در حال آمادهسازی صوت...
مقدمه
بیشتر کاربران فکر میکنند هکرها با ابزارهای عجیب، کدهای پیچیده و حملههای فوقحرفهای دارایی مردم را میدزدند. اما واقعیت در کریپتو خیلی تلختر و سادهتر است: هکرها اغلب منتظر اشتباه خودِ کاربر میمانند. آنها لازم نیست همیشه چیزی را بشکنند؛ کافی است شما seed phrase را جای اشتباه نگه دارید، روی یک لینک جعلی کلیک کنید، یک امضای خطرناک بزنید یا کیف پول اصلیتان را به یک سایت ناشناس وصل کنید. همین چند ثانیه بیدقتی گاهی برای خالی شدن یک کیف پول کافی است. MetaMask هم صراحتاً تأکید میکند که Secret Recovery Phrase کلید بازیابی و مالکیت کامل کیف پول است و نباید با هیچکس به اشتراک گذاشته شود.
در کریپتو، خیلی از اشتباهها شبیه اشتباه معمولی به نظر میرسند، اما اثرشان معمولی نیست. در بانک، اگر رمزتان را فراموش کنید یا تراکنشی را اشتباه بزنید، شاید راهی برای پیگیری باشد. اما در فضای غیرحضانتی، مسئولیت اصلی با خود شماست. به همین خاطر، دانستن اینکه «هکرها دقیقاً منتظر چه اشتباههایی هستند» از دانستن اسم ده آلتکوین جدید هم مهمتر است.
این مقاله دقیقاً برای همین نوشته شده: برای کاربری که میخواهد بداند خطرناکترین خطاهای امنیتی در کریپتو چیست، چطور کلاهبردارها از آنها سوءاستفاده میکنند، و مخصوصاً کاربران ایرانی برای کاهش ریسک باید به چه نکاتی بیشتر توجه کنند.
هکرها منتظر چه اشتباههایی هستند؟
اگر بخواهم کل مقاله را در یک جمله خلاصه کنم، جواب این است:
هکرها بیشتر از هر چیز منتظر خطاهای انسانی هستند؛ نه منتظر معجزه فنی.
این خطاها معمولاً در چند شکل تکرار میشوند:
- نگهداری seed phrase در گوشی، گالری، ایمیل یا فضای ابری
- اعتماد به پشتیبانی جعلی و پیامهای خصوصی
- کلیک روی لینکهای فیشینگ و ایردراپهای تقلبی
- امضای کورکورانه تراکنش یا approval
- استفاده از یک کیف پول برای همه کارها
- امنیت ضعیف حساب صرافی
- دانلود اپلیکیشن یا افزونه جعلی
- اعتماد به وعده سود تضمینی
- استفاده از دستگاه آلوده یا ناامن
- بیتوجهی به ریسکهای خاص کاربران ایرانی
چرا هکرها در کریپتو بیشتر از «حمله»، از «اشتباه کاربر» سود میبرند؟
چون در دنیای Web3، امنیت فقط به سیستم بستگی ندارد؛ به رفتار شما هم بستگی دارد. Coinbase هم بهصراحت میگوید با اینکه این پلتفرم اقدامات امنیتی گستردهای دارد، اما در نهایت امنیت یک «مسئولیت مشترک» است و کاربر هم باید نقش خودش را جدی بگیرد.
در واقع، وقتی کاربر خودش مجوز بدهد، خودش عبارت بازیابی را لو بدهد، یا خودش به یک قرارداد مخرب دسترسی بدهد، هکر دیگر نیازی به نفوذ پیچیده ندارد. شما در را باز کردهاید و او فقط وارد میشود.
