هک صرافی بینگ ایکس: تلنگری برای معاملهگران بدون احراز هویت!
مقایسه هک ۴۷۳ میلیون دلاری صرافی FTX و هک ۵۲ میلیون دلاری صرافی بینگ ایکس، مدرکی محکم بر این ادعا است که چرا نباید در صرافیهای متمرکز، بدون احراز هویت، فعالیت کرد!
بگذارید از اینجا شروع کنیم که شما برای انجام معاملات ارزهای دیجیتال به طور معمول دو گزینه پیشرو دارید:
- استفاده از صرافیهای متمرکز (CEX)، مانند بایننس، کوینبیس، کراکن و … که تحت نظارت شرکتهایی خاص قرار دارند و برای فعالیت در آنها نیاز خواهید داشت تا هویت خود را با ارائه مدارکی مانند کارت ملی یا پاسپورت، مدارک محل سکونت، عکس سلفی و … تایید کنند. این فرآیند به عنوان KYC (مشتری خود را بشناس یا Know Your Customer) شناخته میشود. مدارک مورد نیاز بسته به صرافی و کشور ممکن است متفاوت باشد و فرآیند کلی هم به دلیل رعایت مقررات ضد پولشویی (AML) و قوانین مالیاتی در بیشتر صرافیهای بزرگ و معتبر اجرا میشود تا از استفاده نادرست از حسابها جلوگیری شود.
- صرافیهای غیرمتمرکز (DEX)، مانند یونیسواپ، سوشیسواپ و پنکیکسواپ که بر اساس قراردادهای هوشمند کار میکنند گزینه دوم شما برای انجام معاملات کریپتویی هستن که به کاربر اجازه میدهند بدون نیاز به واسطه معامله کنند. شما برای معامله در این صرافیها تنها به آدرس کیف پول دیجیتالی نیاز خواهید داشت. این صرافیها برای افرادی مناسب هستند که میخواهند حریم خصوصی بیشتری داشته باشند و بدون احراز هویت معامله کنند!
مقایسه مختصر صرافی متمرکز (CEX) با صرافی غیرمتمرکز (DEX)
صرافیهای متمرکز (CEX) و صرافیهای غیرمتمرکز (DEX) دو نوع پلتفرم هستند که به کاربران امکان خرید و فروش ارزهای دیجیتال را میدهند. اما این دو نوع صرافی از جهات مختلفی با هم تفاوت دارند که در ادامه به زبان ساده به آنها میپردازیم:
- نحوه کنترل و مالکیت: صرافیهای متمرکز تحت مدیریت شرکت یا نهادی خاص عمل میکنند؛ شرکت ناظر بر پلتفرم و داراییهای کاربران کنترل کامل دارد و مسئولیت امنیت و نگهداری داراییها هم بر عهده اوست. شما باید داراییهایتان را به این صرافی بسپارید و به آن اعتماد کنید. در صرافیهای غیرمتمرکز، هیچ نهاد مرکزی وجود ندارد. همه تراکنشها از طریق قراردادهای هوشمند و به صورت خودکار روی بلاکچین انجام میشود؛ کاربران کنترل کامل داراییهای خود را دارند و نیازی به اعتماد به نهادی واسطه نیست.
- هویت و احراز هویت: اکثر صرافیهای متمرکز برای فعالیت نیاز به احراز هویت کاربران دارند. کاربران باید اطلاعات شخصی خود مانند شناسنامه یا پاسپورت ارائه دهند تا بتوانند به طور کامل از خدمات صرافی استفاده کنند. در صرافیهای غیرمتمرکز، معمولاً نیازی به احراز هویت نیست و شما میتوانید به صورت ناشناس تراکنشهای خود را انجام دهید.
- امنیت: از آنجا که داراییهای کاربران روی سرورهای متمرکز ذخیره میشود، صرافیهای متمرکز هدف حملات هکری هستند. اگر صرافی متمرکزی هک شود، احتمال از دست رفتن داراییها وجود دارد. در صرافیهای غیرمتمرکز، چون داراییها در کیف پولهای شخصی کاربران باقی میماند و فقط در زمان معامله به اشتراک گذاشته میشود، خطر سرقت کمتری وجود دارد. با این حال، قراردادهای هوشمند نیز ممکن است هک شوند یا باگ داشته باشند.
