حمله بدون کلیک (Zero-Click Attack) چیست؟ راهنمای محافظت از کیف پول‌های ارز دیجیتال

سناریویی را تصور کنید که شب با خیال راحت می‌خوابید و گوشی موبایل حاوی کیف پول رمزارزیتان روی میز کنار تخت است. در نیمه‌های شب، یک پیام کوتاه متنی یا یک تماس ویدیویی بی‌پاسخ در برنامه‌های پیام‌رسان دریافت می‌کنید که اصلاً متوجه آن نمی‌شوید. صبح روز بعد، وقتی برای بررسی بازار کیف پولتان را باز می‌کنید، می‌بینید تمام موجودی شما صفر شده است؛ بدون اینکه حتی قفل گوشی خود را باز کرده باشید. این همان سرقت خاموشی است که امنیت کاربران بازار کریپتو را به‌طور جدی تهدید می‌کند. در این مقاله، مکانیزم پنهان این نفوذها را بررسی می‌کنیم و به شما نشان می‌دهیم چطور با پیاده‌سازی چند راهکار پیشرفته، از ثروت دیجیتال خود در برابر این حملات نامرئی محافظت کنید.

حمله‌ی بدون کلیک یا Zero-Click چیست؟

در دنیای امنیت دیجیتال همیشه به ما آموزش داده‌اند که روی لینک‌های مشکوک کلیک نکنیم و پیام‌های ناشناس را باز نکنیم. اما حمله‌ی بدون کلیک (Zero-Click) تمام این قواعد را تغییر داده است. برای درک بهتر این مفهوم، خانه‌ی خود را تصور کنید؛ دزدهای معمولی سعی می‌کنند با فریب دادن شما، کلید در ورودی را بگیرند. اما هکر در حمله‌ی بدون کلیک، مانند یک دزد نامرئی است که برای ورود به خانه‌ی شما اصلا نیازی به باز کردن در توسط شما ندارد.

در این نوع هک، بدافزار (Malware - نرم‌افزارها و کدهای مخربی که برای نفوذ و آسیب رساندن به سیستم‌ها طراحی می‌شوند) به صورت کاملا خاموش وارد دستگاه موبایل یا لپ‌تاپ شما می‌شود. هکر فقط با ارسال یک پیامک ساده، یک تصویر یا حتی یک تماس ویدیویی بی‌پاسخ در پیام‌رسان‌ها، کدهای مخرب خود را اجرا می‌کند؛ آن هم در شرایطی که شما حتی صفحه‌ی گوشی خود را لمس نکرده‌اید و هیچ اشتباهی از شما سر نزده است.

تفاوت هک بدون کلیک با فیشینگ و کلاهبرداری‌های سنتی

بزرگ‌ترین تفاوت این دو روش نفوذ، در میزان وابستگی آن‌ها به رفتار کاربر خلاصه می‌شود. در حملات سنتی مانند فیشینگ (Phishing - روشی که در آن کلاهبردار با ساخت پیام‌ها یا سایت‌های جعلی، کاربر را فریب می‌دهد تا رمز عبور خود را وارد کند)، هکر مانند یک ماهیگیر عمل می‌کند؛ او طعمه‌ای می‌اندازد و منتظر می‌ماند تا شما روی یک لینک خطرناک کلیک کنید یا فایلی را دانلود کنید. در اینجا، امنیت سیستم تا حد زیادی به هوشیاری شخص شما بستگی دارد.

اما در نقطه‌ی مقابل، هک بدون کلیک شبیه به یک حمله‌ی از پیش طراحی شده از یک نقطه‌ی کور است. هکر به جای تمرکز روی اشتباهات شما، به دنبال نقطه‌های ضعف و ایرادات کدنویسی در سیستم‌عامل گوشی یا برنامه‌های روزمره‌ی شما می‌گردد. در این حالت، کلاهبردار نیازی به تعامل یا اجازه‌ی شما ندارد و از مسیرهایی نفوذ می‌کند که از کنترل شما خارج است.

آیا واقعا ممکن است بدون هیچ اشتباهی هک شویم؟

شاید این موضوع شبیه به یک فیلم علمی‌تخیلی یا یک شایعه به نظر برسد، اما متاسفانه پاسخ صریح به این سوال بله است. این کابوس در دنیای واقعی وجود دارد و یکی از بزرگ‌ترین چالش‌های امنیت سایبری امروز است. هکرها در این روش از مفهومی به نام آسیب‌پذیری‌های روز صفر (Zero-Day - نقص‌ها و سوراخ‌های امنیتی در نرم‌افزارها که سازنده‌ی برنامه هنوز از وجود آن‌ها بی‌خبر است و هیچ آپدیتی برای رفعشان منتشر نکرده است) سوءاستفاده می‌کنند.

وقتی برنامه‌ای روی گوشی شما دارای چنین ضعف پنهانی باشد، هکر می‌تواند مستقیما از همان مسیر به سیستم شما نفوذ کند. بنابراین، حتی اگر گوشی موبایل خود را در گوشه‌ی اتاق گذاشته باشید و به آن دست هم نزنید، تنها متصل بودن به اینترنت و فعال بودن یک برنامه‌ی آسیب‌پذیر کافی است تا راه ورود باز شود و سرمایه‌ی دیجیتال شما به سرقت برود.

جدول مقایسه‌: تفاوت‌های کلیدی حمله با کلیک (کلاسیک) و حمله‌ی بدون کلیک

برای مرور سریع و درک بهتر تفاوت‌های ساختاری این دو مدل از حملات، ویژگی‌های اصلی آن‌ها را در جدول زیر با هم مقایسه کرده‌ایم:

ویژگی‌های بررسی شده	حمله‌ی کلاسیک (مانند فیشینگ)	حمله‌ی بدون کلیک (Zero-Click)
نیاز به اقدام کاربر	بله (کاربر باید فایلی را دانلود کند یا روی لینکی کلیک کند)	خیر (هیچ دخالت و تعاملی از سوی کاربر نیاز نیست)
نحوه‌ی نفوذ به سیستم	فریب دادن کاربر از طریق احساساتی مثل ترس یا طمع	سوءاستفاده از باگ‌ها و نقص‌های امنیتی پنهان در برنامه‌ها
سطح پیچیدگی حمله	معمولا ساده است و بیشتر به مهندسی اجتماعی نیاز دارد	بسیار پیچیده است و نیازمند دانش فنی و برنامه‌نویسی سطح بالا است
نشانه‌ی آلودگی دستگاه	معمولا کاربر بلافاصله بعد از کلیک متوجه اشتباه خود می‌شود	کاملا پنهان و بی‌صدا انجام می‌شود و هیچ نشانه‌ی ظاهری در لحظه‌ی حمله ندارد
راهکار اصلی پیشگیری	افزایش دقت فردی و باز نکردن لینک‌های مشکوک	آپدیت مداوم سیستم‌عامل و ایزوله کردن محیط ترید