مهمترین اشتباهاتی که هکرها منتظر آن هستند
۱) نگهداری seed phrase در جای اشتباه
این رایجترین و مرگبارترین اشتباه هکرها است. MetaMask توضیح میدهد که Secret Recovery Phrase همان عبارت ۱۲ کلمهای است که اگر رمزتان را فراموش کنید، با آن میتوانید کیف پول و دارایی را بازیابی کنید. همچنین میگوید نوشتن دستی آن مهم است، چون اگر آن را در یک فایل داخل فضای ابری یا محل آنلاین ذخیره کنید، از نظر تئوری قابل سرقت است.
یعنی اگر seed phrase شما در یکی از این جاها باشد، در معرض خطر است:
- اسکرینشات در گالری
- یادداشت در Notes گوشی
- فایل در Google Drive یا iCloud
- ایمیل به خودتان
- چت تلگرام یا واتساپ
- فلش یا لپتاپ بدون امنیت کافی
سناریوی واقعی
کاربر برای راحتی، seed phrase را اسکرینشات میگیرد. بعد گوشیاش آلوده میشود یا حساب ابریاش هک میشود. مهاجم کیف پول را روی دستگاه خودش بازیابی میکند و دارایی را منتقل میکند. تمام.
نکته حرفهای
اگر عبارت بازیابی جایی نگهداری میشود که اینترنت به آن راه دارد، باید فرض کنید روزی ممکن است لو برود.
۲) اعتماد به پشتیبانی جعلی
یکی از محبوبترین روشهای کلاهبرداری در کریپتو، نقش بازی کردن بهعنوان پشتیبانی رسمی است. MetaMask رسماً هشدار میدهد که پشتیبانی آن هیچوقت اول به شما پیام نمیدهد، شماره تلفن رسمی ندارد و هرگز Secret Recovery Phrase را از شما نمیخواهد. اگر کسی از شما جزئیات خصوصی کیف پول را بخواهد، در حال کلاهبرداری است.
خیلی از کاربران تازهکار وقتی به مشکلی برمیخورند، در تلگرام، توییتر، دیسکورد یا حتی بخش کامنتها درخواست کمک میگذارند. چند دقیقه بعد، یک اکانت با نامی شبیه پشتیبانی رسمی سراغشان میآید و میگوید برای حل مشکل، این فرم را پر کن یا seed phrase را بفرست.
این اشتباه چرا خطرناک است؟
چون کاربر فکر میکند دارد از پشتیبانی کمک میگیرد، در حالی که عملاً دارد کلید گاوصندوق را تحویل میدهد.
قانون طلایی
هیچ کیف پول معتبر، هیچ صرافی معتبر و هیچ تیم رسمی، برای کمک گرفتن از شما seed phrase یا private key نمیخواهد.
۳) کلیک روی لینکهای جعلی و ایمیلهای فیشینگ
هکرها فقط با پیام خصوصی کار نمیکنند. آنها با سایت، فرم، ایمیل، صفحه لاگین، ایردراپ جعلی و حتی لینکهای تبلیغاتی هم کار میکنند. MetaMask در راهنمای مربوط به ایمیلهای رسمی توضیح میدهد که فقط ایمیلهایی از دامنههای مشخص و رسمی این شرکت معتبرند و هر ادعایی خارج از آن باید با شک دیده شود.
در عمل، این حملهها شبیه اینها هستند:
- لینک ایردراپ با ظاهر حرفهای
- صفحهای شبیه سایت اصلی کیف پول
- ایمیلی با عنوان «حساب شما در خطر است»
- سایت جعلی claim توکن
- فرم بهظاهر «بازیابی حساب»
- صفحه مینت NFT تقلبی
چرا این اشتباه تکرار میشود؟
چون فیشینگ معمولاً با طمع یا ترس کار میکند:
- «سریع claim کن، مهلت تمام میشود»
- «کیف پول شما در خطر است»
- «اکانت شما suspended شده»
- «برای دریافت جایزه، همین حالا وصل شوید»
نتیجه
کاربر یا seed phrase را وارد میکند، یا کیف پول را وصل میکند، یا یک امضای خطرناک میزند.