- کارمزد و هزینهها: صرافیهای متمرکز اغلب کارمزدهای مشخص و گاهی بالا برای تراکنشها دارند، این کارمزدها معمولاً شامل هزینههای شبکه و هزینههای خود صرافی میشود. کارمزد در صرافیهای غیرمتمرکز به هزینههای شبکه بلاکچین محدود میشود و معمولاً کمتر از CEX است. البته در شبکههایی مثل اتریوم، ممکن است این کارمزدها به دلیل ترافیک شبکه افزایش پیدا کند.
- سرعت و تجربه کاربری: صرافیهای متمرکز به دلیل استفاده از زیرساختهای قویتر و متمرکز، معمولاً تراکنشها را سریعتر پردازش میکنند و رابط کاربری سادهتری برای کاربران دارند. صرافیهای غیرمتمرکز ممکن است کندتر باشند، مخصوصاً اگر شبکه بلاکچین شلوغ باشد. همچنین رابط کاربری آنها ممکن است برای مبتدیان پیچیدهتر باشد.
- تعداد ارزهای قابل معامله: صرافیهای متمرکز معمولاً تعداد زیادی از ارزهای دیجیتال را پشتیبانی میکنند، اما ممکن است همه توکنهای جدید و نوظهور در آنها موجود نباشد. صرافیهای غیرمتمرکز به دلیل ماهیت باز و غیرمتمرکزشان معمولاً از طیف وسیعی از توکنها پشتیبانی میکنند، حتی توکنهای کمتر شناخته شده! که البته همین موضوع میتواند بستری را برای کلاهبرداریهای قرارداد هوشمند ایجاد کند!
- نقدینگی: صرافیهای متمرکز معمولاً نقدینگی بیشتری دارند چون تعداد کاربران بالاتری در این صرافیها فعال هستند، بنابراین خرید و فروش داراییها در آنها راحتتر و با سرعت بیشتری انجام میشود. در صرافیهای غیرمتمرکز، به دلیل اعتماد نکردن کاربران یا پیچیدگی کار با این صرافیها، ممکن است نقدینگی کمتر باشد و در نتیجه، اجرای سفارشات خرید و فروش با تأخیر بیشتری مواجه شود.
هر کدام از این صرافیها مزایا و معایب خود را دارند و انتخاب بین آنها بستگی به نیازها و اولویتهای شما دارد، اما معمولا اینطور میگویند که چنانچه به امنیت بیشتر، کنترل کامل بر داراییها و ناشناس بودن اهمیت میدهید، صرافیهای غیرمتمرکز (DEX) گزینه مناسبتری برایتان محسوب میشوند و چنانچه به دنبال سرعت بیشتر، نقدینگی بالا و کاربری سادهتری هستید، بهتر است به سراغ صرافیهای متمرکز (CEX) بروید!
اما …
اینجا به «اما»ی بسیار مهم و بزرگی میرسیم! دلایل متعددی وجود دارند که باعث میشود کاربران ایرانی به جای استفاده از صرافیهای متمرکز ایرانی به سمت صرافیهای متمرکز خارجی، آن هم از نوع بدون احراز هویتشان بروند!
چرا از نوع بدون احراز هویت؟ به این دلیل که کاربران ایرانی به دلیل تحریمهای بینالمللی نمیتوانند در صرافیهای متمرکز خارجی احراز هویت کنند؛ بیشتر صرافیهای بزرگ به خاطر قوانین بینالمللی و مقررات ضد پولشویی مجبور هستند از کاربران خود مدارک شناسایی بگیرند، اما به دلیل اینکه ایران تحت تحریمهای اقتصادی قرار دارد، این صرافیها اجازه ندارند به کاربران ایرانی خدمات ارائه کنند. در نتیجه، کاربران ایرانی نمیتوانند مدارک شناسایی خود را در این صرافیها ثبت کنند و در صورت تشخیص ایرانی بودن، حسابشان ممکن است مسدود شود!
حال برسیم به اینکه اساسا چرا کاربران ایرانی، به جای صرافیهای متمرکز ایرانی، از صرافیهای متمرکز خارجی، آن هم از نوع بدون احراز هویتشان استفاده میکنند:
- کارمزدهای پایینتر: بسیاری از صرافیهای خارجی کارمزدهای معاملاتی کمتری نسبت به صرافیهای ایرانی دارند؛ این تفاوت در کارمزد میتواند به خصوص برای کاربرانی که معاملات مکرر و با حجم بالا انجام میدهند، جذاب باشد.
- تنوع بیشتر در ارزهای دیجیتال: صرافیهای خارجی معمولاً پشتیبانی گستردهتری از ارزهای دیجیتال مختلف دارند. صرافیهای ایرانی معمولاً تنها تعداد محدودی از ارزها را پشتیبانی میکنند، اما صرافیهای خارجی امکان معامله طیف وسیعی از رمزارزها را فراهم میکنند.
- دسترسی به بازارهای جهانی: صرافیهای خارجی به کاربران ایرانی این امکان را میدهند که به بازارهای جهانی با حجم بالاتر و نقدینگی بیشتر دسترسی داشته باشند؛ این ویژگی به خصوص برای کسانی که به دنبال انجام معاملات بزرگ هستند، اهمیت دارد.
- حریم خصوصی و امنیت: برخی از کاربران به دلیل نگرانیهای مربوط به حفظ حریم خصوصی و امنیت دادههای شخصی، ترجیح میدهند از صرافیهایی استفاده کنند که احراز هویت در آنها اجباری نیست! این موضوع به خصوص برای کسانی که نگران دسترسی دولت یا نهادهای دیگر به اطلاعات هویتیشان هستند، اهمیت دارد.
- اعتماد نداشتن به صرافیهای داخلی: برخی از کاربران به دلیل تجربیات نامطلوب مانند پاسخگویی نامناسب پشتیبانی یا اعتماد نداشتن به صرافیهای داخلی، به دنبال گزینههای جایگزین خارجی هستند.
اکثر قریب به اتفاق صرافیهای خارجی، حتی آن صرافیهایی که احراز هویت را هنوز اجباری نکردهاند، ایران را در لیست کشورهای ممنوعه قرار دادهاند و به کاربران ایرانی سرویسی ارائه نمیدهد، به این معنی که حتی اگر موفق شوید در هرکدام از این صرافیها حساب کاربری باز کنید، اگر صرافی متوجه شود شما ایرانی هستید، کاملا این حق را دارد که اکانت شما را بلوکه کند.
پس فعالیت کاربران ایرانی در صرافیهای متمرکز ارز دیجیتال خارجی با ریسکهای بالایی همراه است و میتواند مشکلات فراوانی برای آنها در پی داشته باشد. بارها در بررسی تمام صرافیهای خارجی که احراز هویت را اجباری نکردهاند، گوشزد کردیم که با وجود تمامی امکاناتی که صرافیهای متمرکز بدون نیاز به احراز هویت در اختیار کاربران ایرانی قرار میدهند، اغلب در قسمت قرارداد کاربران (Customer Agreement) یا شرایط توافقنامه (Agreement Conditions) خود بیان کردهاند که صرافی میتواند تمامی شرایط فعلی را هر زمان و به صلاحدید خود تغییر دهد و کاربران باید بهصورت مداوم این قسمت را مطالعه کنند!
همچنین در قسمت ممنوعیتهای استفاده (Prohibition of Use) پلتفرم بیشتر این صرافیها بیان شده که کاربر با امضای قرارداد، تضمین میکند که در فهرست تحریمهای تجاری یا اقتصادی، مانند فهرست تحریمهای شورای امنیت سازمان ملل که توسط OFAC تنظیم میشود، قرار ندارد و جزء فهرست افراد تحریمشده وزارت خزانه داری ایالات متحده (U.S. Commerce Department)، هم قرار نمیگیرد.
تقریبا تمام این صرافیها هم اعلام کردهاند که بنابر صلاحدید خود و با توجه به قوانین قضایی میتوانند خدمات خود را در برخی کشورها محدود یا ممنوع کنند!
خب با در نظر گرفتن تمامی این موارد، به نظر شما، آیا واقعا استفاده از صرافیهای متمرکز بدون احراز هویت، کار عاقلانهای است؟ آیا همچنان معتقدید که این صرافیها از صرافیهای متمرکز ایرانی یا صرافیهای غیرمتمرکز گزینه بهتری محسوب میشوند؟ بیایید با هم هک اخیر ۵۲ میلیون دلار صرافی بینگ ایکس را با هک ۴۷۳ میلیون دلاری صرافی FTX مقایسه کنیم!
مقایسه هک صرافی بینگ ایکس و هک صرافی FTX
هک ۴۷۳ میلیون دلاری صرافی FTX یکی از بزرگترین اتفاقات در صنعت ارزهای دیجیتال بود که بعد از اعلام ورشکستگی این صرافی رخ داد. در نوامبر ۲۰۲۲، پس از اینکه FTX با مشکلات مالی گستردهای مواجه شد و مدیرعاملش، سم بنکمن-فرید (Sam Bankman-Fried)، هم استعفا داد، این صرافی بهطور رسمی اعلام ورشکستگی کرد.
تقریباً بلافاصله پس از این اعلامیه، با اینکه داراییهای صرافی در اختیار دادگاه و مدیران جدید قرار گرفته بود، رخنه امنیتی عظیمی رخ داد. هکر یا گروهی از هکرها توانستند به سیستمهای FTX نفوذ کنند و تقریباً ۴۷۳ میلیون دلار از داراییهای این صرافی را به سرقت ببرند. این موضوع باعث نگرانی کاربران و مدیران ورشکستگی شد، چرا که همان داراییهای باقیمانده صرافی که میتوانستند برای بازپرداخت به طلبکاران و کاربران استفاده شوند هم به سرقت رفتند. پس از این هک، بسیاری از کارشناسان و مقامات صنعت ارزهای دیجیتال نسبت به خطرات امنیتی در صرافیها هشدار دادند. مسئولان صرافی تلاش کردند تا مسیر داراییهای سرقتشده را ردیابی کنند و داراییهای مسروقه را بازگردانند!
از همان ابتدا بهنظر میرسید که یک میلیون مشتری مالباختهی FTX دیگر هرگز نمیتوانند سرمایه ازدسترفته خود را دوباره بهطور کامل به دست آورند و در بهترین حالت بخشی از آنها به مشتریان بازگردانده شود، اما پس از آن خبری منتشر شد که FTX قصد دارد سرمایههای ازدسترفتهی مشتریانش را بازگرداند و وکیل افتیایکس پیشبینی کرده که بودجه کافی برای پرداخت تمام مطالبات قانونی مشتریان و بستانکاران را خواهند داشت.
بازپرداخت داراییهای از دسترفته کاربران صرافی FTX هنوز در جریان است. بر اساس آخرین اطلاعات، صرافی FTX و تیم مسئول پیگیری بازپرداختها در حال بررسی و بازیابی داراییهای کاربران هستند. بخشی از داراییها از طریق فرایندهای قانونی و تصفیه در اختیار دارندگان طلب قرار گرفته، اما هنوز توافقات نهایی برای بازپرداخت کامل داراییها انجام نشده است. این فرایند ممکن است چندین مرحله طول بکشد، چرا که باید داراییهای قابلبازیابی شناسایی و به صورت قانونی توزیع شوند!
اجبار به احراز هویت (KYC) در صرافی FTX برای کاربران مزایای زیادی برای پس گرفتن داراییهای به سرقترفته به همراه داشت. اصلیترین مزیت این بود که با احراز هویت، صرافی میتوانست اطلاعات دقیقی از کاربران داشته باشد و هویت افراد واقعی که ادعای بازپسگیری داراییها را دارند تأیید کند. این امر از سوءاستفاده افراد غیرمجاز و از ارائه ادعاهای جعلی برای داراییها جلوگیری کرد. علاوه بر این، احراز هویت به نهادهای قانونی و قضایی کمک میکند تا روند ردیابی و بازیابی داراییهای سرقتشده را سادهتر انجام داده و به همکاری با صرافیها سرعت ببخشند. در صرافیهای متمرکز تنها در صورتی که هویت کاربر ثبت شده باشد، اثبات مالکیت داراییها امکانپذیر است و شانس بازگشت آنها وجود دارد.
در نهایت، احراز هویت میتواند به جلوگیری از پولشویی و فعالیتهای غیرقانونی کمک کند که باعث میشود مقامات دولتی و قانونی بهتر بتوانند در مسائل مرتبط با سرقتها و کلاهبرداریهای دیجیتال مداخله کنند.
در اواخر سپتامبر ۲۰۲۴ هم صرافی ارز دیجیتال بینگ ایکس (BingX) مورد حمله سایبری قرار گرفت و طی آن حدود ۵۲ میلیون دلار از داراییهای کاربران به سرقت رفت. هکرها از طریق آسیبپذیری امنیتی در سیستم این صرافی، توانستند به کیفپولهای کاربرانی که در پلتفرم بینگ ایکس فعالیت میکردند، دسترسی پیدا کنند. این هک شامل برداشت غیرمجاز از حسابها و انتقال وجوه به کیفپولهای نامشخص بود.
کارشناسان یکی از دلایل این هک را با استفاده نکردن از فرایند احراز هویت (KYC) در صرافی بینگ ایکس مرتبط میدانند. در اینگونه موارد، کاربرانی که بدون احراز هویت به انجام معاملات میپردازند، بیشتر در معرض خطر هک قرار دارند و احراز هویت نکردن کاربران این امکان را در اختیار هکرها قرار میدهد که بهراحتی وجوه سرقتشده را از طریق پلتفرمهای دیگر شستشو دهند. این هک نگرانیهای بسیاری را درباره امنیت صرافیها و اهمیت احراز هویت برای حفاظت از داراییهای کاربران برانگیخت!
***
چندی پیش صرافی متمرکز کوینکس برای همکاری با میهن بلاکچین ابراز تمایل کرد و طبیعتا ما هم برای اطمینان از عملکرد معتبر این صرافی، سوالاتی را برای این صرافی ارسال کردیم تا در صورت تمایل به همکاری برای شفافسازی عملکردشان، به آنها پاسخ دهند، برخی از سوالات میهن بلاکچین از صرافی کوینکس عبارتاند از:
✔️ چرا با وجود محدودیتهای بینالمللی و تحریمها، صرافی Coinex به کاربران ایرانی خدمات ارائه میدهد؟
✔️ منتقدین شما معتقدند که این کار ریسک کاربران ایرانی را بالاتر میبرد و بهتر است کاربران ایرانی یا بدون احراز هویت فعالیت کنند یا کلا فعالیت نکنند، توضیح شما چیست؟
✔️ چه تدابیری برای حفظ امنیت و حقوق کاربران ایرانی اندیشیدهاید؟
✔️ چرا صرافی Coinex از کاربران ایرانی درخواست احراز هویت نمیکند؟
✔️ چه تدابیری برای جلوگیری از سوءاستفاده از حسابهای کاربری اتخاذ شده است؟
✔️ در شرایطی که قوانین بینالمللی تغییر کنند، چه تضمینی برای کاربران ایرانی وجود دارد که حسابهایشان مسدود نشود؟
✔️ آیا صرافی Coinex برنامهای برای اطلاعرسانی به موقع به کاربران در صورت تغییر شرایط دارد؟
✔️ در صورت بروز مشکل، چگونه کاربران ایرانی میتوانند از حقوق خود دفاع کنند؟
✔️ آیا تا کنون درخواستهایی از مقامات دولتی برای محدود کردن یا بستن حسابهای کاربران دریافت کردهاید؟ چگونه با این درخواستها برخورد کردهاید؟
پس از ارسال فایل سوالات، میهن بلاکچین تا همین امروز، هیچ پاسخی از سوی صرافی کوینکس دریافت نکرده است!