حملات بدون کلیک چگونه کار می‌کنند؟

برای درک شیوه‌ی کار این حملات، بیایید یک قلعه‌ی مستحکم را تصور کنیم. در حالت عادی، نگهبانان جلوی دروازه ایستاده‌اند و هر کسی که قصد ورود دارد را بازرسی می‌کنند. حملات فیشینگ مثل این است که دزد با لباس مبدل بیاید و نگهبان را فریب دهد تا در را برایش باز کند. اما حمله‌ی بدون کلیک شبیه به یک تونل نامرئی است که مستقیما به داخل خزانه‌ی قلعه کشیده شده است. هکرها در این روش، به جای درگیری با شما و تلاش برای فریب دادنتان، به سراغ کدهای پایه‌ای و ساختار اصلی گوشی یا لپ‌تاپ شما می‌روند. آن‌ها از مسیرهایی وارد می‌شوند که دستگاه برای انجام کارهای روزمره و خودکار خود از آن‌ها استفاده می‌کند.

نفوذ خاموش از طریق برنامه‌های پیام‌رسان و تماس‌های اینترنتی

یکی از رایج‌ترین راه‌های ورود برای این هکرها، برنامه‌های پیام‌رسانی است که ما هر روز برای ارتباط با دوستانمان از آن‌ها استفاده می‌کنیم، مانند واتس‌اپ، تلگرام یا آی‌مسیج. اما چگونه ممکن است یک پیام‌رسان ساده تبدیل به یک مسیر نفوذ (Vector - راهی که هکر از طریق آن بدافزار را وارد سیستم قربانی می‌کند) شود؟

سیستم‌عامل‌ها و برنامه‌های مدرن برای راحتی و سرعت طراحی شده‌اند. وقتی کسی برای شما یک عکس، فایل یا لینک می‌فرستد، برنامه‌ی پیام‌رسان به صورت خودکار و در پس‌زمینه شروع به پردازش آن پیام می‌کند تا مثلا یک تصویر کوچک (Thumbnail) از آن بسازد یا زنگ گوشی را به صدا درآورد. هکرها دقیقا در همین نقطه‌ی کور پنهان می‌شوند. آن‌ها کدهای مخرب خود را در قالب یک پیام متنی، یک عکس، یک فایل گیف (GIF) یا حتی یک تماس ویدیویی اینترنتی دستکاری می‌کنند.

به محض اینکه پیام به گوشی شما می‌رسد، برنامه‌ی پیام‌رسان تلاش می‌کند آن را بخواند و پردازش کند و درست در همین لحظه‌ی کوتاه، کد مخرب اجرا می‌شود. در بسیاری از مواقع، هکر تماس را قبل از اینکه حتی زنگ گوشی شما به صدا درمیاد قطع می‌کند یا پیام آلوده را بلافاصله از سرور پاک می‌کند؛ در نتیجه شما هیچ ردپایی از این حمله‌ی سایبری روی صفحه‌ی گوشی خود نمی‌بینید.

سوءاستفاده از آسیب‌پذیری‌های روز صفر (Zero-Day) در سیستم‌عامل‌ها

نرم‌افزارها و سیستم‌عامل‌ها توسط انسان‌ها نوشته می‌شوند و هر چقدر هم که تیم سازنده حرفه‌ای باشد، باز هم ممکن است در لابه‌لای میلیون‌ها خط کد، اشتباهات یا سوراخ‌های امنیتی پنهانی وجود داشته باشد. به این نقاط ضعف کشف نشده، آسیب‌پذیری روز صفر (Zero-Day - نقص امنیتی مهمی که سازنده‌ی نرم‌افزار هنوز از وجود آن بی‌خبر است و فرصت صفر روزه‌ای برای برطرف کردن آن داشته است) می‌گویند.

مجرمان سایبری زمان و هزینه‌ی بسیار زیادی را صرف پیدا کردن این آسیب‌پذیری‌ها در هسته‌ی مرکزی سیستم‌عامل‌هایی مثل اندروید، ویندوز یا آی‌او‌اس (iOS) می‌کنند. روند کار هکرها برای نفوذ از این طریق، معمولا شامل این سه مرحله‌ی ساده است:

• شناسایی نقطه‌ی کور: پیدا کردن یک باگ در نحوه‌ی پردازش اطلاعات سیستم‌عامل که هنوز توسط شرکت‌های امنیتی بزرگی مثل اپل یا گوگل کشف نشده است.
• ساخت ابزار نفوذ: نوشتن کدی که بتواند با استفاده از این باگ، دیوارهای دفاعی گوشی را دور بزند (به این کد مخرب و ابزار نفوذ، Exploit یا بهره‌بردار می‌گویند).
• اجرای بی‌صدا: ارسال کد از طریق اینترنت به دستگاه تریدر و در دست گرفتن کنترل سیستم بدون نیاز به تایید یا لمس صفحه توسط قربانی.

نقش بدافزارهای پیشرفته (مانند پگاسوس) در تکامل این نوع حملات

برای اینکه بدانیم این تهدید در دنیای واقعی چقدر جدی است، باید به سراغ معروف‌ترین نمونه‌ی آن برویم. پگاسوس (Pegasus) یک نرم‌افزار جاسوسی (Spyware - برنامه‌ای که به صورت مخفیانه وارد سیستم شده، اطلاعات کاربر را جمع‌آوری کرده و برای هکر ارسال می‌کند) بسیار پیچیده است که توسط یک شرکت خصوصی ساخته شد. هدف اولیه‌ی این بدافزار، کمک به دولت‌ها برای ردیابی مجرمان خطرناک بود، اما به سرعت نشان داد که تکنولوژی هک بدون کلیک تا چه حد می‌تواند بی‌رحم و غیرقابل مهار باشد.