۴) امضای کورکورانه approval و تراکنش
بسیاری از سرقتهای Web3 اصلاً با لو رفتن seed phrase شروع نمیشوند. کاربر فقط یک تراکنش یا approval را بدون درک کافی امضا میکند. Revoke.cash توضیح میدهد که token approval یعنی دادن مجوز به یک قرارداد هوشمند برای خرج کردن توکنهای شما، و اگر قرارداد هک شود یا مخرب باشد، میتواند باعث سرقت دارایی شود. این منبع همچنین تأکید میکند که کم نگه داشتن approvalها و revoke کردن منظم آنها بخشی از بهداشت کیف پول است.
MetaMask هم برای همین موضوع قابلیت Security Alerts را فعال کرده و میگوید این هشدارها وقتی ظاهر میشوند که سیگنالهایی مرتبط با کلاهبرداری، فیشینگ، جعل هویت یا فعالیت مخرب شناسایی شود؛ هرچند تصمیم نهایی همچنان با کاربر است.
اشتباه کاربر کجاست؟
وقتی پنجره امضا باز میشود، خیلیها فقط دکمه Confirm را میزنند؛ بدون اینکه بفهمند:
- چه کسی اجازه گرفته؟
- اجازه محدود است یا نامحدود؟
- این قرارداد شناختهشده است یا نه؟
- این امضا فقط یک Login است یا یک دسترسی خطرناک؟
توصیه کاربردی
اگر معنی یک امضا یا approval را نمیفهمید، امضا نکنید.
۵) استفاده از یک کیف پول برای همه چیز
این اشتباه آرام و بیسروصداست، اما فوقالعاده خطرناک. کاربر یک کیف پول میسازد و همان را برای همه چیز استفاده میکند:
- هولد بلندمدت
- سواپ
- بریج
- ایردراپ
- تستنت
- NFT
- میمکوین
- اتصال به سایتهای ناشناس
مشکل اینجاست که اگر این کیف پول یک جا ضربه بخورد، کل زندگی مالی شما در کریپتو ضربه میخورد.
ساختار بهتر
| نوع کیف پول | کاربرد |
|---|---|
| کیف پول اصلی | سرمایه مهم و بلندمدت |
| کیف پول روزمره | تراکنشهای عادی و Web3 با مبلغ محدود |
| کیف پول تست | ایردراپ، تستنت، پروژههای ناشناس |
| کیف پول سختافزاری | نگهداری امنتر سرمایه اصلی |
هکرها دقیقاً عاشق کاربری هستند که همه چیزش را در یک جا جمع کرده است.
۶) ضعیف گرفتن امنیت حساب صرافی
خیلیها تصور میکنند چون سرمایهشان در صرافی است، دیگر موضوع امنیت فقط بر عهده خود صرافی است. اما Coinbase صراحتاً میگوید برای امنیت حساب، 2FA لازم است و امنیت حساب یک مسئولیت مشترک است.
بایننس هم در راهنمای رسمی خود توضیح میدهد که قابلیت Withdrawal Whitelist باعث میشود برداشت فقط به آدرسهای از قبل تأییدشده انجام شود. همچنین قابلیت whitelist withdrawal limit میتواند در صورت اضافه شدن آدرس جدید، برداشت را برای مدتی معلق کند تا اگر مهاجمی آدرس خودش را اضافه کرده، فرصت واکنش داشته باشید.
اشتباهات رایج در صرافی
- نداشتن 2FA
- استفاده از SMS بهتنهایی در شرایط پرریسک
- نداشتن ایمیل امن
- خاموش بودن whitelist برداشت
- استفاده از رمز عبور تکراری
- باز بودن نشست حساب در دستگاههای مختلف
نتیجه
مهاجم لازم نیست کیف پول شما را هک کند؛ گاهی فقط کافی است به ایمیل یا حساب صرافی شما برسد.
