان محافظت کنید، به یک امضاکننده سخت‌افزاری نیاز دارید که کلیدهای شما را آفلاین نگه دارد. من شخصاً اگر بودجه محدودی داشته باشید، Ledger Nano Gen5 را پیشنهاد می‌کنم چون تکنولوژی صفحه لمسی E Ink را با قیمت ۹۹ دلار ارائه می‌دهد. داشتن تراشه Secure Element (CC EAL6+) یعنی کلیدهای خصوصی شما هرگز با اینترنت تماس پیدا نمی‌کنند. اما دستگاه فقط نیمی از مسیر است. امنیت واقعی در نحوه مدیریت عبارت بازیابی است.

جایی که مردم اشتباه می‌کنند

بزرگ‌ترین اشتباهی که می‌بینم «نمایش امنیت» است. مردم یک کیف‌پول گران‌قیمت می‌خرند اما عبارت بازیابی ۲۴ کلمه‌ای خود را طوری ذخیره می‌کنند که به راحتی پیدا شود. اگر یک مجرم بداند شما لجر دارید، سعی نمی‌کند دستگاه را هک کند؛ بلکه دنبال آن تکه کاغذی می‌گردد که زیر تشک پنهان کرده‌اید.

متوجه روندی شده‌ام که مردم فکر می‌کنند استفاده از VPN یا مرورگر خصوصی کافی است. در حالی که ما قبلاً بررسی کردیم که چگونه ریسک‌های معاملات P2P در انگلیس به دلیل یورش‌های دولتی افزایش یافته، اما تهدید جنایتکاران سازمان‌یافته متفاوت است. آن‌ها دنبال فرار مالیاتی نیستند؛ آن‌ها دنبال یک payday یا یک payday سریع هستند.

اگر می‌خواهید واقعاً امن باشید، باید هویت خود را از ثروتتان جدا کنید. این یعنی تا حد امکان از سرویس‌های غیرامانی (non-custodial) استفاده کنید و در دادن اطلاعات شخصی‌تان به شدت خسیس باشید.

نظر من درباره مسیر پیش رو

نمی‌گویم هرگز از صرافی استفاده نکنید. آن‌ها راحت هستند و برای برخی تنها راه ورود به بازارند. اما نگه داشتن تمام پس‌انداز زندگی‌تان در پلتفرمی که اسکن پاسپورت می‌خواهد، یک قمار است. شما شرط می‌بندید که امنیت صرافی بهتر از انگیزه‌ی جنایتکاری است که آدرس شما را در یک لیست لو رفته پیدا کرده است.

به نظر من تنها راه حل واقعی، ترکیبی از امنیت سخت‌افزاری و رازداری شدید عملیاتی است. به مردم نگویید چقدر دارید. سودهایتان را در شبکه‌های اجتماعی پست نکنید. و محض رضای هر چه که برایتان عزیز است، دارایی‌هایتان را از صرافی خارج کرده و به یک کیف‌پول سرد منتقل کنید.

اگر از چرخه تکراری KYC خسته شده‌اید و فقط می‌خواهید دارایی‌هایتان را بدون گذاشتن ردپای دائمی جابجا کنید، من StealthEX را گزینه‌ای مناسب دیده‌ام. این یک سرویس تبدیل غیرامانی است که برای تبدیل‌های استاندارد نیازی به ثبت‌نام یا KYC ندارد. راه ساده‌ای است برای حفظ سطح خاصی از حریم خصوصی در دنیایی که سعی می‌کند هر ساتوشی شما را ایندکس کند.

اخبار را در صرافی منتخب تحریریه ما معامله کنید: Gate