امنیت اتریوم و جلوگیری از کلاهبرداری
با رشد علاقه به ارزهای رمزنگاریشده، یادگیری بهترین روشهای استفاده از آنها ضروری است. استفاده از ارزهای رمزنگاریشده میتواند هیجانانگیز و جذاب باشد، ولی در عین حال ریسکهای خاص خود را دارد. اگر این چند نکتهی کوچک را در نظر داشته باشید، میتوانید این ریسکها را کاهش دهید.
مبانی امنیت شبکه
از گذرواژههای قوی استفاده کنید
بیش از 80% هک شدن حسابهای کاربری ناشی از گذرواژههای ضعیف یا بهسرقترفته است(opens in a new tab). یک ترکیب طولانی از حروف، اعداد و نمادها میتواند حسابهای شما را ایمن نگه دارد.
یک اشتباه متداول این است که افراد ترکیبی از دو یا سه کلمهی متداول و مرتبط را از لغتنامه انتخاب میکنند. چنین گذرواژههایی ناامن هستند ،چرا که در مقابل یک تکنیک سادهی هک به نام حملهی لغتنامهای(opens in a new tab) آسیبپذیر هستند.
نمونهی یک گذرواژهی ضعیف: CuteFluffyKittens!
نمونهی یک گذرواژهی قوی: ymv\*azu.EAC8eyp8umf
یک اشتباه متداول دیگر، استفاده از رمزی است که میتوان آن را حدس زد یا با مهندسی اجتماعی(opens in a new tab) پیدا کرد. استفاده از نام خانوادگی مادرتان پیش از ازدواج، نام فرزندان یا حیوانات خانگیتان و یا تاریخ تولد در گذرواژهْ ایمن نیست و ریسک هک شدن حساب شما را افزایش میدهد.
ویژگیهای گذرواژهی خوب:
- تا جایی که برنامهی گذرواژهساز شما یا فرمی که مشغول پُر کردن آن هستید اجازه میدهد، گذرواژهتان را طولانی بنویسید
- از ترکیب حروف بزرگ، کوچک، اعداد و نمادها استفاده کنید
- از اطلاعات شخصی، مانند نام خانوادگی، در گذرواژهی خود استفاده نکنید
- از کلمات متداول لغتنامه استفاده نکنید
اطلاعات بیشتر دربارهی ساخت گذرواژهی قدرتمند(opens in a new tab)
از گذرواژههای منحصربهفرد برای همهچیز استفاده کنید
اگر گذرواژهای در یک نشت اطلاعاتی افشا شده باشد، حتی اگر قوی هم باشد چندان نمیتواند امنیت را برایتان فراهم آورد. با وبسایت Have I Been Pwned(opens in a new tab) میتوانید بررسی کنید که آيا حسابهای شما در فهرست حسابهای لو رفته در نشتهای اطلاعاتی بودهاند یا خیر. اگر چنین باشد، باید فوراً رمز خود را عوض کنید. استفاده از گذرواژههای منحصربهفرد برای همهی حسابهایتان میتواند ریسک دسترسی هکرها به همهی حسابهایتان در صورت افشای یکی از گذرواژهها را کاهش دهد.
از یک برنامهی مدیریت گذرواژه استفاده کنید
بهخاطرسپاری گذرواژههای قوی و منحصربهفرد برای هر حساب راهکار ایدهآلی نیست. یک برنامهی مدیریت گذرواژه، محلی امن و رمزنگاریشده برای تمام گذرواژهها در اختیارتان قرار میدهد که میتوانید از طریق یک گذرواژهی مادر به آن دسترسی داشته باشید. بهعلاوه، این برنامهها هنگام ثبتنام در یک سرویس جدید به شما گذرواژههای قوی پیشنهاد میدهند تا لازم نباشد خودتان گذرواژه بسازید. بسیاری از برنامههای مدیریت گذرواژه همچنین به شما خواهند گفت که اطلاعاتتان در نشت اطلاعاتی درز کردهاست یا خیر. در این صورت میتوانید پیش از هرگونه حملهی خرابکارانه گذرواژههایتان را عوض کنید.