۷) اعتماد به وعده سود تضمینی
FTC بهصراحت هشدار میدهد که فقط کلاهبردارها سود تضمینی یا بازدهی بزرگ و سریع وعده میدهند. همچنین تأکید میکند اگر کسی در فضای دوستیابی یا شبکههای اجتماعی به شما پیشنهاد سرمایهگذاری در کریپتو داد یا خواست برایش کریپتو بفرستید، باید آن را کلاهبرداری بدانید.
این دقیقاً همان مدل رایجی است که در تلگرام، اینستاگرام، واتساپ و حتی دایرکت توییتر هم زیاد دیده میشود:
- «من ربات ترید دارم»
- «توکن داخلی پروژه قبل از لیست شدن»
- «سود روزانه تضمینی»
- «فقط امروز، بدون ریسک»
- «سرمایه را بده، برایت مدیریت میکنم»
چرا کاربر گیر میافتد؟
چون در کریپتو، طمع و فومو از فنیترین حملهها هم خطرناکترند.
۸) دانلود اپلیکیشن یا افزونه جعلی
این اشتباه مخصوصاً برای کاربران تازهکار زیاد رخ میدهد. کاربر بهجای اینکه از وبسایت رسمی یا فروشگاه معتبر نصب کند، از یک کانال تلگرامی، یک سایت دانلود ناشناس یا یک تبلیغ، کیف پول را نصب میکند.
مشکل اینجاست که اپلیکیشن یا افزونه جعلی میتواند:
- عبارت بازیابی شما را ذخیره کند
- صفحه ورود تقلبی بسازد
- امضاها را دستکاری کند
- شما را به سایتهای خطرناک هدایت کند
راهکار
همیشه نصب را فقط از منبع رسمی انجام دهید. اگر سایتی یا کانالی برای نصب کیف پول لینک میدهد، باز هم اول آدرس رسمی را خودتان پیدا کنید.
۹) نصب برنامههای کنترل از راه دور یا اشتراکگذاری صفحه
این مورد کمتر دربارهاش صحبت میشود، اما واقعاً خطرناک است. کلاهبردار میگوید:
- «برای حل مشکل AnyDesk نصب کن»
- «اسکرینشر بده تا کمکت کنم»
- «اجازه بده ببینم کجا گیر کردهای»
بعد از آن، کافی است شما کیف پول یا صرافی را باز کنید. او میبیند، راهنماییتان میکند، و در لحظه مناسب اطلاعات حساس را میگیرد یا کاری میکند که خودتان دسترسی را تحویل دهید.
در کریپتو، هر کمکی که با گرفتن کنترل صفحه یا دستگاه شروع شود، باید با بدبینی جدی بررسی شود.
۱۰) بیتوجهی به ریسکهای خاص کاربران ایرانی
این بخش برای کاربران ایرانی خیلی مهم است. OFAC در FAQ 1250 تصریح میکند که صرافیهای دارایی دیجیتال ایرانی در تعریف «مؤسسه مالی ایرانی» قرار میگیرند و در حوزه صلاحیت آمریکا، اموال و منافع آنها بلوکه میشود.
معنای عملی این موضوع برای کاربر ایرانی این است که فضای فعالیت همیشه ساده، پایدار و بدون ریسک دسترسی نیست. وقتی مسیرها محدودتر میشوند، بعضی کاربران به سمت راهحلهای غیررسمی، کانالهای تلگرامی، واسطههای ناشناس، ابزارهای تغییر IP بیکیفیت و سرویسهای مشکوک میروند. این یک استنباط عملی از شرایط تحریمی است و دقیقاً همانجایی است که احتمال فیشینگ، کلاهبرداری و لو رفتن اطلاعات بالاتر میرود.