آنچه مسلم است احراز هویت (KYC – Know Your Customer) در صرافیهای متمرکز نقش بسیار مهمی در تأمین امنیت کاربران و حفظ سلامت بازار دارد. با این حال، بسیاری از کاربران به دلایل مختلف از صرافیهایی استفاده میکنند که احراز هویت در آنها اجباری نیست. اما آیا این کار واقعاً ایمن است؟
احراز هویت در صرافیهای متمرکز، کمک میکند تا صرافیها مطمئن شوند که کاربران هویت واقعی دارند و از فعالیتهای مجرمانه مانند پولشویی جلوگیری میشود. با احراز هویت، صرافیها میتوانند امنیت بیشتری برای حساب کاربران فراهم کنند و از دسترسی غیرمجاز به حسابها جلوگیری کنند. در صورت بروز مشکلات امنیتی یا هک، کاربران صرافیهای دارای KYC امکان بیشتری برای بازیابی داراییهای خود دارند، چرا که هویت آنها به ثبت رسیده است.
ریسکهای استفاده از صرافیهای متمرکز بدون احراز هویت
در صرافیهای متمرکزی که احراز هویت در آنها اجباری نیست، در صورت بروز مشکلات امنیتی یا از دست دادن داراییها، کاربران به دلیل ناشناس بودن، نمیتوانند (یا خیلی به سختی میتوانند) به صورت قانونی پیگیری کنند. در این صرافیها، به دلیل نبود احراز هویت، کلاهبرداران و مجرمان راحتتر فعالیت دارند و صرافیهای بدون احراز هویت معمولاً کمتر تحت نظارت قانونی قرار دارند؛ این امر آنها را بیشتر در معرض حملات سایبری و هک قرار میدهد.
جمعبندی
هک ۵۲ میلیون دلاری صرافی بینگ ایکس، زنگ خطری است برای تمام معاملهگران ارزهای دیجیتال که بدون احراز هویت در صرافیهای متمرکز فعالیت میکنند. اگرچه بسیاری از کاربران به دلیل حریم خصوصی و اجتناب از تحریمها به سمت صرافیهای متمرکز بدون احراز هویت روی میآورند، اما آیا این واقعاً انتخابی امن است؟
مقایسه هک بینگ ایکس و هک عظیم ۴۷۳ میلیون دلاری FTX نشان میدهد که عدم احراز هویت (KYC) چقدر میتواند داراییهای کاربران را در معرض خطر قرار دهد. صرافیهای بدون احراز هویت، هرچند از نظر حریم خصوصی جذاب هستند، اما در برابر حملات هکری بسیار آسیبپذیرترند و در صورت بروز مشکل، امکان پیگیری و بازیابی داراییها بسیار محدود خواهد بود.
اگرچه بسیاری از کاربران ایرانی به دلیل تحریمها و محدودیتهای بینالمللی، به استفاده از صرافیهای متمرکز بدون احراز هویت روی آوردهاند، اما این کار ریسکهای بسیاری را به همراه دارد. صرافیهای بدون احراز هویت به راحتی میتوانند مورد هدف هکرها قرار گیرند و در صورت بروز سرقت، شانس بازیابی داراییها برای کاربران بسیار کم است.
حال قضاوت با شما! با تمام این احوال، آیا باز هم حاضرید به جای صرافیهای غیرمتمرکز (دکسها) یا حتی صرافیهای متمرکز داخلی، باز هم از صرافیهای متمرکزی که احراز هویت در آنها اجباری نیست، استفاده کنید؟ آیا واقعا ارزش دارد برای حفظ ناشناس بودن، امنیت سرمایه خود را به خطر بیندازیم؟ در نهایت، باز هم تاکید میکنیم که بهعنوان قانونی همیشگی، به این نکته توجه کنید که صرافیهای ارز دیجیتال به هیچ عنوان گزینه مناسبی برای نگهداری بلندمدت رمزارزها نیستند!