یک برنامهی مدیریت گذرواژه را امتحان کنید:
- Bitwarden(opens in a new tab)
- KeePass(opens in a new tab)
- 1Password(opens in a new tab)
- و یا دیگر نرم افزارهای مدیریت پسورد توصیه شده(opens in a new tab) را بررسی کنید
از احراز هویت دو عاملی استفاده کنید
برای اثبات این که شما واقعاً خودتان هستید، آزمونهای منحصربهفرد مختلفی برای احراز هویت وجود دارد. به اینها عامل میگویند و سه عامل اصلی عبارتند از:
- چیزی که میدانید (مانند یک گذرواژه یا سؤال امنیتی)
- چیزی که هستید (مانند اثر انگشت یا اسکنر قرنیه/صورت)
- چیزی که دارید (مانند یک کلید امنیتی یا برنامههای احراز هویت روی تلفن همراه)
استفاده از احراز هویت دو عاملی (2FA) یک عامل امنیتی اضافه برای حسابهای آنلاین شما فراهم میآورد تا دانستن گذرواژهی شما به تنهایی (چیزی که میدانید) برای دسترسی به حساب کافی نباشد. عامل دوم معمولاً یک کد 6 رقمی تصادفی است که به آن گذرواژهی یکبارمصرف زماندار (TOTP) میگویند و با یک برنامهی احراز هویت مثل Google Authenticator یا Authy میتوانید به آن دسترسی داشته باشید. اینها بهعنوان عامل «چیزی که دارید» عمل میکنند، چون هستهای که کد زماندار را میسازد روی دستگاه شما نگهداری میشود.
کلید امنیتی
برای کسانی که میخواهند احراز هویت دو عاملی را پیشرفتهتر انجام دهند، استفاده از کلید امنیتی پیشنهاد میشود. کلید امنیتی یک دستگاه احراز هویت سختافزاری است که همانند برنامههای احراز هویت کار میکند. استفاده از کلید امنیتی امنترین روش برای احراز هویت دو عاملی است. بسیاری از این کلیدها از استاندارد عامل دوم جهانی (U2F) FIDO استفاده میکنند. اطلاعات بیشتر دربارهی FIDO U2F(opens in a new tab).
دربارهی 2FA بیشتر تماشا کنید:
افزونههای مرورگر را پاک کنید
افزونههای مرورگر مثل افزونههای Chrome یا Firefox میتوانند قابلیتهای مفیدی به مرورگر اضافه کنند و تجربهی کاربری را بهبود بخشند، اما ریسکهایی هم دارند. بهطور پیشفرض، اکثر افزونههای مرورگرها برای «خواندن و تغییر دادههای سایت» دسترسی میخواهند که به آنها اجازه میدهد با دادههایتان تقریباً هر کاری بکنند. افزونههای Chrome معمولاً بهطور خودکار بهروزرسانی میشوند. در نتیجه، افزونهای که اکنون امن است، ممکن است پس از بهروزرسانی به یک افزونهی خرابکار تبدیل شود. اکثر افزونههای مرورگر قصد ندارند دادههای شما را بدزدند، اما باید بدانید که میتوانند این کار را بکنند.
با این کارها ایمن بمانید:
- افزونههای مرورگر را تنها از منابع مطمئن نصب کنید
- افزونههای مرورگر بیاستفاده را پاک کنید
- افزونههای Chrome را بهصورت محلی نصب کنید تا از بهروزرسانی خودکار جلوگیری کنید (پیشرفته)
اطلاعات بیشتر دربارهی ریسکهای افزونههای مرورگر(opens in a new tab)
مبانی امنیت ارزهای رمزنگاریشده
دانش خود را ارتقا دهید
یکی از مهمترین دلایلی که مردم در دنیای ارزهای رمزنگاریشده کلاه سرشان میرود، نبود دانش است. برای مثال اگر درک نکنید که شبکهی اتریوم غیرمتمرکز است و مال هیچکس نیست، بهسادگی قربانی کسی میشوید که خود را نمایندهی خدمات مشتریان معرفی میکند و به شما وعده میدهد اتر ازدسترفتهتان در صرافی را در ازای کلید خصوصیتان به شما برمیگرداند. بالا بردن دانش خود در مورد نحوهی کار اتریوم یک سرمایهگذاری ارزشمند است.
امنیت کیف پول
کلید خصوصیتان را اعلام نکنید
هیچگاه به هیچ دلیلی کلید خصوصیتان را بهاشتراک نگذارید!
کلید خصوصی کیف پول شما در مقام گذرواژهی کیف پول اتریوم شما عمل میکند. این تنها چیزی است که نمیگذارد افرادی که آدرس کیف پول شما را میدانند تمام داراییهای حسابتان را خالی کنند!
از کلید خصوصی/عبارت seed خود اسکرینشات نگیرید
با اسکرینشات گرفتن از عبارت seed یا کلید خصوصی، ریسک بارگزاری آنها روی فضای ابری و قرار گرفتن آنها در دسترس هکرها را میپذیرید. به دست آوردن کلید خصوصی از فضای ابری یک مسیر حملهی متداول برای هکرها است.
از کیف پول سختافزاری استفاده کنید
کیف پول سختافزاری یک حافظهی آفلاین برای کلید خصوصی است. آنها امن ترین روش برای نگهداری امن کلید خصوصی کیف پول شما به حساب می آیند: کلید خصوصی شما هرگز به اینترنت متصل نمیشود و کاملا بر روی دستگاه محلی شما ذخیره میشود.
نگهداری کلیدهای خصوصی بهصورت آفلاین به شدت ریسک هک شدن را پایین میآورد، حتی اگر هکر بتواند کنترل کامپیوتر شما را به دست آورد.
یک کیف پول سختافزاری را امتحان کنید:
پیش از ارسال تراکنش، صحت آن را دوباره بررسی کنید
فرستادن ارز رمزنگاریشده به آدرس کیف پول نادرست، اشتباهی رایج است. تراکنشی که روی اتریوم فرستاده شود غیرقابل بازگشت است. هیچ راهی برای بازگرداندن سرمایهتان ندارید، مگر اینکه دارندهی آن آدرس را بشناسید و بتوانید قانعش کنید که سرمایهی شما را بازگرداند.
همیشه مطمئن شوید آدرسی که میخواهید به آن وجه ارسال کنید، با آدرسی که در حال ارسال وجه به آن هستید دقیقاً تطابق داشته باشد. همچنین توصیه میشود هنگام ارتباط با قرارداد هوشمند، پیام تراکنش را پیش از امضا کردن بخوانید.
برای قرارداد هوشمند محدودیت خرج کردن وضع کنید
وقتی با قراردادهای هوشمند تعامل میکنید، اجازهی خرج کردن نامحدود را به آنها ندهید. خرج کردن نامحدود میتواند به قرارداد هوشمند امکان دهد تمام کیف پول شما را خالی کند. در عوض، بهاندازهای که برای تراکنش نیاز است، حد خرج کردن مشخص کنید.
بسیاری از کیف پولهای اتریوم برای حفاظت کردن از حسابها در مقابل خالی شدن، محافظت با وضع محدودیت را پیشنهاد میدهند.
چطور دست رسی یک قرارداد هوشمند را به دارایی های خود ممنوع کنیم
کلاهبرداریهای رایج
کلاهبرداران همیشه به دنبال راهی برای دزدیدن پول شما هستند. مقابله کامل با کلاهبرداران غیرممکن است، اما با آگاهی از عمده تکنیکهای مورد استفاده میتوان تلاش آنها را کماثر کرد. روشهای زیادی برای کلاهبرداری وجود دارد، اما آنها بهطور کلی الگوهای سطح بالای مشابهی را دنبال میکنند. در هر صورت، به یاد داشته باشید:
- همیشه محتاط باشید
- هیچکس نمیخواهد به شما اتریوم رایگان یا با تخفیف بدهد
- هیچکس به کلید خصوصی و اطلاعات شخصی شما نیاز ندارد
کلاهبرداری ارسال هدیه
یکی از شایعترین انواع کلاهبرداری مربوط به ارزهای رمزنگاریشده، کلاهبرداری ارسال هدیه است. این کلاهبرداری انواع مختلفی دارد، اما وعده کلی به این صورت است که اگر به آدرس کیف پول گفتهشده اتر بفرستید، دو برابر آن به شما برگردانده میشود. به همین دلیل، به کلاهبرداری 2 به 1 نیز معروف است.
این کلاهبرداریها معمولاً ایده «مدت زمان محدود برای مطالبه جایزه» را طرح میکنند تا افرادی را که قدرت تصمیمگیری ضعیفی دارند با تلقین حس اضطرار نابهجا تهییج کنند.
هک شبکههای اجتماعی
یک مورد معروف این نوع کلاهبرداری در ژوئیه 2020 اتفاق افتاد که حساب توییتر افراد مشهور و سازمانها هک شدند. هکر بهطور همزمان یک هدیه بیتکوینی را در شبکههای هکشده ارسال کرد. علیرغم اقدام سریع و حذف توییتهای فریبنده، هکرها توانستند 11 بیت کوین (معادل 500،000 دلار در سپتامبر 2021) را به جیب بزنند.
کلاهبرداری در قالب هدیهی افراد مشهور
کلاهبرداری در قالب هدیه از افراد مشهور یکی دیگر از انواع رایج کلاهبرداری هدیه است. کلاهبرداران یک مصاحبه ویدیویی ضبطشده یا سخنرانی در همایش با حضور یک فرد مشهور را در یوتوب بهصورت زنده پخش میکنند - جوری که به نظر برسد آن فرد مشهور یک مصاحبه ویدیویی زنده دارد که در آن هدیهای در قالب ارز رمزنگاریشده را تأیید میکند.
ویتالیک بوترین بیشتر اوقات در این کلاهبرداری مورد استفاده قرار میگیرد، اما بسیاری از افراد مطرح دیگر در حوزه ارزهای رمزنگاریشده نیز استفاده میشوند (مثال ایلان ماسک و چارلز هاسکینسون). دخیل کردن یک فرد بسیار مشهور میتواند به پخش زنده ویدیویی کلاهبرداران نوعی حس مشروعیت ببخشد (به نظر بودار میآید، اما پای ویتالیک هم وسط است، پس نباید مشکلی باشد!).
هدیهها همیشه کلاهبرداری هستند. اگر پولتان را به این حسابها بفرستید، آن را برای همیشه از دست خواهید داد.
کلاهبرداری پشتیبانی
ارز رمزنگاری شده یک فناوری نسبتاً نوپا است که خیلی وقتها درست فهمیده نمیشود. یکی از کلاهبرداریهای رایج که از این موضوع سوء استفاده میکند کلاهبرداری پشتیبانی است که در آن، کلاهبرداران خود را بهعنوان عامل پشتیبانی کیف پولها، صرافیها یا بلاکچینهای شناختهشده جا میزند.
اکثر بحث و گفتگوها درباره اتریوم روی Discord انجام میشود. کلاهبرداران پشتیبانی معمولاً افراد هدف خود را با جستجوی کسانی که در کانالهای عمومی Discord سؤالات مربوط به پشتیبانی مطرح میکنند پیدا میکنند، و سپس جهت ارائه پشتیبانی به آنها پیام خصوصی میفرستند. کلاهبرداران پشتیبانی با اعتمادسازی سعی میکنند شما را فریب دهند تا کلید خصوصیتان را افشا کنید یا پولتان را به کیف پول آنها بفرستید.
بهعنوان یک قانون کلی، کارکنان هرگز ار راههای خصوصی و غیررسمی با شما ارتباط برقرار نمیکنند. چند نکتهی ساده که در برخورد با کلاهبرداری پشتیبانی باید در ذهن داشت از این قرار است:
- هیچگاه کلید خصوصی، عبارت seed یا گذرواژهی خود را بهاشتراک نگذارید
- به هیچکس اجازهی دسترسی از راه دور به کامپیوترتان را ندهید
- هیچگاه خارج از کانالهای اختصاصی یک سازمان با آن ارتباط برقرار نکنید
کلاهبرداری توکن 'Eth2'
در آستانه ادغام، کلاهبرداران از سردرگمی در مورد عبارت "Eth2" استفاده کردند و سعی کردند کاربران را وادار کنند که ETH خود را در قبال "ETH2" بازخرید کنند. هیچ «ETH2» وجود ندارد، و هیچ توکن قانونی دیگری با The Merge معرفی نشد. ETH که قبل از The Merge مالک آن بودید، اکنون همان ETH است. نیازی به انجام هیچ گونه اقدام در رابطه با اتریوم شما برای محاسبه تغییر از اثبات کار به اثبات سهام وجود ندارد.
