ضعف طراحی صرافی های ارز دیجیتال در چیست؟
بن ژو (Ben Zhou)، مدیرعامل صرافی بای بیت (Bybit)، میگوید که ضعف در طراحی صرافی های ارز دیجیتال بالفطره است و نباید مردم را متعجب کند.
بن ژو پس از انتشار اخبار مربوط به هک صرافی کوکوین (KuCoin)، مصاحبهای با وبسایت کوین تلگراف داشت و در آن صرافی های ارز دیجیتال را به عنوان یک نقطه ضعف واحد معرفی کرد. صرافیهای رمز ارزی، برنامههای اینترنتی متمرکز بوده و به همین دلیل مانند سایر وبسایتهایی که در اینترنت فعالیت دارند، نسبت به حملات سایبری آسیبپذیر هستند. امروزه سرمایه گذاران بیشتری میخواهند محافظت از داراییهای خود را به صرافیها واگذار کنند، بنابراین اهمیت جنبه امنیتی این پلتفرمهای معاملاتی هر روز بیشتر و بیشتر میشود.
آقای ژو میگوید که اکثر صرافیها و شبکههای ذخیره سازی، داراییهای دیجیتال مشتریان خود را در کیف پول گرم (hot wallets) نگهداری میکنند. این نوع والت اگر به خوبی محافظت نشود، احتمال سرقت از آن افزایش مییابد. آقای ژو معتقد است که یک سیستم والت سرد (cold wallet) امنتر خواهد بود؛ چراکه کیف پولهای گرم به اینترنت متصل بوده و در نتیجه در معرض حمله هکرها قرار دارند. کیف پولهای سرد به اینترنت متصل نیستند و امنتر به شمار میآیند، اما بر خلاف کیف پولهای گرم، امکان برداشت آنی حجم بالایی از دارایی را فراهم نمیکنند.
ضعف های طراحی صرافی های ارز دیجیتال را میتوان تا حدودی برطرف کرد
بر اساس گفتههای آقای ژو، تامین امنیت باید یکی از اولویتهای اصلی هر صرافی باشد، علی الخصوص صرافیهایی که به صورت آنلاین فعالیت میکنند. برای مقابله با خطر هکرها نیز هر صرافی باید از چند لایه امنیتی مختلف استفاده و نقاط آسیبپذیر را هم تقویت کند. هر سیستم امنیتی باید در تمامی نقاط قابل دسترسی توانایی محافظت از دادهها را داشته باشد. این یعنی دادههای کاربران در زمان ثبت نام، ورود، خرید و فروش ارز دیجیتال و یا هر نوع تعامل دیگری با صرافی محافظت شود. ژو در ادامه افزود:
میتوانیم این کار را با استفاده از بهترین روشهای مدیریت چرخه عمر برنامهها (ALM)، استخدام مشاوران امنیتی زیرک و معتبر برای انجام تست نفوذپذیری و هم چنین گذاشتن جایزه برای افرادی که بتوانند هر نوع ضعف امنیتی در سیستم را پیدا کنند، انجام داد.
برای پی بردن و برطرفسازی ضعف طراحی صرافی های ارز دیجیتال آقای ژو توصیه کرده از طریق شرکتهای معتبر تستهای امنیتی انجام شود، پروسههای مدیریتی سختگیرانهتر باشند و پیاده سازی یک سیستم بدون نیاز به اعتماد (zero-trust architecture) مد نظر قرار گیرد. در یک سیستم بدون نیاز به اعتماد هر کسی قصد داشته باشد از خدمات صرافی استفاده کند، ابتدا باید توسط سیستم تایید شود. بدین ترتیب از وقوع هر نوع رخنه امنیتی داخلی یا خارجی جلوگیری خواهد شد. آقای ژو میگوید چندین شرکت مختلف راهحلهای امنیتی برای صرافیها ارائه میکنند، ولی نباید فراموش کرد که صرافیها میتوانند چنین راهحلهایی را به صورت بومی توسعه دهند. او به پلتفرم خود یعنی بای بیت اشاره کرده که مبالغ قابل توجهی را صرف توسعه و بهبود راه حل و پروتکلهای امنیتیاش کرده است. پلتفرم بای بیت اکنون از یک سیستم کیف پول سرد چند امضایی (multi-signature) بهره میبرد تا امنیت داراییهای کاربران تامین شود.
زمانی که بحث ضعف طراحی صرافی های ارز دیجیتال پیش میآید، میتوان گفت بای بیت از جمله شرکتهایی است که بیشترین تلاش را برای برطرف کردن آن انجام داده است. این شرکت تاکنون چندین سناریوی آزمایشی حمله را اجرا کرده و چند بار هم برای پیدا کردن رخنه در سیستم امنیتی خود جایزه تعیین کرده است. ژو در این باره گفته:
حتی در زمان برداشت دارایی نیز ما هر درخواست را پس از عبور از حداقل سه لایه امنیتی پردازش میکنیم. نگهداری ارز دیجیتال در کیف پول سرد با توجه سختگیرانهترین مقرارت انجام میشود که شامل تامین امنیت مکان فیزیکی، سیستم امنیتی، تکنیکهای رمزنگاری، احراز هویت هر اقدام، نظارت و حسابرسی است.
همانطور که دیروز در وبسایت اکسچینو مگ گزارش شد، 150 میلیون دلار ارز دیجیتال در هک صرافی کوکوین به سرقت رفته است. همین اتفاق باعث شده تا بار دیگر امنیت صرافیها به یک موضوع داغ تبدیل شود.
منبع: cointelegraph
نظرات کاربران (0 نظر)