۷ راهکار برای دفاع از رمزارز در مقابل حملات خشونت‌آمیز

۷ روش برای محافظت از خود در برابر حملات خشونت‌آمیز کریپتو (بدون اسلحه)

در سال ۲۰۰۹، وب‌کمدی xkcd یک استریپ منتشر کرد که یکی از ساده‌ترین و در عین حال ترسناک‌ترین مفاهیم در حوزه امنیت سایبری را توضیح می‌داد: «حمله با آچار ۵ دلاری». در این کمد، یک آدمک توضیح می‌دهد که چطور می‌توان از رمزنگاری پیشرفته عبور کرد—نه با کد یا نیروی خام، بلکه با تهدید شخصی با یک آچار ۵ دلاری تا رمز عبور را تحویل دهد.

متأسفانه، «حمله با آچار ۵ دلاری» دیگر یک شوخی نیست. حملات به مراتب بدتری در دنیای واقعی با فراوانی نگران‌کننده‌ای رخ می‌دهند. مجرمان دیگر وقت خود را صرف هک کلیدهای خصوصی یا به‌دست آوردن عبارات بازیابی نمی‌کنند؛ آن‌ها به سادگی درِ خانه را می‌کوبند، دارندگان رمزارز را ربوده و با خشونت از آن‌ها درخواست دسترسی به کیف‌پول‌هایشان می‌کنند.

آخرین مورد چند روز پیش در اوگاندا اتفاق افتاد، زمانی که «فستو ایوائیبی»، بنیان‌گذار Mitroplus Labs، گزارش شد که در نزدیکی منزلش ربوده و با اسلحه مجبور به انتقال رمزارز به ارزش حدود نیم میلیون دلار شد. در فرانسه، سلسله‌ای از آدم‌ربایی‌ها و تلاش‌های ناموفق برای ربودن افراد باعث نگرانی جامعه کریپتو شده است. پدر یکی از کارآفرینان رمزارزی اوایل این ماه در پاریس ربوده شد و برای فشار به پرداخت باج ۵–۷ میلیون یورویی رمزارز، انگشتش قطع شد. پس از دو روز درگیری، او نجات یافت و پنج مظنون دستگیر شدند. در حادثه‌ای دیگر، دختر باردار یک مدیرعامل رمزارزی و فرزندش در تلاش برای آدم‌ربایی در روز روشن در پاریس هدف قرار گرفتند که با دخالت عابران دفع شد. این یکی از شش حمله‌ای بود که از ژانویه تاکنون در آنجا رخ داده است.

در ایالات متحده، سه نوجوان در نوامبر مردی را پس از برگزاری یک کنفرانس رمزارزی در لاس‌وگاس ربوده و او را تا ۶۰ مایل آن‌طرف‌تر در بیابان موهاوی بردند و برای دسترسی به رمزارزهایش درخواست کردند. آن‌ها پس از سرقت ۴ میلیون دلار دارایی دیجیتال، او را رها کردند. دو نفر از مظنونان که هر دو ۱۶ ساله از فلوریدا بودند، اخیراً دستگیر شده و اکنون با چندین اتهام جنایی از جمله آدم‌ربایی و سرقت روبه‌رو هستند.

با رسیدن بیت کوین به سقف‌های تاریخی در روزهای اخیر، هدف روی پشت شما بزرگ‌تر از همیشه است. پس وقتی ضعیف‌ترین حلقه امنیتی شما خودتان باشید، چه می‌توانید بکنید؟ کلاس رو به رشدی از ابزارها، تنظیمات کیف‌پول و پروتکل‌های فیزیکی برای دفاع در برابر اجبار دنیای واقعی در حال ظهور است. در این‌جا چگونگی شروع به فکر کردن مانند یک میلیاردر کریپتویی بسیار محتاط آورده شده است.

۱. کیف‌پول‌های مولتی‌سیگنچر
این کیف‌پول‌ها برای تأیید تراکنش به چند کلید خصوصی نیاز دارند. یک تنظیم رایج ۲ از ۳ است: برای جابجایی دارایی‌ها به دو کلید نیاز است اما سه کلید وجود دارد. اگر مهاجمی به فقط یک کلید دسترسی پیدا کند—مثلاً با تهدید شما—نمی‌تواند موجودی را خالی کند. ابزارهایی مانند Nunchuk و Casa به کاربران امکان می‌دهند کلیدها را در مکان‌های مختلف تقسیم کنند (یکی در خانه، یکی در گاوصندوق بانک و یکی با وکیل)، که سرقت فوری را غیرممکن می‌کند. معایب احتمالی: مهاجمان ممکن است یکی از دارندگان کلیدهای دیگر را مجبور کنند تا تراکنش را تأیید کند.