کلاهبرداران ممکن است به عنوان "پشتیبانی" ظاهر شوند و به شما می گویند که اگر ETH خود را واریز کنید، "ETH2" پس خواهید گرفت. پشتیبانی رسمی اتریوم وجود خارجی ندارد و هیچ توکن جدیدی در کار نیست. هرگز عبارت بذر کیف پول خود را با کسی به اشتراک نگذارید.
توجه: توکنها/تیکرهای مشتقی وجود دارند که ممکن است نشاندهنده اتر سهام گذاریشده (یعنی rETH از استخر Rocket و stETH از Lido و ETH2 از Coinbase) باشد، اما اینها چیزی نیستند که شما نیاز به «مهاجرت به آن» داشته باشید.
کلاهبرداری فیشینگ
کلاهبرداریهای فیشینگ روش در حال رواج دیگری بین کلاهبرداران است که سعی میکنند از طریق آن موجودی کیف پول شما را بدزدند.
برخی ایمیلهای فیشینگ از کاربران میخواهند روی لینکهایی کلیک کنند که آنها را به سایتهایی میبرند که از آنها میخواهد عبارت بذر را وارد کنند، گذرواژهشان را بازیابی کنند یا اتر بفرستند. برخی دیگر ممکن است از شما بخواهند ناآگاهانه بدافزاری را نصب کنید تا کامپیوترتان را آلوده کند و دسترسی به فایلهایتان را در اختیار کلاهبرداران قرار بدهد.
اگر ایمیلی از فرستندهای ناشناس دریافت کردید، به یاد داشته باشید:
- هیچگاه پیوند یا پیوست ارسالی از آدرسهای ایمیل ناشناس را باز نکنید
- هیچگاه گذرواژه یا اطلاعات شخصیتان را برای کسی فاش نکنید
- ایمیلهای افراد ناشناس را پاک کنید
اطلاعات بیشتر درباره پرهیز از کلاهبرداری فیشینگ(opens in a new tab)
کلاهبرداری کارگزاری معامله ارزهای رمزنگاریشده
کارگزارهای تقلبی معامله ارزهای رمزنگاریشده ادعا میکنند که کارگزار تخصصی ارزهای رمزنگاری شده هستند و به شما پیشنهاد میدهند که پولتان را بگیرند و به جای شما سرمایهگذاری کنند. قول بازگشت سرمایه غیرواقعی نیز به همراه این پیشنهاد مطرح میشود. پس از آن که کلاهبردار سرمایه شما را گرفت، ممکن است رفتار شما را هدایت کند و از شما بخواهد سرمایه بیشتری به آنها بدهید تا از دریافت سود بیشتر جا نمانید، یا اینکه ممکن است به کلی ناپدید شوند.
این کارگزاریهای جعلی با استفاده از حسابهای جعلی در یوتیوب اهداف خود را پیدا میکنند تا بتوانند در مورد کارگزاری شان یک صحبت ظاهرا طبیعی داشته باشند. این صحبتها عموما به شدت رای مثبت دریافت میکنند تا وجهه آنها بهتر نشان داده شود اما این رأیهای مثبت از طرف حسابهای روباتی هستند.
به غریبههای اینترنتی برای سرمایهگذاری بهجای خودتان اعتماد نکنید. ارز رمزنگاریشده خود را از دست خواهید داد.