برای کاربران ایرانی، این اشتباهها پرهزینهترند:
- اعتماد به واسطههای ناشناس برای خرید و فروش
- استفاده از VPNها و اپهای نامطمئن
- نگهداری بخش زیادی از دارایی در حسابهای متمرکز بدون برنامه جایگزین
- ارسال اطلاعات هویتی یا امنیتی به کانالها و افراد نامعتبر
- عجله در استفاده از «راهحلهای دور زدن محدودیت» بدون بررسی امنیت
جدول جمعبندی: هکرها دقیقاً منتظر چه چیزی هستند؟
| اشتباه | چیزی که هکر میخواهد | نتیجه |
|---|---|---|
| ذخیره seed phrase در فضای آنلاین | دسترسی مستقیم به کلید اصلی | تخلیه کامل کیف پول |
| اعتماد به پشتیبانی جعلی | گرفتن عبارت بازیابی یا دسترسی | سرقت کامل دارایی |
| کلیک روی لینک فیشینگ | اتصال کیف پول یا ورود اطلاعات | تخلیه دارایی یا هک حساب |
| امضای کورکورانه | approval یا امضای خطرناک | سرقت توکنها |
| یک کیف پول برای همه چیز | تمرکز ریسک در یک نقطه | آسیب همزمان به کل سرمایه |
| امنیت ضعیف صرافی | دسترسی به برداشت | خروج غیرمجاز دارایی |
| وعده سود تضمینی | فریب احساسی | واریز پول به کلاهبردار |
| اپلیکیشن جعلی | جمعآوری داده و دسترسی | هک یا سرقت |
| اشتراکگذاری صفحه | مشاهده یا هدایت رفتار کاربر | افشای اطلاعات یا برداشت |
| استفاده از مسیرهای ناامن در شرایط تحریمی | فیشینگ و سوءاستفاده از اضطرار | افزایش شدید ریسک |
اگر حس کردید اشتباه کردهاید، فوراً چه کار کنید؟
اگر حتی کمی شک دارید که یکی از این خطاها را مرتکب شدهاید، زمان را از دست ندهید.
اقدامات فوری
- اگر seed phrase لو رفته، دارایی را فوراً به کیف پول جدید منتقل کنید.
- اگر approval خطرناک دادهاید، آن را revoke کنید.
- اگر حساب صرافیتان مشکوک شده، رمز عبور و 2FA را فوراً تغییر دهید.
- اگر دستگاه آلوده است، از همان دستگاه مدیریت دارایی انجام ندهید.
- اگر کیف پول اصلی به سایت ناشناس وصل شده، آن را برای هولد بلندمدت کنار بگذارید.
- ایمیل مرتبط با حسابهای مالی را هم بررسی و ایمن کنید.
- نشستهای فعال و دسترسیهای غیرضروری را ببندید.
در کریپتو، سرعت واکنش گاهی تفاوت بین «خطر» و «فاجعه» است.
ساختار امنتر برای یک کاربر عادی
اگر بخواهم یک ساختار منطقی و کاربردی بدهم، این مدل برای بیشتر کاربران مناسبتر است:
لایه اول: سرمایه اصلی
- روی کیف پول امنتر
- ترجیحاً با کمترین تعامل روزانه
- نه برای ایردراپ، نه برای میمکوین، نه برای سایت ناشناس
لایه دوم: کیف پول روزمره
- برای سواپ، DeFi محدود، انتقالهای عادی
- با موجودی کنترلشده
لایه سوم: کیف پول تست
- برای ایردراپ، تستنت، dAppهای کمترشناختهشده
- با موجودی کم و قابل ریسک
لایه چهارم: حساب صرافی
- فقط برای خرید، فروش و تبدیل
- نه برای انبار کردن بلندمدت کل سرمایه
این ساختار ساده باعث میشود اگر یک اشتباه رخ داد، کل دارایی شما همزمان درگیر نشود.
