دسته‌ها

امنیت صرافی ها و سیستم‌های تبادل ارز دیجیتال

user33
ارسال شده توسط دسامبر 23, 2020
امنیت صرافی ها

در مطلب پیشین، مقررات و انطباق را بررسی کردیم. در این مطلب، به امنیت صرافی ها و سیستم‌های تبادل ارز دیجیتال می‌پردازیم.

نقدینگی و انطباق نظارتی مطمئناً مهم است، اما امنیت بالا در جابجایی ارز، برای دستیابی به برتری نسبت به سایرین ضروری است. هر حمله هک باعث تضعیف و بین رفتن اعتبار یک صنعت می‌شود. پلتفرم ها پس از فجیع‌ترین حوادث علیه امنیت صرافی ها، زیر بار این ضرر و تضعیف رفته‌اند.

حجم زیان ناشی از حملات و کلاهبرداری‌های سایبری

شرکت‌های بزرگ‌تر بیشتر در خطر قرار گرفتن در معرض تخلفات بزرگ هستند. Gox یک مثال مشهور برای رسوایی در این زمینه است. این صرافی محکوم به نابودی، 80٪ از کل معاملات بیت کوین در سال 2013 را انجام داد و یک سال بعد، مشخص شد 850،000 بیت کوین (که 750،000 مورد از آن متعلق به مشتریان بود) به سرقت رفته است. این رقم معادل 7 درصد کل بیت کوین در گردش آن زمان بود و با نرخ‌های فعلی، وجوه از دست رفته 9.3 میلیارد دلار ارزش دارد.

تحقیقات شرکت اطلاعات بلاکچین Chainalysis نشان می‌دهد که با وجود انجام اقدامات امنیتی کمابیش برا ارتقا امنیت صرافی ها، تهدید هنوز از بین نرفته است. در سال 2019، در مجموع 11 حمله به صرافی‌های ارز دیجیتال صورت گرفته است و این مقدار بیش از هر سال دیگری است. خبر‌های خوبی وجود داشت زیرا هیچ یک از این حوادث به بزرگی یک کوه نبود! Gox، و کل سرمایه‌هایبه سرقت رفته بسیار کمتر از 2018 است.

اقدامات لازم برای تامین امنیت صرافی ها

BitFlyer’s Bryant هشدار داد که کلاهبرداری در بخش مالی در حال افزایش است، و سیستم باید برای مقابله با این تهدید آماده شده و سیستم فراتر از اخلال در زیرساخت یا امکان انجام فعالیت‌های عادی، توسعه داده شود.

وی در گفتگو با Cointelegraph گفت:

«تهدیدات سایبری و تروریستی قابل اغماض نیستند و صرافی‌های دیجیتال باید از کابران دربرابر خطرات حمله و دزدی کلید‌ها و گروگانگیری مدیران اجرایی محافظت کنند.»

برایانت معتقد است تهدیدات فیزیکی برای فضای اداری موسسه و کارمندان نیز ممکن است. او مجموعه ای از بهترین اقدامات را در زمینه امنیت صرافی ها ذکر کرد.

  • نگهداری وجوه مشتریان در یک کیف پول سرد، جایی که به اینترنت متصل نمی‌باشد.
  • محدودیت یکپارچگی سیستم با برنامه‌های قابل دسترسی برای شخص ثالث
  • کنترل دقیق دسترسی به وجوه از طریق لیست سفید و  IP‌های مجاز که توسط پرسنل ثبت و تعیین شده‌اند.
  • اصرار بر استفاده احرازهویت دو مرحله ای توسط کاربران و مشتریان

Scalable’s Berger اضافه کرد که صرافی‌ها باید:


  • ارتباطات ایمیل را با کاربران نهایی رمزگزاری کرده و اطمینان حاصل کنید که sessions (جلسه، بخش از شبکه ارتباط اینترنتی) پس از عدم فعالیت منقضی می‌شوند و باز نمی‌ماند.
  • بعد از هربار ورود به سیستم، ایمیلی به یک حساب ثبت شده ارسال و در آن اطلاعات آدرس IP که با آن وارد شده‌اند را منتقل کنند. به علاوه پیوندی که اگر کاربر به IP شک داشت بتواند آن را مسدود کند.
  • با استفاده از جلساتی که بلافاصله فاقد اعتبار می‌شود، امکان تشخیص تغییرات آدرس IP را داشته باشند.
  • توانایی ارائه جزئیات کامل و تاریخچه ورود به سیستم در لیست سفید آدرس‌های IP را داشته باشد.

اما اگر نقض امنیتی رخ داد چه اتفاقی می‌افتد؟

برایانت یک برنامه سه مرحله‌ای برای صرافی‌ها ارائه داده است

مرحله اول قفل کردن رمپ‌های خروجی است که از آنها برای برداشت وجه از پلتفرم استفاده می‌شود.

مرحله دوم شفافیت و برقراری ارتباط با مشتریان در کانال‌های عمومی است تا مشتریان از آنچه رخ می‌دهد با خبر باشند.

مرحله سوم فعال کردن برنامه مدیریت بحران روابط عمومی است. (برنامه‌ای که امیدوار هستیم قبل از وقوع بحران به خوبی توسعه یافته باشد)

برایانت افزود:

«صرافی‌ها نباید تصور کنند که نقض امنیت صرافی ها تنها از سمت خارج سیستم ایجاد می‌شود. شرکت‌ها باید دقت کنند که ممکن است تهدیدات و حملات از سوی کارمندان شرکت نیز باشد. نظارت و استفاده از هوش مصنوعی می‌تواند در جلوگیری از آسیب توسط کاربران داخلی موثر باشد.»

وی گفت بسیاری از صرافی‌ها در ارائه  sub-account(زیرحساب) برای کاربران ناموفق هستند. این حساب‌ها به کاربران نقش‌های مختلف و مخصوص سپارده و خطر کنترل بیش از حد تنها توسط یک فرد را کاهش می‌دهند.

آموزش کاربران مهم‌تر از امنیت صرافی ها

برایانت گفت آموزش مشتری برای جلوگیری از نقض امنیت، خصوصاً در مورد کلاهبرداری، امری حیاتی است. Feldmeier،موسس  Smart Valorنیز موافقت می‌کند و معتقد است که سطوح زیرساختی سازمان تنها در صورت عدم رعایت اقدامات احتیاطی اولیه توسط کاربران مورد استفاده قرار می‌گیرند.

وی گفت:

«این صنعت شاهد افزایش نگران‌کننده تلاش‌های فیشینگ و حملات جعل هویت است. توسط کلاهبردارانی که وانمود می‌کنند که ایلان ماسک یا یوتیوبر (کاربران یوتیوب) مشهور هستند تا بتوانند از کاربران دزدی کنند.»

در حقیقت چند روز پس از مصاحبه، یک حمله هماهنگ، حساب‌های توییتر متعلق به صرافی‌ها و یا کاربران معروف را به خطر انداخت و قربانیان را ترغیب به ارسال بیت کوین به یک حساب خاص می‌کرد.

feldmeier افزود:

«آموزش کاربران با اهمیت‌تر از روش‌های معمول تامین امنیت صرافی ها است. مانند نهادینه کردن این نکته که هرگز آدرس خود را در شبکه‌های اجتماعی با هیچ‌کس به اشتراک نگذارید. برای اگاهی افراد در رابطه با پروفایل‌ها و وب سایت‌های جعلی که در شبکه‌های اجتماعی مختلف منتشر می‌شوند و خود را به جای صرافی‌ها جا می‌زنند باید بیشتر تلاش کنیم.»

در مطلب بعدی، روابط عمومی و بازاریابی را مورد بحث قرار خواهیم داد.

منبع: cointelegraph.com

برچسب ها: