روایتی تلخ از افرادی که عبارت بازیابی کیف پول خود را تقدیم کلاهبردارها کردند
نگهداری از عبارت بازیابی کیف پول ارز دیجیتال (که عموما ۱۲ یا ۲۴ کلمه انگلیسی است) یکی از مهمترین اقدامات برای حفظ امنیت ما در حوزه بلاکچین است. متاسفانه اخیرا تعداد کلاهبرداریهایی که در آن به ترفندی، عبارت بازیابی کیف پول کاربر به دست فرد کلاهبردار میافتد افزایش یافته است. متاسفانه این مورد در گروه تلگرام میهن بلاکچین نیز دیده میشود و به همین دلیل اگر دارایی خود را در کیف پول شخصی خود نگهداری میکنید، پیشنهاد میکنیم این مقاله را تا انتها بخوانید تا درگیر این کلاهبرداریها نشوید.
این یک داستان واقعی است! تمام بیتکوینهایی را که سالها قبل خریده بودم و حالا صدها هزار دلار ارزش داشتند، فقط به خاطر سهلانگاری در مورد «عبارات بازیابی» از دست دادم. این خلاصه ماجرای هک شدن کیف پول یکی از کاربران ارزهای دیجیتال است که اتفاقات شبیه به آن را بارها شنیدهام. اما هر بار حسابی تعجب میکنم؛ چراکه مهمترین نکته برای حفظ داراییهای دیجیتال، همین ۱۲ کلمه هستند. با توجه به اهمیت عدم اشتراکگذاری عبارت بازیابی (Seed Phrase) و حفظ امنیت داراییهای کاربران، تصمیم گرفتم در این مطلب از میهن بلاکچین به این موضوع بپردازم که چرا نباید عبارت بازیابی را در اختیار دیگران بگذاریم.
نکته کلیدی
عبارت بازیابی کیف پول را هرگز به هیچ شخص یا شرکتی ندهید و در هیچ برنامه یا سایتی وارد نکنید.
برای بازیابی تراکنشهای اشتباه، نباید به هیچ شکلی عبارت بازیابی را در اختیار فرد دیگری قرار دهید یا آن را در سایت یا برنامهای وارد کنید.
چرا نباید عبارت بازیابی را به دیگران بدهیم؟
هر کسی که پا به دنیای کریپتو میگذارد به یک کیف پول ارز دیجیتال نیاز دارد. هنگام راهاندازی کیفپولها، مجموعهای از کلمات (معمولا ۱۲ یا ۲۴ کلمه) تولید میشود که به آنها کلمات یادآور (Mnemonic Phrase) یا عبارات بازیابی (Seed Phrase) گفته میشود. سید فریزها به نوعی جایگزین کلید خصوصی هستند و هدف از تولیدشان این است که اگر کاربر به هر دلیلی دسترسی به کیف پول را از دست داد، بتواند با استفاده از آنها ولت را بازیابی کند. اما مسئله دقیقا از همین جا شروع میشود که برخی از کاربران در صورت مواجهه با مشکل، عبارت بازیابی خود را در اختیار دیگران قرار میدهند. هر کسی که سید فریز شما را داشته باشد، میتواند کیف پول را روی دستگاه خودش بازیابی کند؛ این یعنی دسترسی فرد به دارایی و سرقت موجودی. حالا برای اینکه ببینیم چطور این اتفاق میافتد به چند نمونه از تجربیات کاربران ارزهای دیجیتال اشاره میکنم.
بازیابی تراکنش به شبکه اشتباه
در حوزه بلاکچین تراکنش به شبکه اشتباه یکی از رایجترین اشتباهات افراد است. این اشتباه زمانی رخ میدهد که در زمان انتقال یک دارایی از کیف پول خود به صرافیهای متمرکز یا برعکس، شبکه انتقال را یکسان انتخاب نمیکنیم و دارایی در کیف پول ما نمایش داده نمیشود و باید آن را بازیابی کنیم. برای حل این مشکل ویدیوی آموزشی زیر را مشاهده کنید:
با وجود این، پیامهایی مشابه متن زیر را از سمت کاربران میهن بلاکچین به وفور دریافت میکنیم:
«طبق معمول تراکنشی را انجام دادم؛ اما متوجه شدم توکن در کیف پولم نمایش داده نمیشود. در فضای مجازی با فردی آشنا شدم که ادعا میکرد میتواند مشکل را حل کند؛ اما فقط به عبارت بازیابی ولت نیاز دارد. متاسفانه نتیجه اعتماد من به این فرد برابر بود با از دست دادن تمام داراییام.
اگر بخواهم پیام اصلی این مقاله را در چند جمله خلاصه کنم، خواهم گفت:
عبارت بازیابی کیف پول خود را در اختیار کسی قرار ندهید و آن را در هیچ سایتی وارد نکنید. برای بازیابی تراکنش اشتباه، عبارت بازیابی را در سایتی وارد نکنید. به طور کلی شما در بیشتر مواقع فقط برای وارد کیف پول قدیمی خود به کیف پول جدید، به وارد کردن عبارت بازیابی نیاز دارید و در سایر موارد به هیچ عنوان عبارت بازیابی را جایی وارد نکنید!