پگاسوس به همه‌ی ما ثابت کرد که می‌توان تنها با ارسال یک پیام دیده نشده به گوشی هدف، کنترل کامل میکروفون، دوربین، پیامک‌ها و فایل‌های شخصی آن را در دست گرفت. هرچند پگاسوس در ابتدا برای اهداف جاسوسی استفاده می‌شد، اما ایده‌ی پشت آن به سرعت در دنیای هکرها تکثیر شد. امروزه سارقان حوزه‌ی رمزارز با الگوبرداری از شیوه‌ی کار پگاسوس، بدافزارهای مشابهی را طراحی کرده‌اند. هدف این نسل جدید از بدافزارها جاسوسی از چت‌های شما نیست؛ بلکه آن‌ها مستقیما به دنبال جستجو در حافظه‌ی پنهان گوشی شما برای پیدا کردن کلمات بازیابی کیف پول، خواندن پیامک‌های تایید دو مرحله‌ای صرافی‌ها و در نهایت، سرقت بی‌صدای دارایی‌های دیجیتال شما هستند.

هکرها چگونه با Zero-Click Attack ارزهای دیجیتال را سرقت می‌کنند؟

وقتی بدافزار از طریق یک پیام ساده و بدون نیاز به کلیک شما وارد گوشی یا لپ‌تاپ می‌شود، تازه بخش اصلی ماجرا آغاز می‌گردد. برای درک این مرحله، همان دزد نامرئی را تصور کنید که حالا با موفقیت وارد خانه‌ی شما شده است. او برای دزدیدن طلاها نیازی به شکستن گاوصندوق ندارد، بلکه فقط باید کلید آن را پیدا کند. در دنیای رمزارزها، این سارقان سایبری برنامه‌ریزی شده‌اند تا بلافاصله بعد از ورود، به دنبال حیاتی‌ترین اطلاعات شما بگردند و آن‌ها را به سرقت ببرند.

سرقت کلید خصوصی و عبارات بازیابی (Seed Phrase) از حافظه‌ی پنهان گوشی

مهم‌ترین هدف هر هکری، دسترسی به کلید خصوصی (Private Key - رمز عبور اصلی و قطعی کیف پول که مالکیت شما بر دارایی‌ها را ثابت می‌کند) یا عبارات بازیابی (Seed Phrase - مجموعه‌ای از 12 یا 24 کلمه‌ی انگلیسی که مانند شاه‌کلید برای بازگرداندن کیف پول عمل می‌کنند) است.

بسیاری از کاربران برای راحتی کار، این کلمات مهم را کپی می‌کنند تا در برنامه‌ای دیگر جای‌گذاری کنند یا از آن‌ها در بخش یادداشت‌های گوشی عکس و متن ذخیره می‌کنند. بدافزارهای بدون کلیک به گونه‌ای طراحی شده‌اند که به صورت بی‌صدا، کلیپ‌بورد یا همان حافظه‌ی پنهان گوشی (فضایی موقت که اطلاعات کپی شده برای لحظاتی در آن نگه داشته می‌شود) را زیر نظر می‌گیرند. به محض اینکه شما عبارات بازیابی خود را کپی کنید، این کدهای مخرب آن را می‌خوانند و به سرور هکر ارسال می‌کنند. در نتیجه، هکر در آن سوی دنیا به راحتی کیف پول شما را روی دستگاه خودش بازسازی کرده و تمام موجودی را خالی می‌کند.

دور زدن احراز هویت دو مرحله‌ای (2FA) با دسترسی به پیامک‌ها

شاید با خودتان فکر کنید که من برای ورود به صرافی یا کیف پولم از احراز هویت دو مرحله‌ای (2FA - یک لایه‌ی امنیتی اضافه که برای ورود، علاوه بر رمز عبور ثابت، یک کد موقت و یک‌بار مصرف هم از طریق پیامک یا اپلیکیشن از شما می‌خواهد) استفاده می‌کنم و هکر نمی‌تواند وارد شود. اما متاسفانه حمله‌ی بدون کلیک این سد دفاعی را هم بی‌اثر می‌کند.

وقتی دستگاه شما آلوده می‌شود، هکر کنترل کامل پیامک‌ها و اعلان‌های گوشی را در دست دارد. این یعنی چه؟ یعنی اگر هکر بخواهد وارد حساب صرافی شما شود، کد تاییدی که پیامک می‌شود را قبل از اینکه شما روی صفحه‌ی گوشی ببینید، می‌خواند و حتی می‌تواند آن پیامک را بلافاصله پاک کند تا شما به چیزی شک نکنید. انگار دزد داخل خانه‌ی شماست و نامه‌های پستی شما را قبل از اینکه به دستتان برسد، باز می‌کند، می‌خواند و سپس دور می‌اندازد.

بهره‌برداری از نقاط ضعف در کیف پول‌های نرم‌افزاری و برنامه‌های غیرمتمرکز (DApp)

یکی دیگر از روش‌های هوشمندانه‌ی هکرها، حمله به اپلیکیشن‌هایی است که از قبل روی گوشی خود نصب کرده‌اید. آن‌ها به جای درگیری مستقیم با سیستم‌عامل، به سراغ کیف پول‌های نرم‌افزاری (Hot Wallets - کیف پول‌هایی که به صورت اپلیکیشن روی گوشی یا کامپیوتر نصب می‌شوند و همیشه به اینترنت متصل هستند) یا برنامه‌های غیرمتمرکز (DApp - نرم‌افزارهای مالی، صرافی‌ها یا بازی‌هایی که بدون مدیر مرکزی و مستقیما روی شبکه‌ی بلاک‌چین اجرا می‌شوند) می‌روند.

بدافزار پس از نفوذ خاموش به گوشی، این مسیر هدفمند را طی می‌کند:

• اسکن و شناسایی محیط: ابتدا به صورت پنهانی بررسی می‌کند که شما از چه کیف پول‌ها و برنامه‌هایی استفاده می‌کنید و دارایی‌های شما کجا قرار دارند.
• یافتن سوراخ امنیتی: سپس در کدهای آن برنامه‌ی خاص، به دنبال یک نقطه‌ی ضعف، باگ یا یک مسیر نفوذ می‌گردد.
• تایید تراکنش‌های جعلی: در نهایت، بدافزار با استفاده از دسترسی‌هایی که در پس‌زمینه دارد، یک تراکنش انتقال را به آدرس کیف پول هکر ایجاد می‌کند. سپس از طریق باگ موجود در برنامه‌ی غیرمتمرکز، آن را به جای شما تایید و امضا می‌کند؛ بدون اینکه هیچ صفحه‌ی تاییدی برای کسب اجازه روی نمایشگر گوشی شما ظاهر شود.

به این ترتیب، دارایی دیجیتال شما فقط به دلیل وصل بودن کیف پولتان به یک برنامه‌ی آسیب‌پذیر و حضور یک بدافزار نامرئی، در چشم‌برهم‌زدنی ناپدید می‌شود.