۲. اشتراک‌گذاری مخفی شامیربه (Shamir’s Secret Sharing) و نگهبانان Vault12
تعداد زیادی از کیف‌پول‌ها مانند Trezor Model T از الگوریتم «اشتراک‌گذاری مخفی شامیربه» پشتیبانی می‌کنند که عبارت بازیابی را به چند قطعه تقسیم می‌کند. می‌توانید این قطعات را به افراد یا مکان‌های مورد اعتماد بسپارید و فقط با به‌دست آوردن تعداد مشخصی از قطعات (مثلاً ۳ از ۵) کلید بازیابی شود. گزینه دیگر Vault12 است که به شما امکان می‌دهد «نگهبانانی» مانند اعضای خانواده، وکلا یا شرکای تجاری تعیین کنید که فقط در مواقع ضروری به بازیابی صندوق کمک می‌کنند. معایب احتمالی: امنیت این روش به مقاومت در برابر اجبار افراد دارای قطعات وابسته است.

۳. پین اضطراری (Duress PIN)
خیلی از کیف‌پول‌ها، مثل Blockstream Jade، از «پین اضطراری» پشتیبانی می‌کنند. با وارد کردن یک پین واقعی، به کیف‌پول اصلی دسترسی پیدا می‌کنید. با وارد کردن پین دیگری در شرایط اجبار، کیف‌پولی جعلی با موجودی اندک باز می‌شود و حتی با یک پین مخفی می‌توانید دستگاه را پاک کنید. انکار قابل‌باور می‌تواند تاکتیک مؤثری باشد اگر در صحبت کردن سریع مهارت دارید. معایب احتمالی: اگر مهاجم از فعالیت آنلاین شما مطلع باشد، ممکن است بداند که در کیف‌پول جعلی تنها چند صد دلار موجود است، اما شما میلیون‌ها دلار دارید.

۴. ابزارهای حفظ حریم خصوصی
بهترین راه برای اجتناب از حمله این است که اصلاً هدف به نظر نرسید. ابزارهای حفظ حریم خصوصی می‌توانند ردپای شما را در بلاک‌چین کم کنند. رمزارز مەونرو (XMR) با استفاده از آدرس‌های پنهان و امضای گروهی تراکنش‌ها را تقریباً غیرقابل رهگیری می‌کند. کیف‌پول‌های بیت کوین مثل Wasabi از CoinJoin برای مخلوط‌کردن کوین‌ها و مبهم‌سازی منشاء آن‌ها بهره می‌برند. معایب احتمالی: چندان سخت نیست که تشخیص دهید چه کسی در دنیای بزرگ رمزارز بازیگر است، حتی اگر سعی در پنهان کردن ثروتش داشته باشد.

۵. پاک‌سازی از راه دور (Remote Wipe)
تعدادی از کیف‌پول‌های سخت‌افزاری مانند Trezor و Ledger این قابلیت را ارائه می‌دهند که با وارد کردن پین ویژه‌ای فوراً دستگاه را غیرفعال (brick) کنند. کیف‌پول Samourai که زمانی به خاطر امنیت فوق‌العاده‌اش مشهور بود (تا اینکه فدرال آن را تعطیل و بنیان‌گذارانش را به اتهام پول‌شویی دستگیر کرد)، از پاک‌سازی با ارسال پیامک پشتیبانی می‌کرد. اگر بدانید چه کار می‌کنید، می‌توانید نرم‌افزار Samourai را از مخازن اینترنتی پیدا کرده و این قابلیت را فعال کنید. معایب احتمالی: غیرفعال کردن کیف‌پول در حالی که اسلحه‌ای به روتان‌چک است پرخطر است و پیامک‌ها ممکن است رهگیری شوند.

۶. ذخیره سرد با کیف‌پول‌های سخت‌افزاری
یک میلیاردر کریپتویی ژنرال معمولی دارایی‌هایش را در یک یا چند کیف‌پول سخت‌افزاری نگه می‌دارد. اگر آن‌ها را در منزل نگه دارد و نه بانک، می‌تواند آن‌ها را به خوبی پنهان کند. دستگاه‌هایی مثل COLDCARD و Keystone Pro با استفاده از کد QR یا کارت SD تراکنش‌ها را آفلاین امضا می‌کنند. حتی اگر مهاجم به لپ‌تاپ شما دسترسی پیدا کند، همچنان به دستگاه فیزیکی، پین و (معمولاً) یک امضاکننده دیگر نیاز دارد. معایب احتمالی: دزد بسیار مصمم و خشونت‌‌طلب احتمالاً راه‌هایی برای وادار کردن شما به دسترسی به کیف‌پول سخت‌افزاری دارد.

۷. دکمه‌های اضطراری پوشیدنی
دکمه‌های اضطراری کوچک و پوشیدنی از همیشه با شما هستند. این دستگاه‌ها برای افراد خیلی متمول و محتاط ساخته شده‌اند، نه لزوماً جامعه رمزارزی. دستگاه‌هایی مثل Silent Beacon می‌توانند با هر شماره‌ای تماس بگیرند و موقعیت مکانی شما را به تماس‌های از پیش تعیین‌شده ارسال کنند. همچنین امکان ارتباط دوطرفه را فراهم می‌کنند تا قربانی بتواند با نجات‌دهندگان احتمالی صحبت کند. معایب احتمالی: استفاده از دکمه هشدار ممکن است به دزد نشان دهد که شما چیزی ارزشمند برای محافظت دارید.