جمعبندی
اشتباهاتی که هکرها منتظر آن هستند، معمولاً پیچیده نیستند؛ سادهاند، تکراریاند و دقیقاً به همین دلیل خطرناکاند. هکرها منتظر نیستند دیوار رمزنگاری را بشکنند. آنها منتظرند شما:
- عبارت بازیابی را جای بد بگذارید،
- به پشتیبانی جعلی اعتماد کنید،
- روی لینک اشتباه کلیک کنید،
- یک approval مخرب امضا کنید،
- یا همه سرمایهتان را در یک نقطه جمع کنید.
در دنیای کریپتو، امنیت با یک نرمافزار یا یک کیف پول درست نمیشود؛ با عادت درست ساخته میشود. اگر این عادتها را از امروز جدی بگیرید، بخش بزرگی از ریسکها حذف میشود. اگر نه، ممکن است دقیقاً همان کاربری شوید که هکرها منتظرش هستند.
سوالات متداول
مهمترین اشتباهی که هکرها از آن سوءاستفاده میکنند چیست؟
مهمترین اشتباه، لو رفتن یا نگهداری ناامن seed phrase است؛ چون این عبارت کلید بازیابی و کنترل کیف پول است.
آیا اگر seed phrase را ندهم، باز هم ممکن است داراییام سرقت شود؟
بله. با approval یا امضای خطرناک هم ممکن است به قرارداد مخرب اجازه خرج کردن دارایی بدهید.
آیا پشتیبانی MetaMask یا کیف پولها ممکن است seed phrase بخواهد؟
خیر. MetaMask بهصورت رسمی میگوید هرگز Secret Recovery Phrase را از شما نمیخواهد.
برای صرافی چه اقدام امنیتی مهمی باید انجام دهیم؟
حداقل 2FA را فعال کنید و اگر امکانش هست، whitelist برداشت را هم روشن کنید تا برداشت فقط به آدرسهای مشخص انجام شود.
کاربران ایرانی چرا بیشتر باید احتیاط کنند؟
چون علاوه بر ریسکهای عادی کریپتو، با محدودیتهای دسترسی و فضای تحریمی هم روبهرو هستند و همین موضوع میتواند آنها را به سمت مسیرهای ناامنتر سوق دهد.
منابع
- MetaMask — Secure your Secret Recovery Phrase and password:
https://support.metamask.io/start/user-guide-secret-recovery-phrase-password-and-private-keys/ - MetaMask — Contact MetaMask Support:
https://support.metamask.io/start/how-to-contact-metamask-support/ - MetaMask — Security Alerts:
https://support.metamask.io/configure/wallet/security-alerts/ - MetaMask — Is this email really from MetaMask?:
https://support.metamask.io/stay-safe/safety-in-web3/i-received-an-email-claiming-to-be-from-metamask-is-it-legit/ - Revoke.cash — What Are Token Approvals?:
https://revoke.cash/learn/approvals/what-are-token-approvals - Revoke.cash — How to Revoke Token Approvals:
https://revoke.cash/learn/approvals/how-to-revoke-token-approvals - Coinbase — Set up your 2-step verification:
https://help.coinbase.com/en/coinbase/getting-started/getting-started-with-coinbase/2-step-verification - Coinbase — How can I make my account more secure?:
https://help.coinbase.com/en/pro/privacy-and-security/data-privacy/how-can-i-make-my-account-more-secure - Binance — How to Manage Withdrawal Settings for My Binance Account?:
https://www.binance.com/en/support/faq/detail/1d08944f103b4fc78d3519913b600086 - FTC — What To Know About Cryptocurrency and Scams:
https://consumer.ftc.gov/articles/what-know-about-cryptocurrency-scams - FTC — Spotting Cryptocurrency Investment Scams:
https://consumer.ftc.gov/consumer-alerts/2021/05/spotting-cryptocurrency-investment-scams - OFAC FAQ 1250 — Are Iranian digital asset exchanges blocked under OFAC sanctions?:
https://ofac.treasury.gov/faqs/1250