چه کسانی هدف اصلی حملات بدون کلیک هستند؟

شاید وقتی درباره‌ی این هک‌های پیشرفته و گران‌قیمت می‌خوانید، با خودتان بگویید که من یک کاربر عادی هستم و اطلاعات یا سرمایه‌ی آن‌چنان بزرگی ندارم که یک هکر حرفه‌ای بخواهد وقت خود را برای من صرف کند. اما در دنیای امنیت سایبری و به خصوص بازار رمزارزها، این طرز فکر می‌تواند بسیار خطرناک باشد. واقعیت این است که برای بدافزارهای خودکار، هویت شما اهمیتی ندارد؛ چیزی که مهم است، میزان دسترسی به مسیرهای مالی و کیف پول شماست.

آیا تریدرهای خرد و کاربران عادی کریپتو هم در خطرند یا فقط نهنگ‌ها هدف قرار می‌گیرند؟

در گذشته‌های نه چندان دور، حملات بدون کلیک بسیار پرهزینه بودند و هکرها آن‌ها را فقط برای اهداف بسیار خاص و باارزش استفاده می‌کردند. در دنیای رمزارزها، این اهداف خاص معمولا نهنگ‌ها (Whales - سرمایه‌گذاران بسیار بزرگی که مقدار عظیمی از یک ارز دیجیتال را در اختیار دارند و تراکنش‌های آن‌ها می‌تواند روی قیمت کل بازار تاثیر بگذارد) هستند. منطقی است که هکر ترجیح دهد با یک بار نفوذ موفق و پیچیده، میلیون‌ها دلار به سرقت ببرد.

اما آیا این موضوع به این معناست که تریدرهای خرد (Retail Traders - معامله‌گران و سرمایه‌گذاران عادی که با سرمایه‌ی شخصی و نسبتا کم در بازار فعالیت می‌کنند) در امان هستند؟ متاسفانه خیر. با گذشت زمان و پیشرفت تکنولوژی، ابزارهای هک نیز ارزان‌تر و در دسترس‌تر شده‌اند. امروزه مجرمان سایبری استراتژی تور ماهیگیری را هم در کنار شکار نقطه‌ای به کار می‌برند. به دلایل زیر، شما هم به عنوان یک کاربر عادی در معرض این خطر خاموش هستید:

• اجرای خودکار بدافزارها: بدافزارهای جدید نیازی به کنترل دستی توسط هکر ندارند. آن‌ها مانند یک ربات برنامه‌ریزی شده، به صورت انبوه برای هزاران شماره موبایل یا آیدی پیام‌رسان ارسال می‌شوند و هر دستگاهی که نقطه‌ی ضعفی داشته باشد را به صورت خودکار آلوده می‌کنند.
• تجمیع سرمایه‌های کوچک: برای یک شبکه‌ی هکری، سرقت هزار دلار از هزار کاربر عادی، به همان اندازه‌ی سرقت یک میلیون دلار از یک نهنگ سودآور است، اما دردسرها و حساسیت‌های قانونی بسیار کمتری را به همراه دارد.
• فروش اطلاعات ثانویه: گاهی هدف اولیه سرقت مستقیم رمزارز نیست. هکرها دستگاه کاربران عادی را آلوده می‌کنند تا کلمات عبور صرافی‌ها، تاریخچه‌ی مرورگر و اطلاعات هویتی آن‌ها را در بازارهای سیاه اینترنتی به کلاهبرداران دیگر بفروشند.

بررسی نمونه‌های واقعی از سرقت‌های سایبری خاموش در دنیای بلاک‌چین

برای اینکه درک بهتری از واقعیت این تهدید داشته باشیم، مرور چند نمونه از اتفاقاتی که در دنیای واقعی رخ داده است، بسیار کمک‌کننده خواهد بود. این حملات نشان می‌دهند که سارقان چگونه از کوچک‌ترین روزنه‌ها برای سرقت دارایی‌های مبتنی بر بلاکچین (Blockchain) استفاده می‌کنند:

• نفوذ از طریق برنامه‌ی آی‌مسیج اپل: در سال‌های اخیر، یکی از معروف‌ترین روزنه‌های نفوذ بدون کلیک در میان کاربران کریپتو از طریق پیام‌رسان پیش‌فرض گوشی‌های آیفون انجام شد. هکرها یک تصویر دستکاری شده را برای کاربران ارسال می‌کردند. به محض دریافت پیام و بدون اینکه کاربر حتی پیام را باز کند، ضعف موجود در پروسه‌ی پردازش تصویر باعث می‌شد تا دستگاه آلوده شود. در این حمله، هکرها موفق شدند به اطلاعات حیاتی بسیاری از کاربرانی که کیف پول نرم‌افزاری روی گوشی خود داشتند دسترسی پیدا کنند.
• هدف قرار دادن کاربران اندروید از طریق تماس واتس‌اپ: در یک پرونده‌ی شناخته شده‌ی دیگر، مجرمان از قابلیت تماس صوتی در برنامه‌ی پیام‌رسان واتس‌اپ استفاده کردند. آن‌ها با گوشی قربانی تماس می‌گرفتند و بدافزار دقیقا در زمان زنگ خوردن گوشی نصب می‌شد. هکر سپس تماس را قطع و تاریخچه‌ی تماس را از گوشی پاک می‌کرد. کاربرانی که نرم‌افزارهای صرافی روی این دستگاه‌ها داشتند، در کمال ناباوری متوجه می‌شدند که حسابشان تخلیه شده است، در حالی که هیچ کار اشتباهی نکرده بودند.
• آلودگی از طریق شبکه‌های وای‌فای عمومی: مواردی گزارش شده است که تریدرها در فرودگاه‌ها، کافه‌ها یا هتل‌ها به یک شبکه‌ی اینترنت رایگان متصل شده‌اند. هکرها با استفاده از ابزارهای استراق سمع و بدافزارهای بدون کلیک که روی شبکه‌ی وای‌فای تنظیم شده بود، به محض اتصال دستگاه تریدر، بدافزار را وارد سیستم کرده و موجودی کیف پول آن‌ها را به آدرس‌های خود منتقل کردند.

این نمونه‌ها به خوبی نشان می‌دهند که در دنیای دیجیتال امروز، تنها کلیک نکردن روی لینک‌های مخرب کافی نیست و برای محافظت از سرمایه‌ی خود، باید یک لایه‌ی دفاعی بسیار محکم‌تر برای دستگاه‌های هوشمندمان بسازیم.

نشانه‌های پنهان آلوده شدن دستگاه به بدافزارهای بدون کلیک

همان‌طور که پیش‌تر گفتیم، بدافزارهای بدون کلیک شبیه به یک دزد نامرئی هستند که بدون ایجاد سر و صدا وارد خانه‌ی شما می‌شوند. این برنامه‌های مخرب هیچ آیکون یا علامت ظاهری روی صفحه‌ی گوشی یا لپ‌تاپ شما ایجاد نمی‌کنند. با این حال، هر چقدر هم که یک هکر حرفه‌ای باشد، کدهای مخرب او برای فعالیت در داخل دستگاه شما به انرژی و منابع سیستم نیاز دارند. این فعالیت‌های پنهان، ردپاهایی از خود به جا می‌گذارند که اگر یک کاربر هوشیار باشید، می‌توانید آن‌ها را تشخیص دهید. در ادامه، چهار نشانه‌ی مهم که می‌توانند زنگ خطر نفوذ سایبری باشند را بررسی می‌کنیم.

افت ناگهانی و غیرطبیعی باتری موبایل یا لپ‌تاپ

یکی از اولین و واضح‌ترین نشانه‌های حضور یک مهمان ناخوانده در سیستم شما، خالی شدن سریع و غیرمنطقی باتری است. بدافزارهای جاسوسی و سرقت رمزارز، برای اینکه بتوانند مدام در حافظه‌ی پنهان دستگاه به دنبال کلمات بازیابی بگردند یا پیامک‌های شما را زیر نظر بگیرند، باید به صورت پیوسته و 24 ساعته فعال باشند.

اگر متوجه شدید که باتری دستگاه شما که تا پیش از این به راحتی یک روز کامل دوام می‌آورد، حالا در عرض چند ساعت و بدون استفاده‌ی سنگینی خالی می‌شود، باید به این موضوع شک کنید. در این حالت، بدافزار در حال مکیدن انرژی دستگاه شما برای انجام عملیات پنهانی خود است.

داغ شدن بی‌دلیل دستگاه در زمان عدم استفاده

گوشی‌ها و لپ‌تاپ‌های هوشمند معمولا زمانی داغ می‌شوند که پردازنده (Processor) در حال انجام یک کار سنگین مثل اجرای بازی‌های گرافیکی بالا یا ویرایش ویدیو باشد.

حالا تصور کنید گوشی خود را روی میز گذاشته‌اید، صفحه‌ی آن خاموش است و هیچ برنامه‌ای باز نیست؛ اما وقتی به آن دست می‌زنید متوجه می‌شوید که بدنه‌ی آن به شدت داغ است! این حرارت بی‌دلیل نشان می‌دهد که پردازنده‌ی دستگاه شما در حال کار با تمام توان است. در حملات بدون کلیک، بدافزارها به طور مداوم در حال اسکن کردن فایل‌ها و آماده‌سازی برای سرقت اطلاعات هستند. این درگیری مداوم پردازنده، باعث تولید گرمای غیرطبیعی می‌شود.

افزایش غیرعادی مصرف اینترنت و فعال بودن فرآیندهای ناشناس در پس‌زمینه

بدافزارها پس از پیدا کردن اطلاعات حیاتی شما (مثل کلیدهای خصوصی کیف پول)، برای اینکه بتوانند این اطلاعات را به دست هکر برسانند، نیاز به یک مسیر ارتباطی دارند. این مسیر همان اتصال اینترنت شماست. هکرها از طریق فرآیندهای پس‌زمینه (Background Processes - برنامه‌ها و دستوراتی که بدون باز بودن روی صفحه‌ی نمایش، به صورت پنهانی در حال کار و مصرف منابع هستند) داده‌های شما را جمع‌آوری و ارسال می‌کنند.

برای تشخیص این مشکل می‌توانید به بخش تنظیمات شبکه‌ی دستگاه خود بروید و میزان مصرف داده را چک کنید. مشاهده‌ی موارد زیر می‌تواند یک هشدار جدی باشد:

• پرش ناگهانی در حجم اینترنت مصرفی: تمام شدن زودهنگام بسته‌ی اینترنت بدون اینکه شما دانلود خاصی انجام داده باشید یا فیلمی دیده باشید.
• آپلود پیوسته‌ی اطلاعات: مشاهده‌ی حجم بالای ارسال داده (Upload) در زمانی که شما هیچ فایل یا عکسی برای کسی نفرستاده‌اید. این یعنی دستگاه شما در حال انتقال پنهانی اطلاعات به یک سرور خارجی است.
• مصرف بالای داده توسط برنامه‌های سیستمی: گاهی بدافزارها خود را در قالب برنامه‌های اصلی و پیش‌فرض سیستم پنهان می‌کنند و مصرف اینترنت آن‌ها به شکل عجیبی بالا می‌رود.

دریافت پیام‌ها، ایمیل‌ها یا تماس‌های کوتاه و ناشناس (نشانه‌های اولیه نفوذ)

همان‌طور که در بخش‌های قبل بررسی کردیم، راه ورود بدافزارهای بدون کلیک معمولا از طریق پیام‌رسان‌ها و برنامه‌های ارتباطی است. هکرها برای تزریق کد مخرب به دستگاه شما، باید یک محتوای دستکاری شده را برایتان ارسال کنند تا در پس‌زمینه‌ی برنامه پردازش شود.

بسیاری از مواقع این فرآیند چنان سریع است که شما اصلا متوجه چیزی نمی‌شوید، اما گاهی اوقات ردپای کوچکی از این نقطه‌ی ورود روی گوشی شما به جا می‌ماند. این نشانه‌ها معمولا به شکل‌های زیر بروز می‌کنند:

• تماس‌های از دست رفته‌ی بسیار کوتاه: تماس‌های ویدیویی یا صوتی ناشناس در واتس‌اپ یا برنامه‌های مشابه که فقط کسری از ثانیه زنگ می‌خورند و فورا قطع می‌شوند.
• پیامک‌های عجیب و بی‌مفهوم: دریافت پیام‌هایی که خوانا نیستند و فقط شامل حروف و اعداد به‌هم‌ریخته هستند.
• اعلان‌های لحظه‌ای: ظاهر شدن یک هشدار یا پیام روی صفحه‌ی گوشی که فورا محو می‌شود و هیچ اثری از آن در بخش اعلان‌ها (Notifications) باقی نمی‌ماند.

