آخرین بروزرسانی صفحه: ۱۸ بهمن ۱۴۰۱
امنیت اتریوم و جلوگیری از کلاهبرداری
با رشد علاقه به ارزهای رمزنگاریشده، یادگیری بهترین روشهای استفاده از آنها ضروری است. استفاده از ارزهای رمزنگاریشده میتواند هیجانانگیز و جذاب باشد، ولی در عین حال ریسکهای خاص خود را دارد. اگر این چند نکتهی کوچک را در نظر داشته باشید، میتوانید این ریسکها را کاهش دهید.
مبانی امنیت شبکه
از گذرواژههای قوی استفاده کنید
بیش از 80% هک شدن حسابهای کاربری ناشی از گذرواژههای ضعیف یا بهسرقترفته است. یک ترکیب طولانی از حروف، اعداد و نمادها میتواند حسابهای شما را ایمن نگه دارد.
یک اشتباه متداول این است که افراد ترکیبی از دو یا سه کلمهی متداول و مرتبط را از لغتنامه انتخاب میکنند. چنین گذرواژههایی ناامن هستند ،چرا که در مقابل یک تکنیک سادهی هک به نام حملهی لغتنامهای آسیبپذیر هستند.
نمونهی یک گذرواژهی ضعیف: CuteFluffyKittens!
نمونهی یک گذرواژهی قوی: ymv\*azu.EAC8eyp8umf
یک اشتباه متداول دیگر، استفاده از رمزی است که میتوان آن را حدس زد یا با مهندسی اجتماعی پیدا کرد. استفاده از نام خانوادگی مادرتان پیش از ازدواج، نام فرزندان یا حیوانات خانگیتان و یا تاریخ تولد در گذرواژهْ ایمن نیست و ریسک هک شدن حساب شما را افزایش میدهد.
ویژگیهای گذرواژهی خوب:
- تا جایی که برنامهی گذرواژهساز شما یا فرمی که مشغول پُر کردن آن هستید اجازه میدهد، گذرواژهتان را طولانی بنویسید
- از ترکیب حروف بزرگ، کوچک، اعداد و نمادها استفاده کنید
- از اطلاعات شخصی، مانند نام خانوادگی، در گذرواژهی خود استفاده نکنید
- از کلمات متداول لغتنامه استفاده نکنید
اطلاعات بیشتر دربارهی ساخت گذرواژهی قدرتمند
از گذرواژههای منحصربهفرد برای همهچیز استفاده کنید
اگر گذرواژهای در یک نشت اطلاعاتی افشا شده باشد، حتی اگر قوی هم باشد چندان نمیتواند امنیت را برایتان فراهم آورد. با وبسایت Have I Been Pwned میتوانید بررسی کنید که آيا حسابهای شما در فهرست حسابهای لو رفته در نشتهای اطلاعاتی بودهاند یا خیر. اگر چنین باشد، باید فوراً رمز خود را عوض کنید. استفاده از گذرواژههای منحصربهفرد برای همهی حسابهایتان میتواند ریسک دسترسی هکرها به همهی حسابهایتان در صورت افشای یکی از گذرواژهها را کاهش دهد.
از یک برنامهی مدیریت گذرواژه استفاده کنید
بهخاطرسپاری گذرواژههای قوی و منحصربهفرد برای هر حساب راهکار ایدهآلی نیست. یک برنامهی مدیریت گذرواژه، محلی امن و رمزنگاریشده برای تمام گذرواژهها در اختیارتان قرار میدهد که میتوانید از طریق یک گذرواژهی مادر به آن دسترسی داشته باشید. بهعلاوه، این برنامهها هنگام ثبتنام در یک سرویس جدید به شما گذرواژههای قوی پیشنهاد میدهند تا لازم نباشد خودتان گذرواژه بسازید. بسیاری از برنامههای مدیریت گذرواژه همچنین به شما خواهند گفت که اطلاعاتتان در نشت اطلاعاتی درز کردهاست یا خیر. در این صورت میتوانید پیش از هرگونه حملهی خرابکارانه گذرواژههایتان را عوض کنید.