کلاهبرداریهای استخر استخراج ارز رمزنگاریشده
از سپتامبر 2022، استخراج در اتریوم دیگر امکان پذیر نیست. با این حال، کلاهبرداری استخر استخراج هنوز وجود دارد. کلاهبرداری استخر استخراج از افرادی سر میزند که به طور ناخواسته با شما تماس می گیرند و ادعا می کنند که می توانید با پیوستن به یک استخر استخراج اتریوم بازدهی زیادی داشته باشید. کلاهبردار ادعاهایی را مطرح میکند و تا وقتی لازم باشد با شما در ارتباط باقی میماند. اساساً کلاهبردار شما را قانع میکند که اگر به استخر استخراج اتریوم بپیوندید، ارزهای رمزنگاریشدهتان برای ساخت اتر استفاده خواهد شد و شما سود خود را به شکل اتر دریافت خواهید کرد. آن چه نهایتاً اتفاق میافتد این است که متوجه میشوید ارزهای رمزنگاری شدهتان بازگشت سرمایهی بسیار کمی دارند. هدف صرفاً ترغیب کردن شما به سرمایهگذاری بیشتر است. در نهایت، تمام وجوه شما به یک آدرس نامعلوم ارسال میشود و کلاهبردار یا ناپدید میشود یا در برخی موارد مانند یک مورد اخیر در تماس باقی میماند.
جان کلام، مراقب افرادی باشید که در رسانههای اجتماعی به شما پیام میدهند و از شما میخواهند عضو یک استخر استخراج شوید. وقتی ارز رمزنگاریشدهتان را از دست بدهید، دیگر نمیتوان آن را برگرداند.
چند نکته برای بهخاطرسپاری:
- در مقابل کسانی که به شما دربارهی پول درآوردن از ارز رمزنگاریشدهتان پیام میدهند هشیار باشید
- در مورد سهامگذاری، استخرهای نقدینگی یا هر روش دیگر سرمایهگذاری با ارزهای رمزنگاریشده خودتان تحقیق کنید
- اگر نخواهیم بگوییم هرگز، چنین طرحهایی بهندرت موجه هستند. اگر موجه بودند، احتمالاً بهشدت رایج بودند و شما دربارهی آنها میشنیدید.
مردی 200 هزار دلار را در یک کلاهبرداری استخر استخراج از دست داد(opens in a new tab)
کلاهبرداری ایردراپ
کلاهبرداریهای ایردراپ پروژههای جعلیای هستند که یک دارایی (NFT، توکن) را به کیف پول شما ایردراپ میکنند و شما را به یک وبسایت کلاهبرداری هدایت میکنند تا دارایی ایردراپشده را دریافت کنید. از شما خواسته میشود که با کیف پول اتریومتان وارد وبسایت شوید و با یک تراکنش برای پذیرش آن دارایی «موافقت کنید». این تراکنش با فرستادن کلیدهای خصوصی و عمومی شما به کلاهبردار، حسابتان را فاش میکند. شکل دیگر این کلاهبرداری اینگونه است که شما تراکنشی را تأیید کنید که مبلغی را به حساب کلاهبردار واریز میکند.
اطلاعات بیشتر درباره کلاهبرداری ایردراپ(opens in a new tab)
بیشتر بخوانید
امنیت وب
- به این دلیل نباید از پیامک برای احراز هویت دو عاملی استفاده کنید(opens in a new tab) - The Verge
- نزدیک به 3 میلیون دستگاه به بدافزاری روی افزونههای Chrome و Edge آلوده شدند(opens in a new tab) - دن گودین
- چگونه گذرواژهای قوی بسازیم که فراموش نکنیم(opens in a new tab) - AVG
- کلید امنیتی چیست؟(opens in a new tab) - Coinbase
امنیت ارزهای رمزنگاریشده
- حفاظت از خود و سرمایهی خود(opens in a new tab) - MyCrypto
- 4 راه برای ایمن ماندن در جهان ارزهای رمزنگاریشده(opens in a new tab) - CoinDesk
- راهنمای امنیت برای تازهواردها و همچنین باهوشها(opens in a new tab) - MyCrypto
- امنیت ارزهای رمزنگاریشده: گذرواژهها و احراز هویت(opens in a new tab) - آندرس ام. آنتوپولوس
آموزش علیه کلاهبرداری
- راهنما: تشخیص توکن های کلاهبرداری
- ایمن ماندن: کلاهبرداریهای رایج(opens in a new tab) - MyCrypto
- جلوگیری از کلاهبرداری(opens in a new tab) - Bitcoin.org
- رشته توییتر در ایمیلها و پیامهای رایج فیشینگ رمزنگاری(opens in a new tab) - تیلور موناهان