دیدن این نشانه‌های ظاهرا بی‌اهمیت، می‌تواند گواه این باشد که مجرمان سایبری در تلاش برای نفوذ به نقطه‌ی امن دارایی‌های دیجیتال شما هستند.

راهکارهای پیشرفته برای محافظت از دارایی‌های دیجیتال در برابر حملات بدون کلیک

تا به اینجا متوجه شدیم که حمله‌ی بدون کلیک چقدر می‌تواند خاموش و خطرناک باشد. شاید با خواندن بخش‌های قبل احساس نگرانی کرده باشید، اما جای هیچ ترسی نیست. همان‌طور که هکرها روش‌های نفوذ خود را پیشرفته‌تر می‌کنند، راهکارهای دفاعی و امنیتی نیز قدرتمندتر شده‌اند. در دنیای امنیت دیجیتال قانونی وجود دارد که می‌گوید: ما نمی‌توانیم جلوی تمام حملات را بگیریم، اما می‌توانیم نفوذ به سیستم خود را آن‌قدر سخت و پرهزینه کنیم که هکر از حمله به ما منصرف شود. در این بخش، قدم به قدم با هم یک قلعه‌ی دیجیتال نفوذناپذیر برای محافظت از سرمایه‌ی شما می‌سازیم.

ایزوله کردن محیط معاملات: چرا باید یک گوشی یا لپ‌تاپ مخصوص ترید داشته باشیم؟

بهترین و مطمئن‌ترین راه برای در امان ماندن از بدافزارهای پیام‌رسان این است که اصلا پیام‌رسانی روی دستگاه مالی خود نداشته باشید! ایزوله کردن (Isolation - جدا کردن کامل محیط فعالیت‌های مالی از محیط فعالیت‌های روزمره و عمومی) یکی از اصول اولیه‌ی امنیت برای معامله‌گران حرفه‌ای است.

تصور کنید گاوصندوق خانه‌ی شما دقیقا وسط اتاق نشیمن و در دسترس تمام مهمانان باشد؛ قطعا این کار منطقی نیست. گوشی موبایلی که با آن وب‌گردی می‌کنید، در تلگرام فایل دانلود می‌کنید و بازی نصب می‌کنید، به هیچ‌وجه مکان مناسبی برای نگهداری کیف پول ارز دیجیتال نیست. برای محافظت صد درصدی، بهتر است یک گوشی یا لپ‌تاپ ارزان‌قیمت اما با سیستم‌عامل به‌روز تهیه کنید و از آن فقط و فقط برای ترید و ورود به صرافی‌ها استفاده کنید. روی این دستگاه اختصاصی، هیچ شبکه‌ی اجتماعی، ایمیل شخصی یا برنامه‌ی اضافه‌ای نباید نصب شود.

مهاجرت به کیف پول‌های سخت‌افزاری برای نگهداری امن دارایی‌های اصلی

اگر سرمایه‌ی قابل توجهی در بازار کریپتو دارید، نگهداری آن در کیف پول‌های نرم‌افزاری (روی موبایل) ریسک بزرگی است. راه‌حل قطعی برای مقابله با هکرهای بدون کلیک، استفاده از کیف پول سخت‌افزاری (Cold Wallet - دستگاهی فیزیکی و شبیه به فلش مموری که کلیدهای خصوصی شما را در محیطی کاملا آفلاین و دور از دسترس اینترنت نگهداری می‌کند) است.

چرا کیف پول سخت‌افزاری ضد هک است؟ چون حتی اگر گوشی یا لپ‌تاپ شما به پیشرفته‌ترین بدافزار جهان هم آلوده شود، هکر برای خارج کردن ارزهای دیجیتال شما به یک تایید فیزیکی نیاز دارد. در واقع تا زمانی که شما دکمه‌ی روی دستگاه سخت‌افزاری را با انگشت خود فشار ندهید، هیچ تراکنشی انجام نمی‌شود و دست هکر در دنیای اینترنت کاملا بسته می‌ماند.

تنظیمات امنیتی ضروری برای برنامه‌ها (غیرفعال کردن دانلود خودکار در تلگرام، واتس‌اپ و آی‌مسیج)

اگر امکان تهیه‌ی یک دستگاه مجزا را ندارید و مجبورید از همان گوشی شخصی خود برای کارهای مالی استفاده کنید، باید یک تغییر بسیار مهم در تنظیمات برنامه‌های خود ایجاد کنید. همان‌طور که گفتیم، بدافزارها از طریق پردازش خودکار فایل‌ها در پیام‌رسان‌ها وارد می‌شوند.

شما باید به بخش تنظیمات (Settings) در پیام‌رسان‌هایی مثل تلگرام، واتس‌اپ و آی‌مسیج بروید و گزینه‌ی دانلود خودکار رسانه‌ها (Auto-Download Media) را به طور کامل خاموش کنید. با این کار ساده، اگر هکری یک فایل آلوده برای شما بفرستد، این فایل تار و دانلود نشده باقی می‌ماند و تا زمانی که شما با انگشت خود روی آن ضربه نزنید تا دانلود شود، هیچ کدی روی گوشی شما اجرا نخواهد شد.

استفاده از کیف پول‌های چند امضایی (Multi-Sig) برای ایجاد لایه امنیتی مضاعف

یک راهکار هوشمندانه و پیشرفته‌ی دیگر، استفاده از فناوری کیف پول چند امضایی (Multi-Signature - نوعی کیف پول که برای تایید هر تراکنش، به تایید از طرف دو یا چند دستگاه مختلف نیاز دارد) است.

این سیستم را مانند گاوصندوقی در بانک تصور کنید که دو قفل دارد؛ یک کلید دست شماست و کلید دیگر دست رییس بانک و در گاوصندوق فقط زمانی باز می‌شود که هر دو کلید همزمان بچرخند. در کیف پول‌های چند امضایی، شما می‌توانید تنظیم کنید که برای انتقال وجه، هم گوشی موبایل و هم لپ‌تاپ شما باید تراکنش را تایید کنند. در این حالت، اگر هکر از طریق یک پیام مخرب گوشی شما را آلوده کند، باز هم نمی‌تواند پول‌هایتان را بدزدد، زیرا به دستگاه دوم شما دسترسی ندارد.