یک برنامهی مدیریت گذرواژه را امتحان کنید:
از احراز هویت دو عاملی استفاده کنید
برای اثبات این که شما واقعاً خودتان هستید، آزمون های منحصربهفرد مختلفی برای احراز هویت وجود دارد. به اینها عامل میگویند و سه عامل اصلی عبارتند از:
- چیزی که میدانید (مانند یک گذرواژه یا سؤال امنیتی)
- چیزی که هستید (مانند اثر انگشت یا اسکنر قرنیه/صورت)
- چیزی که دارید (مانند یک کلید امنیتی یا برنامههای احراز هویت روی تلفن همراه)
استفاده از احراز هویت دو عاملی (2FA) یک عامل امنیتی اضافه برای حسابهای آنلاین شما فراهم میآورد تا دانستن گذرواژهی شما به تنهایی (چیزی که میدانید) برای دسترسی به حساب کافی نباشد. عامل دوم معمولاً یک کد 6 رقمی تصادفی است که به آن گذرواژهی یکبارمصرف زماندار (TOTP) میگویند و با یک برنامهی احراز هویت مثل Google Authenticator یا Authy میتوانید به آن دسترسی داشته باشید. اینها بهعنوان عامل «چیزی که دارید» عمل میکنند، چون هستهای که کد زماندار را میسازد روی دستگاه شما نگهداری میشود.
کلید امنیتی
برای کسانی که میخواهند احراز هویت دو عاملی را پیشرفتهتر انجام دهند، استفاده از کلید امنیتی پیشنهاد میشود. کلید امنیتی یک دستگاه احراز هویت سختافزاری است که همانند برنامههای احراز هویت کار میکند. استفاده از کلید امنیتی امنترین روش برای احراز هویت دو عاملی است. بسیاری از این کلیدها از استاندارد عامل دوم جهانی (U2F) FIDO استفاده میکنند. اطلاعات بیشتر دربارهی FIDO U2F.
دربارهی 2FA بیشتر تماشا کنید:
افزونههای مرورگر را پاک کنید
افزونههای مرورگر مثل افزونههای Chrome یا Firefox میتوانند قاب لیتهای مفیدی به مرورگر اضافه کنند و تجربهی کاربری را بهبود بخشند، اما ریسکهایی هم دارند. بهطور پیشفرض، اکثر افزونههای مرورگرها برای «خواندن و تغییر دادههای سایت» دسترسی میخواهند که به آنها اجازه میدهد با دادههایتان تقریباً هر کاری بکنند. افزونههای Chrome معمولاً بهطور خودکار بهروزرسانی میشوند. در نتیجه، افزونهای که اکنون امن است، ممکن است پس از بهروزرسانی به یک افزونهی خرابکار تبدیل شود. اکثر افزونههای مرورگر قصد ندارند دادههای شما را بدزدند، اما باید بدانید که میتوانند این کار را بکنند.
با این کارها ایمن بمانید:
- افزونههای مرورگر را تنها از منابع مطمئن نصب کنید
- افزونههای مرورگر بیاستفاده را پاک کنید
- افزونههای Chrome را به صورت محلی نصب کنید تا از بهروزرسانی خودکار جلوگیری کنید (پیشرفته)
اطلاعات بیشتر دربارهی ریسکهای افزونههای مرورگر
مبانی امنیت ارزهای رمزنگاریشده
دانش خود را ارتقا دهید
یکی از مهمترین دلایلی که مردم در دنیای ارزهای رمزنگاریشده کلاه سرشان میرود، نبود دانش است. برای مثال اگر درک نکنید که شبکهی اتریوم غیرمتمرکز است و مال هیچکس نیست، بهسادگی قربانی کسی میشوید که خود را نمایندهی خدمات مشتریان معرفی میکند و به شما وعده میدهد اتر ازدسترفتهتان در صرافی را در ازای کلید خصوصیتان به شما برمیگرداند. بالا بردن دانش خود در مورد نحوهی کار اتریوم یک سرمایهگذاری ارزشمند است.
