هفت نقطه ضعف در صرافی های بیت کوین که آن‌‌ها را آسیب پذیر می‌کند

بازار ارزهای دیجیتال روز به روز در حال بزرگ شدن است، به طوری که در حال حاضر نزدیک به ۱٫۶۰۰  ارز دیجیتال مختلف در بازار وجود دارد که ارزش کل بازار آن از ۳۵۰ میلیارد دلار هم فراتر رفته است. تنها سه ارز برتر بازار یعنی بیت کوین، اتریوم و ریپل بیش از ۲۱۰ میلیارد دلار ارزش دارند و به نظر می‌رسد ارزهای دیجیتال دیگر به یک سرمایه‌گذاری اصلی در بین مردم جهان تبدیل شده‌اند. یکی از موضوعات مهم در مورد ارزهای دیجیتال امنیت آن است. اگر این موضوع را نادیده بگیریم، احتمال اینکه یک روز از خواب بیدار شویم و ببینیم همه ارزهای دیجیتال ما ناپدید شده است دور از انتظار نیست. اگر چه فناوری بلاک چین که در واقع پایه و اساس ارزهای دیجیتال محسوب می‌شود، امنیت بالایی را ارائه می‌کند، اما هم ارز دیجیتال و هم صرافی که ارزهای خود را آن‌جا ذخیره می‌کنید به راحتی ممکن است هک شود یا به دلایل مختلف در معرض خطر قرار بگیرد. در ادامه این مطلب قصد داریم درباره امنیت صرافی های بیت کوین بیشتر صحبت کنیم.

۷ نقطه ضعف در مورد امنیت صرافی های بیت کوین و ارز دیجیتال

این مطلب راهم مطالعه کنید: افزایش ایمنی حساب بایننس با یک فرایند ۷ مرحله ای ساده

به طور کلی ۷ نقطه ضعف اساس در مورد امنیت صرافی های بیت کوین و ارز دیجیتال وجود دارد که عبارتند از:

۱. دسترسی‌های در معرض خطر

مهم نیست که چقدر موارد امنیتی یک سیستم قوی باشد، همیشه تعدادی از کاربران یا ادمین‌ها اجازه دسترسی به سیستم را دارند. در مورد ارزهای دیجیتال و صرافی‌های ارز دیجیتال از جمله دسترسی‌هایی که وجود دارد می‌توان به مشتریان، مالکان ارزهای دیجیتال، مدیران صرافی و … اهداف نسبتا آسانی برای هکرها محسوب می‌شوند.

بررسی داده‌ها نشان می‌دهد اولین راه هک شدن صرافی‌های ارز دیجیتال از طریق همین دسترسی‌های در معرض خطر اتفاق می‌افتد.

تنها در سال ۲۰۱۷ چندین مورد از این اتفاق را شاهد بودیم. در ژوئن سال ۲۰۱۷ بیش از ۳۰ هزار نام، آدرس ایمیل و شماره موبایل مشتریان صرافی بیت‌هامب (Bithumb) از طریق هک سیستم یکی از کارمندان این صرافی به دست هکرها افتاد.

هکرها موفق شدند ده‌ها هزار دلار ارز دیجیتال را به سرقت ببرند. همچنین هکرها موفق شدند از طریق دسترسی یکی از مهندسان نایس هش (NiceHash) نزدیک به ۷۵ میلیون دلار سرقت کنند.

۲. حملات مهندسی اجتماعی

هکرها می‌دانند که ضعیف‌ترین راه‌ها در هر سیستم امنیتی، انسان یا همان کاربران هستند. حمله‌های مهندسی اجتماعی (Social engineering attacks)  می‌تواند اطلاعاتی را که هکرها برای دسترسی به صرافی ارز دیجیتال نیاز دارند، در اختیار آن‌ها قرار دهد.

در یکی از حملات فیشینگ در سال ۲۰۱۵ که منجر به سرقت ۵ میلیون دلار از صرافی بیت استمپ (Bitstamp) شد، پس از باز کردن یک فایل مخرب توسط یکی از مدیران صرافی انجام شد.

۳. آسیب پذیری کدهای ارزهای دیجیتال

کدهایی که برای صرافی های ارز دیجیتال نوشته شده‌اند ممکن است آسیب پذیری‌هایی داشته باشد که هکرها از آن برای انجام تراکنش‌ها استفاده کنند.

در سال ۲۰۱۶ هکرها موفق شدند از آسیب پذیری که در کدهای دائو (DAO) وجود داشت برای سرقت ارز دیجیتال استفاده کنند. دائو به عنوان یک صندوق سرمایه‌گذاری غیر متمرکز ایجاد شده بود و هر سرمایه‌گذار بسته به میزان سرمایه‌ای که در آن به اشتراک می‌گذاشت، می‌توانست در مورد نحوه مدیریت سرمایه‌گذاری اظهار نظر کند.

ایده دائو این بود که مدیریت تراکنش‌ها از طریق کد نیاز به اعتماد به انسان برای انجام تراکنش‌ها را از بین می‌برد و ماهست توزیع شده و غیرمتمرکز سیستم از سرقت دارایی‌ها توسط افراد جلوگیری می‌کند. اما هکرها با استفاده از ضعفی که در کدهای آن وجو داشت موفق شند به ارزش ۵۰ میلیون دلار اتریوم را دائو خارج کنند.

آسیب پذیری در کدهای پلتفرم دائو منجر به از دست رفتن ۵۰ میلیون دلار ارز دیجیتال شد

این مطلب راهم مطالعه کنید: چگونه در دام کلاهبرداری پلتفرم‌های دیفای نیافتیم؟

۳. حساب‌های کاربری آزمایشی

استفاده از حساب‌های کاربری آزمایشی در زمان تولید یک محصول کاملا رایج است. معمولا توسعه دهندگان از حساب‌های کاربری دارای مجوزهای مختلف  برای تست کدها و تایید اینکه محصول به درستی کار می‌کند، استفاده می‌کنند. اما همین حساب‌های کاربری آزمایشی می‌توانند به عنوان یک پاسنه آشیل برای یک صرافی ارز دیجیتال محسوب شوند. این حساب‌ها اغلب به خوبی مدیریت و کنترل نمی‌شوند و می‌توانند به هکرها اجازه دسترسی به شبکه را بدهند.

تجربه ثابت کرده است این حساب‌های کاربری آزمایشی فقط باید در محیط یا مرحله آزمایش وجود داشته باشند و نباد در محیط تولید محصول از آن‌ها استفاده شود.

اگر به هر دلیلی نیاز به استفاده از یک حساب کاربری آزمایشی در یک محیط تولید است، این حساب باید دارای حداقل سطح امتیازات و دسترسی مورد نیاز برای تست عملکرد محصول باشد. حسابرسی‌های دوره‌ای در محیط تولید باید حساب‌های کاربری آزمایشی را شناسایی و حذف کند.

۴. فقدان تفکیک وظایف

یکی دیگر از راه‌های ثابت شده برای حفظ امنیت یک صرافی بیت کوین اطمینان از تفکیک وظایف و در اختیار گذشتن کمترین دسترسی به عنوان ادمین برای حساب‌های کاربری کارمندان است. صرافی‌های ارز دیجیتال باید یک فرآیند نظارتی دقیق برای توسعه دهندگان داشته باشند تا تنها در صورت لزوم و در موارد اضطراری بتوانند از حساب‌های کاربری با دسترسی بالا استفاده کنند.

۵. مدیریت و کنترل ضعیف حساب‌های کاربری

وقتی که یک صرافی بیت کوین یا ارز دیجیتال به طور موثر موارد ایمنی حساب‌های کاربری را مدیریت نمی‌کند‌، فرصت بیشتری برای هکرها به وجود می‌آید و صرافی بیشتر در معرض حمله قرار می‌گیرد.

