پلتفرمهای رمزارزی در نمایشگاه صنعت مالی؛ هزینه تامین امنیت در ایران گران تمام میشود
پلتفرمهای رمزارزی حاضر در شانزدهیم نمایشگاه صنعت مالی (بورس، بانک و بیمه) معتقدند با بزرگتر شدن بازار ارزهای دیجیتال در ایران اهمیت امنیت به طور فزایندهای افزایش پیدا کرده و این در حالی است که هزینه تامین امنیت در ایران به نسبت پلتفرمهای مشابه خارجی گرانتر تمام میشود.
رشد بازار ارزهای دیجیتال در ایران و در سال ۱۴۰۲ به گونهای بود که گفته میشود ارزش معاملات پلتفرمهای رمزارزی در این سال به یک چهارم بورس رسیده است. البته آمارهای رسمی از بروز ۸ حادثه امنیت سایبری نشت داده در این حوزه حکایت میکند و به این ترتیب با بزرگتر شدن بازار، پلتفرمها به اهداف جذابتری برای هک و سواستفاده تبدیل شدهاند که همین موضوع اهمیت رعایت نکات امنیتی و باگبانتی را دوچندان میکند.
پیروی از دستورالعملها و استانداردهای امنیتی به عنوان یکی از روشهای کاهش خطرات امنیتی مطرح است. امیر کهور زاده، مدیرمحصول بلاکچین نوبیتکس در این رابطه معتقد است: در دنیا برای بررسیهای امنیتی یک پلتفرم، حسابرسهای امنیتی وجود دارند که به صورت دورهای یا پروژهای چکها و استانداردهای امنیتی را بررسی میکنند. در کریپتو این استانداردها به صورت خیلی دقیقی تعریف نشدهاست. با این حال در سال ۲۰۱۴ استانداردی تحت عنوان cryptocurrency security standard (CCSS) تعریف شد که شامل سه مرحله مختلف میشود و برای بررسی امنیتی پلتفرمها استفاده میشود.
به گفته کهوری زاده: از نظر نگهداشت داراییها هم استانداردهایی تعریف شده است. متاسفانه در ایران حسابرس اختصاصی برای این موارد نداریم. به همین دلیل یک پلتفرم رمزارزی یا یک صرافی باید این استانداردها را خودش تعریف و از اجرای درست آنها اطمینان حاصل کند.
هرچند تامین امنیت دادهها امروزه تنها به پلتفرمها محدود نمیشود و بخش قابل توجهی از بازار به برون سپاری موارد حساسی مانند احراز هویت رفته است. سجاد باقرپور، مدیرعامل یوآیدی میگوید: یکی از مهمترین مشتریان هدف ما صرافیهای رمزارزی هستند. ذخیرهسازی دادههای پلتفرمها هم در سمت یوایدی و هم سمت پلتفرمها انجام میشود. البته اطلاعات حساس (ویدیوی سلفی و عکس ثبت احوال) در سمت خودمان ذخیره میشود.
پلتفرمهای رمزارزی از چه استانداردهای امنیتی استفاده میکنند؟
پریناز عباسپور سرپرست پشتیبانی اوامپی فینکس در مورد استانداردهای امنیتی این پلتفرم گفت: استانداردهایی که توسط تیم امنیت اوامپی فینکس دنبال میشوند شامل CIS نسخه ۸ در شبکه داخلی و عملیاتی سازمان، WSTG نسخه ۴ برای تستهای امنیت نرمافزار و قابلیتهای جدید، MITRE attack برای تستهای شبیهسازی حملات، فرآیندهای آموزش و آگاهسازی کاربران با استفاده از مانورهای امنیتی و استاندارد CCSS میشود. استاندارد CCSS و هفت لایه امنیتی روی وبسایت اوامپی فینکس برای مشاهده کاربران در دسترس است.
به گفته او: دارایی کاربران به صورت ذخیرهسازی سرد انجام میشود و تصدیق و نظارت روی تک به تک تراکنشها با هدف جلوگیری از برداشتهای غیرمجاز از سیستم، به صورت دستی انجام میشود. برای کشف کلاهبرداریها هم مغایرتگیری دورهای انجام میشود.
مدیرمحصول بلاکچین نوبیتکس هم با اشاره به اهمیت بالای موضوع امنیت میگوید: در نوبیتکس به موضوع امنیت اولویت بالایی میدهیم و به همین دلیل در برخی موارد عرضه محصولات را حتی با تاخیر انجام دادهایم. در استاندارد CCSS مواردی مانند استفاده از کیفپولهای چند امضایی (multi signature یا Multi-Party Computation) ، کیفپولهای سرد و رمزنگاری کلیدها اجرا میشود. البته باتوجه به الزام پلیس فتا، با یک نسبت مشخص، ما همواره باید اندوختهای را در کیفپولهای سرد ذخیره کنیم.
باقرپور در مورد هزینههای رعایت موارد امنیتی گفت: هزینههای امنیتی جزو اصلیترین هزینههای یوآیدی به حساب میآید. نوع رمزنگاری پایگاه داده و ابزارهای محافظت از دادهها به دلیل حساسیت بالای دادههای کاربران شامل چکهای سفت و سختی میشود. به همین منظور محافظت از دادههای به صورت سختافزاری و همچنین رویههای کاری و رمزنگاری انجام میشود.