اهمیت حیاتی به‌روزرسانی مداوم سیستم‌عامل و نرم‌افزارها

بسیاری از ما وقتی پیام آپدیت یا به‌روزرسانی گوشی را می‌بینیم، آن را به تعویق می‌اندازیم. اما باید بدانید که این آپدیت‌ها فقط برای تغییر ظاهر گوشی نیستند. شرکت‌هایی مثل اپل، گوگل و مایکروسافت به محض اینکه متوجه یک سوراخ امنیتی یا آسیب‌پذیری روز صفر (Zero-Day) در سیستم خود می‌شوند، یک وصله‌ی امنیتی (Patch - قطعه کدی که برای ترمیم و پوشاندن نقطه‌ی ضعف برنامه‌ها منتشر می‌شود) می‌سازند و آن را در قالب آپدیت جدید ارائه می‌دهند. نصب سریع این آپدیت‌ها، در واقع بستن راه‌های نفوذی است که هکرها تازه آن‌ها را کشف کرده‌اند.

محدود کردن دسترسی‌ها و مجوزهای غیرضروری اپلیکیشن‌ها

آیا تا به حال دقت کرده‌اید که یک برنامه‌ی ساده‌ی چراغ قوه، چرا باید به پیامک‌ها یا مخاطبین شما دسترسی (Permission) داشته باشد؟ بسیاری از بدافزارها خود را در قالب برنامه‌های کاربردی و ساده پنهان می‌کنند. شما باید به بخش تنظیمات گوشی خود بروید و مجوز برنامه‌ها را بررسی کنید. دسترسی به پیامک‌ها، دوربین، میکروفون و حافظه‌ی دستگاه را از تمام برنامه‌هایی که به آن‌ها نیازی ندارند، قطع کنید. این کار باعث می‌شود حتی اگر بدافزاری وارد گوشی شود، نتواند به اطلاعات حساس شما سرک بکشد.

استفاده از شبکه‌های خصوصی مجازی (VPN) معتبر و پرهیز از وای‌فای عمومی

هکرها عاشق شبکه‌های وای‌فای عمومی و بدون رمز در کافه‌ها، فرودگاه‌ها و هتل‌ها هستند. اتصال به این شبکه‌ها مانند این است که اطلاعات خود را در یک بلندگوی عمومی فریاد بزنید. به عنوان یک تریدر، هرگز نباید با اینترنت عمومی وارد کیف پول یا صرافی خود شوید. همیشه از اینترنت خط شخصی خود استفاده کنید و برای امنیت بیشتر، یک برنامه‌ی تغییر آی‌پی یا وی‌پی‌ان (VPN - شبکه‌ی خصوصی مجازی که اطلاعات ارسالی شما را به کدهای نامفهوم تبدیل می‌کند تا کسی در میانه مسیر نتواند آن‌ها را بخواند) معتبر و پولی تهیه کنید.

چک‌لیست امنیتی گام‌به‌گام برای تریدرهای ارز دیجیتال

برای مرور سریع راهکارهایی که یاد گرفتیم، یک چک‌لیست کاربردی برای شما آماده کرده‌ایم. با رعایت این ساختار، یک سپر دفاعی محکم برای دارایی‌های خود خواهید ساخت:

• گام اول: قطع دسترسی‌های خودکار
  • خاموش کردن دانلود خودکار عکس و ویدیو در تمامی پیام‌رسان‌ها.
  • لغو نصب برنامه‌های کرک شده، ناشناس و غیررسمی.
  • بررسی و بستن دسترسی برنامه‌ها به پیامک و حافظه‌ی گوشی.
• گام دوم: ارتقای سطح ایمنی دستگاه
  • آپدیت کردن سیستم‌عامل گوشی یا لپ‌تاپ به آخرین نسخه‌ی موجود.
  • آپدیت کردن برنامه‌ی صرافی‌ها و کیف پول‌های نرم‌افزاری.
  • نصب یک آنتی‌ویروس معتبر برای اسکن مداوم حافظه‌ی پس‌زمینه.
• گام سوم: ایجاد محیط ایزوله بانکی
  • تهیه‌ی یک دستگاه دوم فقط برای ترید (در صورت امکان).
  • خرید یک کیف پول سخت‌افزاری فیزیکی برای هولد و نگهداری بلندمدت دارایی‌ها.
  • استفاده دائمی از اینترنت شخصی و وی‌پی‌ان پولی به جای وای‌فای عمومی.

در صورت مواجهه با Zero-Click Attack چه باید کرد؟

تصور کنید متوجه نشانه‌های مشکوکی شده‌اید و حدس می‌زنید که دستگاه شما آلوده شده است. در این شرایط، حفظ خونسردی مهم‌ترین کار است. زمان در اینجا طلا است و هر ثانیه می‌تواند به معنای از دست رفتن بخش بیشتری از سرمایه‌ی شما باشد. در ادامه، سه اقدام حیاتی را با هم مرور می‌کنیم که باید بلافاصله و بدون اتلاف وقت انجام دهید تا جلوی خسارت بیشتر را بگیرید.

گام اول: قطع فوری اتصال اینترنت، بلوتوث و شبکه‌های محلی

اولین و مهم‌ترین واکنشی که باید نشان دهید، قطع کردن تمام راه‌های ارتباطی دستگاه با دنیای بیرون است. بدافزارهای بدون کلیک برای اینکه بتوانند اطلاعات کیف پول شما را برای هکر بفرستند یا تراکنشی را تایید کنند، به یک پل ارتباطی نیاز دارند. اگر این پل را خراب کنید، هکر در نیمه‌ی راه فلج می‌شود. این کار دقیقا شبیه به این است که وقتی متوجه حضور دزد در خانه‌ی خود می‌شوید، فورا درهای خروجی را قفل کنید تا نتواند با اموال شما فرار کند.

برای قطع ارتباط، سریعا اقدامات زیر را انجام دهید:

• سریعا اینترنت وای‌فای (Wi-Fi) و دیتای موبایل (Mobile Data) خود را خاموش کنید.
• حالت پرواز (Airplane Mode) گوشی را فعال کنید تا هرگونه ارتباط مخابراتی متوقف شود.
• بلوتوث و هرگونه اتصال به شبکه‌ی محلی را ببندید. با این کار، دستگاه شما به یک جزیره‌ی دورافتاده تبدیل می‌شود که هیچ کدی نمی‌تواند از آن خارج شود.

گام دوم: انتقال سریع دارایی‌ها از طریق یک دستگاه امن دیگر

حالا که دستگاه آلوده را قرنطینه کردید، باید به سرعت سرمایه‌ی خود را به یک مکان امن منتقل کنید. توجه داشته باشید که به هیچ وجه نباید از همان گوشی یا لپ‌تاپ آلوده برای این کار استفاده کنید. شما باید از یک دستگاه تمیز و کاملا امن (مثلا گوشی یکی از اعضای مورد اعتماد خانواده یا یک لپ‌تاپ دیگر) استفاده کنید.