امنیت کیف پول
کلید خصوصیتان را اعلام نکنید
هیچگاه به هیچ دلیلی کلید خصوصیتان را بهاشتراک نگذارید!
کلید خصوصی کیف پول شما در مقام گذرواژهی کیف پول اتریوم شما عمل میکند. این تنها چیزی است که نمیگذارد افرادی که آدرس کیف پول شما را میدانند تمام داراییهای حسابتان را خالی کنند!
از کلید خصوصی/عبارت seed خود اسکرینشات نگیرید
با اسکرینشات گرفتن از عبارت seed یا کلید خصوصی، ریسک بارگزاری آنها روی فضای ابری و قرار گرفتن آنها در دسترس هکرها را میپذیرید. به دست آوردن کلید خصوصی از فضای ابری یک مسیر حملهی متداول برای هکرها است.
از کیف پول سختافزاری استفاده کنید
کیف پول سختافزاری یک حافظهی آفلاین برای کلید خصوصی است. آنها ایمنترین نوع کیف پول برای نگهداری کلید خصوصیتان هستند.
نگهداری کلیدهای خصوصی بهصورت آفلاین به شدت ریسک هک شدن را پایین میآورد، حتی اگر هکر بتواند کنترل کامپیوتر شما را به دست آورد.
یک کیف پول سختافزاری را امتحان کنید:
پیش از ارسال تراکنش، صحت آن را دوباره بررسی کنید
فرستادن ارز رمزنگاریشده به آدرس کیف پول نادرست، اشتباهی رایج است. تراکنشی که روی اتریوم فرستاده شود غیرقابل بازگشت است. هیچ راهی برای بازگرداندن سرمایهتان ندارید، مگر اینکه دارندهی آن آدرس را بشناسید و بتوانید قانعش کنید که سرمایهی شما را بازگرداند.
همیشه مطمئن شوید آدرسی که میخواهید به آن وجه ارسال کنید، با آدرسی که در حال ارسال وجه به آن هستید دقیقاً تطابق داشته باشد. همچنین توصیه میشود هنگام ارتباط با قرارداد هوشمند، پیام تراکنش را پیش از امضا کردن بخوانید.
برای قرارداد هوشمند محدودیت خرج کردن وضع کنید
وقتی با قراردادهای هوشمند تعامل میکنید، اجازهی خرج کردن نامحدود را به آنها ندهید. خرج کردن نامحدود میتواند به قرارداد هوشمند امکان دهد تمام کیف پول شما را خالی کند. در عوض، بهاندازهای که برای تراکنش نیاز است، حد خرج کردن مشخص کنید.
بسیاری از کیف پولهای اتریوم برای حفاظت کردن از حسابها در مقابل خالی شدن، محافظت با وضع محدودیت را پیشنهاد میدهند.
کلاهبرداریهای رایج
کلاهبرداران همیشه به دنبال راهی برای دزدیدن سرمایهی شما هستند. توقف کامل کلاهبرداران غیرممکن است، اما میتوان با آگاهی از عمدهی تکنیکهای مورد استفاده میتوان تلاش آنها را کماثر کرد. روشهای زیادی برای کلاهبرداری وجود دارد، اما آنها بهطور کلی الگوهای مشابهی را در سطح بالا دنبال میکنند. در هر صورت، به یاد داشته باشید:
- همیشه محتاط باشید
- هیچکس نمیخواهد به شما اتریوم رایگان یا با تخفیف بدهد
- هیچکس به کلید خصوصی و اطلاعات شخصی شما نیاز ندارد
کلاهبرداری ارسال هدیه
یکی از شایعترین انواع کلاهبرداری مربوط به ارزهای رمزنگاریشده، کلاهبرداری ارسال هدیه است. این کلاهبرداری انواع مختلفی دارد، اما وعدهی کلی به این صورت است که اگر به آدرس کیف پول گفتهشده اتر بفرستید، دو برابر آن به شما برگردانده میشود. به همین دلیل، به کلاهبرداری 2-برای-1 نیز معروف است.