امنیت دارایی و مشکلات تحریمی
کارشناسان نگهداری دارایی در پلتفرمهای رمزارزی را توصیه نمیکنند. باتوجه به حوادث سایبری و فاجعههایی مانند کریپتولند در کنار افزایش فشارهای نظارتی، ریسک نگهداشت دارایی در صرافیهای رمزارزی افزایش پیدا کرده است.
با این حال کاربران برای معاملات همچنان مجبور به نگهداشت دارایی خود در پلتفرمها هستند و همواره نگرانیهایی در مورد نحوه ذخیرهسازی توسط پلتفرمها وجود دارد. از طرفی فروپاشی صرافی FTX که بی اعتمادی کاربران را به دنبال داشت، ارائه اثبات ذخیره توسط پلتفرمهای خارجی برای بازگرداندن اعتماد کاربران آغاز شد اما این روش در ایران عرضه نشد و دلیل آن ریسک شناسایی و مسدودی آدرسها به دلیل تحریمها اعلام میشد.
امیر کهوری زاده، مدیر محصول بلاکچین نوبیتکس از عرضه اثبات اندوخته (ذخیره) برای اتریوم در هفته آینده میگوید. به گفته او: استانداردهایی که در دنیا برای اثبات اندوخته مورد استفاده قرار میگیرد، مناسب فضای فعلی ایران و نوبیتکس نیستند چراکه این استانداردها با افشای عمومی آدرسها اجرا میشوند.
کهوری زاده اثبات اندوخته را به دو بخش اصلی اثبات بدهی (proof of liability) و اثبات اندوخته (proof of solvency) تقسیم میکند و میگوید: در ایران و به دلیل حریم خصوصی کاربران ما نمیتوانیم از استانداردهای جهانی استفاده کنیم. به همین دلیل از یک سال پیش در «نوبیتکس لبز» استاندارد جدید را تعریف کنیم که بدون ارائه عمومی آدرسها و بدون اعلام میزان ذخایر، اثبات اندوخته را ارائه دهد.
عباسپور هم در رابطه با مدیریت امن داراییهای دیجیتال در کنار شفافیت ذخایر و بدهیها گفت: تمام سرویسهای اوامپی فینکس که شامل اطلاعات هویتی و مالی کاربران میشود در سرورهای داخل کشور میزبانی میشود که باعث میشود از بلوکه شدن دارایی یا مشکلات مشابه به دلیل تحریمهای مالی از بین برود.
مواجه اولیه کاربران با پلتفرمهای رمزاری در پروسه احراز هویت خلاصه میشود. جایی که دادههای حساس هویتی کاربران بارگزاری میشود. به گفته مدیرعامل یوآیدی: نوع Liveness Detection (تشخیص زنده بودن چهره) در یوآیدی به صورت passive و بدون نیاز به فعالیت خاصی مانند خواندن متن یا فعالیت خاصی از سوی کاربر است. به همین دلیل تجربه کاربری در این فرآیند بهتر و نرخ تبدیل در بخش احراز هویت را افزایش میدهد. استفاده از این روش به دلیل مشخص نبودن المانهای سنجش Liveness باعث افزایش امنیت میشود.
همچنین به گفته او: در سمت صرافیهای رمزارزی موضوع حسابهای اجارهای و فیشینگ بسیار جدی است و به زودی محصولاتی در همین زمینه و مبنتی بر احراز هویت برای کنترل مشکل حسابهای اجارهای و فیشینگ معرفی میکنیم.
باگبانتی و تستهای امنیتی
با افزایش قابل توجه نشت دادههای کاربران از پلتفرمهای دولتی و خصوص در سال گذشته، باگبانتی به عنوان یک روش موثر اما بکار گرفته نشده دوباره مطرح شد. پلتفرمهای رمزارزی هم با از این قاعده مستثنا نیستند و با افزایش حجم بازار به اهداف جذابتری برای هکرها تبدیل شدهاند.
نوبیتکس یکی از پلتفرمهایی است که بخش باگبانتی خود را راهاندازی کردهاست. کهوری زاده در مورد این بخش میگوید: در باگبانتی برای Web3 یا موردی که بتواند به امنیت آدرسها خدشه وارد کنید برنخوردیم و در آینده گزارشهایی را در این زمینه خواهیم داشت. البته بسیاری از موارد مطرح شده در استاندارد CCSS در نوبیتکس در حال اجرا است و به زودی این استاندارد دریافت خواهد شد.
همچنین او در مورد تستهای امنیتی گفت: در برخی موارد هم نیاز بوده حسابرسهای شخص سوم (داخلی یا خارجی) کدها را بررسی کنند و حتی در برخی موارد که با اپنسورس کردن کدها امنیت افزایش پیدا میکرده، این کار را انجام دادهایم که این مورد در proof of solvency انجام شده است.
البته به نظر میرسد بخش باگبانتی اوامپی فینکس هم در حال راهاندازی است. به گفته عباسپور، اوامپی فینکس در همکاری با راورو (پلتفرم باگبانتی) به زودی لندینگ باگبانتی را راهاندازی میکند. همچنین به گفته او: تستهای امنیتی هم توسط تیم داخل سازمان در کنار تیمهای خارج از سازمان انجام میشود و از تستهای خودکار، دستی و موردی هم استفاده میکنیم و با شرکتهای مطرح فعال در حوزه امنیت کشور برای انجام تستهای امنیتی و بررسی کدها به صورت دو بار در سال همکاری میکنیم.