روایتی تلخ از افرادی که عبارت بازیابی کیف پول خود را تقدیم کلاهبردارها کردند

نگهداری از عبارت بازیابی کیف پول ارز دیجیتال (که عموما ۱۲ یا ۲۴ کلمه انگلیسی است) یکی از مهم‌ترین اقدامات برای حفظ امنیت ما در حوزه بلاکچین است. متاسفانه اخیرا تعداد کلاهبرداری‌هایی که در آن به ترفندی، عبارت بازیابی کیف پول کاربر به دست فرد کلاهبردار می‌افتد افزایش یافته است. متاسفانه این مورد در گروه تلگرام میهن بلاکچین نیز دیده می‌شود و به همین دلیل اگر دارایی خود را در کیف پول شخصی خود نگهداری می‌کنید، پیشنهاد می‌کنیم این مقاله را تا انتها بخوانید تا درگیر این کلاهبرداری‌ها نشوید.

این یک داستان واقعی است! تمام بیت‌کوین‌هایی را که سال‌ها قبل خریده بودم و حالا صدها هزار دلار ارزش داشتند، فقط به خاطر سهل‌انگاری در مورد «عبارات بازیابی» از دست دادم. این خلاصه ماجرای هک شدن کیف پول یکی از کاربران ارزهای دیجیتال است که اتفاقات شبیه به آن را بارها شنیده‌ام. اما هر بار حسابی تعجب می‌کنم؛ چراکه مهم‌ترین نکته برای حفظ دارایی‌های دیجیتال، همین ۱۲ کلمه هستند. با توجه به اهمیت عدم اشتراک‌گذاری عبارت بازیابی (Seed Phrase) و حفظ امنیت دارایی‌های کاربران، تصمیم گرفتم در این مطلب از میهن بلاکچین به این موضوع بپردازم که چرا نباید عبارت بازیابی را در اختیار دیگران بگذاریم.

نکته کلیدی عبارت بازیابی کیف پول را هرگز به هیچ شخص یا شرکتی ندهید و در هیچ برنامه یا سایتی وارد نکنید.   برای بازیابی تراکنش‌های اشتباه، نباید به هیچ شکلی عبارت بازیابی را در اختیار فرد دیگری قرار دهید یا آن را در سایت یا برنامه‌ای وارد کنید.

چرا نباید عبارت بازیابی را به دیگران بدهیم؟

هر کسی که پا به دنیای کریپتو می‌گذارد به یک کیف پول ارز دیجیتال نیاز دارد. هنگام راه‌اندازی کیف‌پول‌ها، مجموعه‌ای از کلمات (معمولا ۱۲ یا ۲۴ کلمه) تولید می‌شود که به آن‌ها کلمات یادآور (Mnemonic Phrase) یا عبارات بازیابی (Seed Phrase) گفته می‌شود. سید فریز‌ها به نوعی جایگزین کلید خصوصی هستند و هدف از تولیدشان این است که اگر کاربر به هر دلیلی دسترسی به کیف پول را از دست داد، بتواند با استفاده از آن‌ها ولت را بازیابی کند. اما مسئله دقیقا از همین جا شروع می‌شود که برخی از کاربران در صورت مواجهه با مشکل، عبارت بازیابی خود را در اختیار دیگران قرار می‌دهند. هر کسی که سید فریز شما را داشته باشد، می‌تواند کیف پول را روی دستگاه خودش بازیابی کند؛ این یعنی دسترسی فرد به دارایی و سرقت موجودی. حالا برای اینکه ببینیم چطور این اتفاق می‌افتد به چند نمونه از تجربیات کاربران ارزهای دیجیتال اشاره می‌کنم.

بازیابی تراکنش به شبکه اشتباه

در حوزه بلاکچین تراکنش به شبکه اشتباه یکی از رایج‌ترین اشتباهات افراد است. این اشتباه زمانی رخ می‌دهد که در زمان انتقال یک دارایی از کیف پول خود به صرافی‌های متمرکز یا برعکس، شبکه انتقال را یکسان انتخاب نمی‌کنیم و دارایی در کیف پول ما نمایش داده نمی‌شود و باید آن را بازیابی کنیم. برای حل این مشکل ویدیوی آموزشی زیر را مشاهده کنید:

با وجود این، پیام‌هایی مشابه متن زیر را از سمت کاربران میهن بلاکچین به وفور دریافت می‌کنیم:

«طبق معمول تراکنشی را انجام دادم؛ اما متوجه شدم توکن در کیف پولم نمایش داده نمی‌شود. در فضای مجازی با فردی آشنا شدم که ادعا می‌کرد می‌تواند مشکل را حل کند؛ اما فقط به عبارت بازیابی ولت نیاز دارد. متاسفانه نتیجه اعتماد من به این فرد برابر بود با از دست دادن تمام دارایی‌‌ام.

اگر بخواهم پیام اصلی این مقاله را در چند جمله خلاصه کنم، خواهم گفت:

عبارت بازیابی کیف پول خود را در اختیار کسی قرار ندهید و آن را در هیچ سایتی وارد نکنید. برای بازیابی تراکنش اشتباه، عبارت بازیابی را در سایتی وارد نکنید. به طور کلی شما در بیشتر مواقع فقط برای وارد کیف پول قدیمی خود به کیف پول جدید، به وارد کردن عبارت بازیابی نیاز دارید و در سایر موارد به هیچ عنوان عبارت بازیابی را جایی وارد نکنید!

وارد کردن عبارت بازیابی در سایت‌ها

این اتفاق معمولا در تلگرام برای کاربران میهن بلاکچین رخ داده است که متاسفانه اتفاق رایجی است. در زیر یک نمونه را مشاهده می‌کنید:

معمولا از کیف پول‌های مختلفی استفاده می‌کنم و مدت‌ها بود که سراغ یکی از آن‌ها نرفته بودم. مقدار زیادی ارز دیجیتال داخل این ولت داشتم. رمز عبور را فراموش کرده بودم و هر چه تلاش کردم، موفق نشدم. به ذهنم رسید که از یک گروه تلگرامی سوال بپرسم. یکی از کاربران در چت خصوصی پیام داد که می‌توانم مشکل شما را حل کنم؛ فقط کافی است ۱۲ عبارت بازیابی را در لینک ارسالی وارد کنید. تردید داشتم که این کار درستی است یا نه؛ اما این فرد با صحبت‌هایش من را قانع کرد که این کلمات در اختیار هیچ فردی قرار نمی‌گیرد و فقط به دست خود من وارد سایت می‌شود. در نهایت با خیال خام عبارت بازیابی را در سایت وارد کردم؛ غافل از اینکه اطلاعاتم را وارد سایت فیشینگ می‌کنم.

ارسال ایمیل با عنوان پشتیبانی ولت

روش فیشینگ، یکی از قدیمی‌ترین روش‌های کلاهبرداری در اینترنت است و محدود به حوزه بلاکچین نیست؛ روش کار بسیار ساده است. در ادامه یکی از مواردی که مشابه آن برای کاربران ما نیز رخ داده را مشاهده می‌کنید:

ایمیلی برای من ارسال شده بود که ظاهرا از طرف پشتیبانی کیف پول بود و ادعا می‌کرد به خاطر یک نقص امنیتی دارایی‌های کاربران در خطر است. به همین علت درخواست شده بود عبارت بازیابی را برای آن‌ها ارسال کنم. از آنجایی که همه چیز درست بود، عبارت بازیابی را ارسال کردم؛ اما بعدا متوجه شدم که سازنده‌های برنامه، هرگز عبارت بازیابی کاربران را درخواست نمی‌کنند.

شاید فکر کنید همه کاربران به اهمیت حفظ و نگهداری عبارت بازیابی واقف هستند؛ اما در محافل کریپتویی آنلاین با کاربران بسیاری مواجه می‌شویم که به خاطر سهل‌انگاری در مورد عبارت بازیابی دچار ضررهای مالی قابل‌توجهی شده‌اند. از این رو باید بازهم تاکید کنم که اگر دارایی‌هایتان را دوست دارید، به هیچ‌وجه عبارت بازیابی کیف پول را در اختیار دیگران نگذارید.

نکات مهم در حفظ عبارات بازیابی

در مورد کلمات بازیابی کیف پول حتما به موارد زیر توجه داشته باشید:

• هنگام ساخت کیف پول و تولید عبارات بازیابی در محیط امنی باشید. قطعا یک مکان عمومی با وجود افراد مختلف و دوربین‌های مدار بسته مکان مناسبی نیست.
• برای یادداشت عبارت بازیابی از روش‌های دیجیتال مانند برنامه یادداشت تلفن همراه و چت تلگرام استفاده نکنید. حتما سید فریزها را به صورت فیزیکی در چندین نسخه بنویسید و در جای مطمئنی که از گزند آب و آتش و سارق در امان باشد، نگهداری کنید.
• این را بدانید که هر فرد یا شرکتی که عبارت بازیابی ولت شما را درخواست کرد، فکر پلیدی در سر دارد.
• اگر فکر می‌کنید با وارد کردن عبارت بازیابی کیف پول در یک سایت یا برنامه هیچ اتفاقی نمی‌افتد، باید بگویم که هکرها برای ارزهای دیجیتال شما نقشه کشیده‌اند و منتظر چنین فرصتی هستند.

راهکار جدید کیف پول‌ها برای چالش‌های عبارت بازیابی

با توجه به چالش‌های مربوط به عبارت بازیابی و امنیت دارایی کاربر، توسعه‌دهندگان کیف پول‌ها هم به فکر چاره افتادند و کیف پول‌های قرارداد هوشمند مبتنی بر انتزاع حساب (Account Abstraction) را ایجاد کردند. در این نوع ولت‌ها از حسگرهای بیومتریک مانند اثر انگشت و تشخیص چهره استفاده می‌شود و دیگر نیازی به تولید رمزهای طولانی نیست. به طور مثال، تراست ولت اخیرا یک کیف پول قرارداد هوشمند مبتنی بر انتزاع حساب، به نام سوئیفت (Swift) را در فاز بتا در دسترس عموم قرار داده است تا بتواند از این طریق مسائل مرتبط با مدیریت عبارات بازیابی را حل کند.

جمع‌بندی

عبارات بازیابی، کلمات یادآور یا سید فریز مجموعه‌ای از کلمات هستند که هنگام ساخت کیف پول جدید تولید می‌شوند. این کلمات ضامن امنیت دارایی شما هستند و اهمیت آن‌ها را باید این‌طور خلاصه کنم؛ اولا اگر به هر دلیلی دسترسی شما به ولت قطع شد، تنها راه نجات دار و ندارتان همین ۱۲ کلمه هستند. ثانیا اگر عبارات بازیابی را به هر دلیلی در اختیار دیگران بگذارید، باید منتظر عواقب ناگواری باشید. عبارت بازیابی فقط متعلق به شما است. امیدوارم شما درگیر این مشکل نشده باشید؛ اما اگر اتفاق مشابهی را از دوستان و آشنایان خود شنیده‌اید، آن‌ها را در بخش نظرات به اشتراک بگذارید و از این طریق به آگاهی دیگران کمک کنید.

سوالات متداول (FAQ)