این کلاهبرداریها معمولاً ایدهی «مدت زمان محدود برای مطالبه جایزه» را طرح میکنند تا افرادی که قدرت تصمیمگیری ضعیفی دارند را با تلقین حس اضطرار نابهجا تهییج کنند.
هک شبکههای اجتماعی
یک مورد سطح بالای این نوع کلاهبرداری در ژوئیه 2020 اتفاق افتاد که حساب توییتر افراد مشهور و سازمانها هک شدند. هکر بهطور همزمان یک هدیهی بیتکوینی در شبکههای هکشده را ارسال کرد. علیرغم اقدام سریع و حذف توییت، هکرها توانستند 11 بیت کوین (معادل 500،000 دلار در سپتامبر 2021) را به جیب بزنند.
کلاهبرداری در قالب هدیهی افراد مشهور
کلاهبرداری در قالب هدیهی افراد مشهور یکی دیگر از انواع رایج کلاهبرداری هدیه است. کلاهبرداران یک مصاحبهی ویدیویی ضبطشده یا سخرانی در همایش با حضور یک فرد مشهور را در یوتوب بهصورت زنده پخش میکنند - جوری که به نظر برسد آن فرد مشهور یک مصاحبهی ویدیویی زنده دارد که در آن هدیهای در قالب ارز رمزنگاریشده را تأیید میکند.
ویتالیک بوترین بیشتر اوقات در این کلاهبرداری مورد استفاده قرار میگیرد، اما بسیاری از افراد مطرح دیگر در حوزهی ارزهای رمزنگاریشده نیز استفاده میشوند (مثال ایلان ماسک و چارلز هاسکینسون). دخیل کردن یک فرد بسیار مشهور میتواند به پخش زندهی ویدیویی کلاهبرداران نوعی حس مشروعیت ببخشد (به نظر بودار میآید، اما پای ویتالیک هم وسط است، پس نباید مشکلی باشد!).
هدیهها همواره کلاهبرداری هستند. اگر شما سرمایهتان را به این حسابها بفرستید، آن را برای همیشه از دست خواهید داد.
کلاهبرداری پشتیبانی
ارز رمزنگاری شده یک فناوری نسبتاً نوپا است که خیلی وقتها درست فهمیده نمیشود. یکی از کلاهبرداریهای رایج که از این موضوع سوء استفاده میکند کلاهبرداری پشتیبانی است که در آن، کلاهبرداران خود را بهعنوان عامل پشتیبانی کیف پولها، صرافیها یا زنجیرههای بلوکی شناختهشده جا میزند.
اکثر بحث و گفتگوها دربارهی اتریوم روی دیس کورد انجام میشود. کلاهبرداران پشتیبانی معمولاً اهداف خود را با جستجوی کسانی که در کانالهای عمومی دیسکورد سؤالات مربوط به پشتیبانی مطرح میکنند پیدا میکنند، و سپس جهت ارائهی پشتیبانی به آنها پیام خصوصی میفرستند. کلاهبرداران پشتیبانی با اعتمادسازی سعی میکنند شما را فریب دهند تا کلید خصوصیتان را افشا کنید یا سرمایهتان را به کیف پول آنها بفرستید.
بهعنوان یک قانون کلی، کارکنان هرگز ار راههای خصوصی و غیررسمی با شما ارتباط برقرار نمیکنند. چند نکتهی ساده که در برخورد با کلاهبرداری پشتیبانی باید در ذهن داشت از این قرار است:
- هیچگاه کلید خصوصی، عبارت seed یا گذرواژهی خود را بهاشتراک نگذارید
- به هیچکس اجازهی دسترسی از راه دور به کامپیوترتان را ندهید
- هیچگاه خارج از کانالهای اختصاصی یک سازمان با آن ارتباط برقرار نکنید
کلاهبرداری فیشینگ
کلاهبرداری فیشینگ روش در حال رواج دیگری بین کلاهبرداران است که سعی میکنند از طریق آن موجودی کیف پول شما را بدزدند.