وارد کردن عبارت بازیابی در سایتها
این اتفاق معمولا در تلگرام برای کاربران میهن بلاکچین رخ داده است که متاسفانه اتفاق رایجی است. در زیر یک نمونه را مشاهده میکنید:
معمولا از کیف پولهای مختلفی استفاده میکنم و مدتها بود که سراغ یکی از آنها نرفته بودم. مقدار زیادی ارز دیجیتال داخل این ولت داشتم. رمز عبور را فراموش کرده بودم و هر چه تلاش کردم، موفق نشدم. به ذهنم رسید که از یک گروه تلگرامی سوال بپرسم. یکی از کاربران در چت خصوصی پیام داد که میتوانم مشکل شما را حل کنم؛ فقط کافی است ۱۲ عبارت بازیابی را در لینک ارسالی وارد کنید. تردید داشتم که این کار درستی است یا نه؛ اما این فرد با صحبتهایش من را قانع کرد که این کلمات در اختیار هیچ فردی قرار نمیگیرد و فقط به دست خود من وارد سایت میشود. در نهایت با خیال خام عبارت بازیابی را در سایت وارد کردم؛ غافل از اینکه اطلاعاتم را وارد سایت فیشینگ میکنم.
ارسال ایمیل با عنوان پشتیبانی ولت
روش فیشینگ، یکی از قدیمیترین روشهای کلاهبرداری در اینترنت است و محدود به حوزه بلاکچین نیست؛ روش کار بسیار ساده است. در ادامه یکی از مواردی که مشابه آن برای کاربران ما نیز رخ داده را مشاهده میکنید:
ایمیلی برای من ارسال شده بود که ظاهرا از طرف پشتیبانی کیف پول بود و ادعا میکرد به خاطر یک نقص امنیتی داراییهای کاربران در خطر است. به همین علت درخواست شده بود عبارت بازیابی را برای آنها ارسال کنم. از آنجایی که همه چیز درست بود، عبارت بازیابی را ارسال کردم؛ اما بعدا متوجه شدم که سازندههای برنامه، هرگز عبارت بازیابی کاربران را درخواست نمیکنند.
شاید فکر کنید همه کاربران به اهمیت حفظ و نگهداری عبارت بازیابی واقف هستند؛ اما در محافل کریپتویی آنلاین با کاربران بسیاری مواجه میشویم که به خاطر سهلانگاری در مورد عبارت بازیابی دچار ضررهای مالی قابلتوجهی شدهاند. از این رو باید بازهم تاکید کنم که اگر داراییهایتان را دوست دارید، به هیچوجه عبارت بازیابی کیف پول را در اختیار دیگران نگذارید.
نکات مهم در حفظ عبارات بازیابی
در مورد کلمات بازیابی کیف پول حتما به موارد زیر توجه داشته باشید:
- هنگام ساخت کیف پول و تولید عبارات بازیابی در محیط امنی باشید. قطعا یک مکان عمومی با وجود افراد مختلف و دوربینهای مدار بسته مکان مناسبی نیست.
- برای یادداشت عبارت بازیابی از روشهای دیجیتال مانند برنامه یادداشت تلفن همراه و چت تلگرام استفاده نکنید. حتما سید فریزها را به صورت فیزیکی در چندین نسخه بنویسید و در جای مطمئنی که از گزند آب و آتش و سارق در امان باشد، نگهداری کنید.
- این را بدانید که هر فرد یا شرکتی که عبارت بازیابی ولت شما را درخواست کرد، فکر پلیدی در سر دارد.
- اگر فکر میکنید با وارد کردن عبارت بازیابی کیف پول در یک سایت یا برنامه هیچ اتفاقی نمیافتد، باید بگویم که هکرها برای ارزهای دیجیتال شما نقشه کشیدهاند و منتظر چنین فرصتی هستند.
راهکار جدید کیف پولها برای چالشهای عبارت بازیابی
با توجه به چالشهای مربوط به عبارت بازیابی و امنیت دارایی کاربر، توسعهدهندگان کیف پولها هم به فکر چاره افتادند و کیف پولهای قرارداد هوشمند مبتنی بر انتزاع حساب (Account Abstraction) را ایجاد کردند. در این نوع ولتها از حسگرهای بیومتریک مانند اثر انگشت و تشخیص چهره استفاده میشود و دیگر نیازی به تولید رمزهای طولانی نیست. به طور مثال، تراست ولت اخیرا یک کیف پول قرارداد هوشمند مبتنی بر انتزاع حساب، به نام سوئیفت (Swift) را در فاز بتا در دسترس عموم قرار داده است تا بتواند از این طریق مسائل مرتبط با مدیریت عبارات بازیابی را حل کند.
جمعبندی
عبارات بازیابی، کلمات یادآور یا سید فریز مجموعهای از کلمات هستند که هنگام ساخت کیف پول جدید تولید میشوند. این کلمات ضامن امنیت دارایی شما هستند و اهمیت آنها را باید اینطور خلاصه کنم؛ اولا اگر به هر دلیلی دسترسی شما به ولت قطع شد، تنها راه نجات دار و ندارتان همین ۱۲ کلمه هستند. ثانیا اگر عبارات بازیابی را به هر دلیلی در اختیار دیگران بگذارید، باید منتظر عواقب ناگواری باشید. عبارت بازیابی فقط متعلق به شما است. امیدوارم شما درگیر این مشکل نشده باشید؛ اما اگر اتفاق مشابهی را از دوستان و آشنایان خود شنیدهاید، آنها را در بخش نظرات به اشتراک بگذارید و از این طریق به آگاهی دیگران کمک کنید.
سوالات متداول (FAQ)
چرا نباید عبارات بازیابی را در اختیار دیگران بگذاریم؟
هر کسی که کلمات بازیابی شما را در اختیار داشته باشد، میتواند به داراییهایتان دسترسی پیدا کند و این یعنی احتمال سرقت و از دست رفتن سرمایه.
آیا میتوانیم عبارات بازیابی را در سایت یا اپلیکیشنها وارد کنیم؟
خیر، عبارتهای بازیابی را به هیچ عنوان نباید در سایت یا برنامهها وارد کرد.