در کنار محدود کردن دسترسی حساب‌های کاربری آزمایشی در محیط تولید و اطمینان از تفکیک وظایف برای نقش‌های مختلف، بسیار مهم است که یک صرافی ارز دیجیتال بهترین روش‌ها را برای مدیریت حساب‌های کاربری اعمال کند.

۶. قابلیت انعطاف پذیری تراکنش

پایه و اساس امنیت در حوزه ارز دیجیتال و بلاک چین، این است که تراکنش‌ها غیر قابل تغییر هستند. یکی از بزرگ‌ترین سرقت‌های ارز دیجیتال وقتی رخ داد که هکرها فهمیدند می‌توانند قبل از بسته شدن یک تراکنش شناسه تراکنش را تغییر دهند و در نتیجه وجه منتقل شده را به حساب دیگری هدایت کنند.

در سال ۲۰۱۴، هکرها از این آسیب پذیری برای سرقت نزدیک به ۵۰۰ میلیون دلار از صرافی ارز دیجیتال ام تی گاکس (Mt. Gox) استفاده کردند.

هک بزرگ صرافی ام تی گاکس که منجر به تعطیلی این صرافی شد

این مطلب راهم مطالعه کنید: چک لیست شناسایی روش های کلاهبرداری ارز دیجیتال

۷. فقدان امنیت کیف پول آنلاین

سرورها و شبکه‌های ذخیره سازی صرافی های بیت کوین و ارز دیجیتال از استخرهای آنلاین برای نگهداری ارزهای دیجیتال استفاده می‌کنند که به آن کیف پول داغ (Hot Wallet) گفته می‌شود.

ارزهای دیجتال در یک کیف پول داغ باید رمزگذاری شده و ایمن باشد، اما اگر کیف پول داغ  به درستی محافظت نشود یا فاقد کنترل‌های امنیتی کافی باشد، ارز دیجیتال موجود در آن در معرض سرقت قرار می‌گیرد.

یک صرافی بیت کوین باید امنیت کیف پول داغ باید با استفاده از کلیدهای خصوصی چند امضایی (multi-signature private keys) محکم کند، از سیستم امنیت توزیع شده استفاده کند و اطمینان حاصل کند که یک کلید به تنهایی نمی‌تواند به حساب کاربری دسترسی پیدا کند.

در ژانویه سال ۲۰۱۸ هکرها موفق شدند بیش از ۵۳۰ میلیون دلار را از صرافی کوین‌چک (Coincheck) سرقت کنند چرا که از کلید‌های چند امضایی استفاده نشده بود و هکر موفق شدند کلید خصوصی یک کیف پول داغ را به‌دست بیاورند از طریق آن ارزهای دیجیتال را سرقت کنند.

جمع بندی امنیت صرافی های بیت کوین

رونق ارزهای دیجیتال و میلیارد‌ها دلاری که در این صنعت وجود دارد، آن را به یک هدف بسیار جذاب برای هکرها و مجرمان اینترنتی تبدیل کرده است. فناوری بلاک چین مزایای زیادی را به ارمغان آورده است که یکی از آن‌ها امنیت است، اما تامین امنیت صرافی های بیت کوین و ارز دیجیتال نیاز به توجه ویژه‌ای دارد.

با این حال، همیشه یک نقطه ضعف وجود دارد. این مثال‌ها نشان می‌دهد که حتی اگر خود ارز دیجیتال کاملا ایمن باشد، اما صرافی‌ های بیت کوین و ارز دیجیتال که پردازش معاملات را انجام می‌دهند و ارز دیجیتال را ذخیره می‌کنند‌، می‌توانند در برابر هک‌های احتمالی و سرقت آسیب پذیر باشند.

فراموش نکنید شما هم می‌توانید نظرات و تجربیات خود در مورد استفاده از صرافی های بیت کوین و امنیت آن‌ها را از طریق سایت و شبکه‌های اجتماعی کوین نیک با ما به اشتراک بگذارید.

منبع: infosecurity