برخی ایمیلهای فیشینگ از کاربران میخواهند روی پیوندهایی کلیک کنند که آنها را به سایتهایی میبرد که از آنها میخواهد عبارت seed را وارد کنند، گذرواژهشان را بازیابی کنند یا اتر بفرستند. برخی دیگر ممکن است از شما بخواهند که ناآگاهانه بدافزاری را نصب کنید تا کامپیوترتان را آلوده کند و دسترسی به فایلهایتان را در اختیار کلاهبرداران قرار بدهد.
اگر ایمیلی از فرستندهای ناشناس دریافت کردید، به یاد داشته باشید:
- هیچگاه پیوند یا پیوست ارسالی از آدرسهای ایمیل ناشناس را باز نکنید
- هیچگاه گذرواژه یا اطلاعات شخصیتان را برای کسی فاش نکنید
- ایمیلهای افراد ناشناس را پاک کنید
اطلاعات بیشتر دربارهی کلاهبرداری فیشینگ
کلاهبرداری کارگزاریهای معاملهی ارزهای رمزنگاریشده
کارگزاریهای معاملهی ارزهای رمزنگاریشده کلاهبردار ادعا میکنند که کارگزاری تخصصی ارزهای رمزنگاری شده هستند و به شما پیشنهاد میدهند که پولتان را بگیرند و بهجای شما سرمایهگذاری کنند. قول بازگشت سرمایهی غیرواقعی نیز این بههمراه این پیشنهاد مطرح میشود. پس از آن که کلاهبردار سرمایهی شما را گرفت، ممکن است رفتار شما را هدایت کند و از شما بخواهند سرمایهی بیشتری به آنها بدهید تا از دریافت سود بیشتر جا نمانید، یا اینکه ممکن است بهکلی ناپدید شوند.
این کارگزاریهای جعلی با استفاده از حسابه ای جعلی در یوتوب اهداف خود را پیدا میکنند تا بتوانند در مورد کارگزاری شان یک صحبت به نظر طبیعی داشته باشند. این صحبتها عموماR به شدت رای مثبت دریافت میکنند تا وجههی آنها بهتر نشان داده شود اما این رأیهای مثبت از طرف حسابهای روباتی هستند.
به غریبههای اینترنتی برای سرمایهگذاری بهجای خودتان اعتماد نکنید. ارز رمزنگاریشده خود را از دست خواهید داد.
کلاهبرداری استخر استخراج ارز رمزنگاریشده
در کلاهبرداری استخر استخراج، افرادی بدون اینکه خواسته باشید با شما ارتباط برقرار میکنند و ادعا میکنند که میتوانید با پیوستند به استخر استخراج اتریوم سود زیادی کسب کنید. کلاهبردار ادعاهایی را مطرح میکند و تا وقتی لازم باشد با شما در ارتباط باقی میماند. اساساً کلاهبردار شما را قانع میکند که اگر به استخر استخراج اتریوم بپیوندید، ارزهای رمزنگاریشدهتان برای ساخت اتر استفاده خواهد شد و شما سود خود را به شکل اتر دریافت خواهید کرد. آن چه نهایتاً اتفاق میافتد این است که متوجه میشوید ارزهای رمزنگاری شدهتان بازگشت سرمایهی بسیار کمی دارند. هدف صرفاً ترغیب کردن شما به سرمایهگذاری بیشتر است. در نهایت، همهی سرمایهی شما به یک آدرس ناشناس فرستاده میشود و کلاهبردار ناپدید میشود یا در برخی موارد در دسترس میماند، همانطور که در یک مورد جدید این اتفاق افتاد.
جان کلام، مراقب افرادی باشید که در رسانههای اجتماعی به شما پیام میدهند و از شما میخواهند عضو یک استخر استخراج شوید. وقتی ارز رمزنگاریشدهتان را از دست بدهید، دیگر نمیتوان آن را برگرداند.
چند نکته برای بهخاطرسپاری:
- در مقابل کسانی که به شما دربارهی پول درآوردن از ارز رمزنگاریشدهتان پیام میدهند هشیار باشید
- در مورد سهامگذاری، استخرهای نقدینگی یا هر روش دیگر سرمایهگذاری با ارزهای رمزنگاریشده خودتان تحقیق کنید
- اگر نخواهیم بگوییم هرگز، چنین طرحهایی بهندرت موجه هستند. اگر موجه بودند، احتمالاً بهشدت رایج بودند و شما دربارهی آنها میشنیدید.
مردی 200 هزار دلار را در یک کلاهبرداری استخر استخراج از دست داد
کلاهبرداری توکن Eth2
با توجه به این که ادغام قرار است در سال 2022 انجام شود، کلاهبرداران از سردرگمی حول نام «Eth2» سوءاستفاده میکنند و سعی میکنند کاربران را قانع میکنند که توکنهای ETH خود را با توکن «ETH2» تعویض نمایند. هیچ توکنی به نام «ETH2» یا هر توکن دیگری با ادغام معرفی نخواهد شد. اِتری که امروز مالک آن هستید همان اتری خواهد بود که بعد از ادغام مالک آن خواهید بود، و هیچ نیازی به تعویض توکنهای ETH برای ادغام وجود نخواهد داشت.
کلاهبرداران ممکن است در پوشش «پشتیبانی» ظاهر شوند و به شما بگویند اگر توکنهای ETH خود را به آنها بفرستید، در ازای آن «ETH2» دریافت خواهید کرد. پشتیبانی رسمی اتریوم وجود خارجی ندارد و هیچ توکن جدیدی در کار نیست. هرگز عبارت seed خود را با کسی بهاشتراک نگذارید.
توجه: توکنهای مشتقی وجود دارند که ممکن است نشاندهنده اتر سهام گذاریشده (یعنی rETH از استخر Rocket و stETH از Lido و ETH2 از Coinbase) باشد، اما اینها چیزی نیستند که شما نیاز به «مهاجرت به آن» داشته باشید.
کلاهبرداری ایردراپ
کلاهبرداری ایردراپ پروژههای جعلیای هستند که یک دارایی (NFT، توکن) را به کیف پول شما ایردراپ میکنند و شما را به یک وبسایت کلاهبرداری هدایت میکنند تا دارایی ایردراپشده را دریافت کنید. از شما خواسته میشود که با کیف پول اتریومتان وارد وبسایت شوید و با یک تراکنش برای پذیرش آن دارایی «موافقت کنید». این تراکنش با فرستاد ن کلیدهای خصوصی و عمومی شما به کلاهبردار، حسابتان را فاش میکند. شکل دیگر این کلاهبرداری اینگونه است که شما تراکنشی را تأیید کنید که مبلغی را به حساب کلاهبردار واریز کند.
اطلاعات بیشتر دربارهی کلاهبرداری ایردراپ
بیشتر بخوانید
امنیت وب
- به این دلیل نباید از پیامک برای احراز هویت دو عاملی استفاده کنید - The Verge
- نزدیک به 3 میلیون دستگاه به بدافزاری روی افزونههای Chrome و Edge آلوده شدند - دن گودین
- چگونه گذرواژهای قوی بسازیم که فراموش نکنیم - AVG
- کلید امنیتی چیست؟ - Coinbase
امنیت ارزهای رمزنگاریشده
- حفاظت از خود و سرمایهی خود - MyCrypto
- 4 راه برای ایمن ماندن در جهان ارزهای رمزنگاریشده - CoinDesk
- راهنمای امنیت برای تازهواردها و همچنین باهوشها - MyCrypto
- امنیت ارزهای رمزنگاریشده: گذرواژهها و احراز هویت - آندرس ام. آنتوپولوس
آموزش علیه کلاهبرداری
- ایمن ماندن: کلاهبرداریهای رایج - MyCrypto
- جلوگیری از کلاهبرداری - Bitcoin.org