مراحل انتقال امن دارایی‌ها به این شکل است:

• کیف پول اصلی خود را روی دستگاه جدید و امن بازیابی کنید. برای این کار باید از کلمات کلیدی بازیابی خود استفاده کنید.
• یک کیف پول کاملا جدید با آدرس و کلمات کلیدی متفاوت بسازید، یا از حساب صرافی معتبر خود به عنوان مقصد موقت استفاده کنید.
• تمام موجودی خود را از کیف پول قدیمی به این آدرس جدید و امن انتقال دهید. با این کار، حتی اگر هکر در آینده دوباره به کیف پول قبلی دسترسی پیدا کند، با یک صندوق خالی روبرو خواهد شد.

گام سوم: بررسی تخصصی دستگاه، بازگشت به تنظیمات کارخانه (Factory Reset) و تغییر رمزهای عبور

دارایی‌های شما حالا در جای امنی هستند. در این مرحله باید به سراغ پاکسازی دستگاه آلوده برویم. از آنجایی که بدافزارهای بدون کلیک به شدت پیچیده هستند و در لایه‌های پنهان سیستم‌عامل مخفی می‌شوند، پاک کردن دستی برنامه‌ها یا استفاده از نرم‌افزارهای امنیتی معمولی معمولا کافی نیست.

بهترین و مطمئن‌ترین راهکار، انجام بازگشت به تنظیمات کارخانه (Factory Reset - پاک کردن تمام اطلاعات، برنامه‌ها و تنظیمات گوشی و برگرداندن آن به حالت اولیه‌ای که تازه از کارخانه بیرون آمده است) می‌باشد. این کار باعث می‌شود تمام کدهای مخرب به طور کامل از روی حافظه‌ی دستگاه پاک شوند.

پس از پاکسازی دستگاه، رعایت این نکات ضروری است:

• حتما تمام رمزهای عبور خود، از جمله رمز ایمیل، صرافی‌ها و حتی شبکه‌های اجتماعی را تغییر دهید؛ زیرا ممکن است هکر قبل از قطع شدن اینترنت، آن‌ها را سرقت کرده باشد.
• برای حساب‌های حساس خود، احراز هویت دو مرحله‌ای را دوباره با کدهای جدید تنظیم کنید.
• اگر در زمینه‌ی مسائل فنی مهارت کافی ندارید، بهتر است قبل از هر اقدامی دستگاه خود را به یک متخصص امنیت سایبری نشان دهید تا بررسی‌های دقیق‌تری روی آن انجام دهد.

آینده امنیت در بازار رمزارزها و مقابله با نسل جدید هکرها

همان‌طور که دیدیم، هکرها دائما در حال پیدا کردن راه‌های جدید و پنهان برای نفوذ هستند. این وضعیت شبیه به یک مسابقه‌ی تسلیحاتی پیوسته بین قفل‌سازان و سارقان است. هر چقدر سارقان ابزارهای پیشرفته‌تری می‌سازند، مهندسان امنیت نیز لایه‌های دفاعی هوشمندانه‌تری طراحی می‌کنند.

در آینده‌ی دنیای رمزارز (Cryptocurrency - پول‌های دیجیتالی و رمزنگاری شده که بر پایه‌ی فناوری‌های امنیتی ساخته شده‌اند)، قرار نیست ما همیشه در جایگاه دفاعی و ترس باشیم. تکنولوژی‌های جدیدی در راه هستند که می‌توانند این بدافزارهای نامرئی را قبل از اینکه حتی وارد دستگاه ما شوند، شناسایی و نابود کنند.

نقش هوش مصنوعی در تشخیص زودهنگام حملات خاموش

تا پیش از این، نرم‌افزارهای آنتی‌ویروس مانند یک نگهبان ساده عمل می‌کردند؛ آن‌ها لیستی از چهره‌ی دزدهای شناخته شده داشتند و اگر چهره‌ی جدیدی می‌دیدند، به سادگی اجازه‌ی ورود می‌دادند. به همین دلیل بدافزارهای بدون کلیک (Zero-Click) به راحتی از این سد عبور می‌کردند، چون کدهای آن‌ها برای نگهبان کاملا جدید و ناشناس بود.

اما هوش مصنوعی (AI) این قواعد بازی را تغییر داده است. هوش مصنوعی به جای گشتن به دنبال کدهای مخرب آشنا، مستقیما رفتار سیستم شما را زیر نظر می‌گیرد. او مانند یک سیستم ایمنی بسیار هوشمند برای دستگاه شما عمل می‌کند.

هوش مصنوعی می‌تواند الگوهای رفتاری مشکوک را در کسر کوچکی از ثانیه تشخیص دهد. به عنوان مثال، اگر یک برنامه‌ی پیام‌رسان به طور ناگهانی و در نیمه‌های شب بخواهد به حافظه‌ی پنهان گوشی شما دسترسی پیدا کند، هوش مصنوعی بلافاصله متوجه این رفتار غیرعادی می‌شود و دسترسی آن برنامه را مسدود می‌کند. با این روش، حتی اگر هکر از یک نقطه‌ی ضعف کاملا جدید استفاده کند، رفتار غیرطبیعی بدافزار باعث می‌شود که هوش مصنوعی مچ او را قبل از سرقت دارایی‌ها بگیرد.

چشم‌انداز امنیت کیف پول‌های نسل سوم (Web3 Wallets)

در کنار هوش مصنوعی، ابزارهای نگهداری دارایی‌ها نیز در حال تکامل و پیشرفت هستند. کیف پول‌های نسل سوم یا همان کیف پول‌های وب 3 (Web3 Wallets - نسل جدیدی از ابزارهای مالی که برای اتصال به اینترنت غیرمتمرکز و تعامل با برنامه‌های بلاک‌چینی طراحی شده‌اند) در حال برطرف کردن بزرگ‌ترین نقطه‌ی ضعف کاربران، یعنی خطرات مربوط به نگهداری کلمات بازیابی هستند.

در آینده‌ی نزدیک، کیف پول‌ها برای تامین امنیت به جای تکیه بر یک رمز عبور ساده یا کلماتی که روی گوشی ذخیره می‌شوند، از فناوری‌های پیشرفته‌تری استفاده خواهند کرد. برخی از مهم‌ترین ویژگی‌های امنیتی این کیف پول‌های جدید عبارتند از:

• حذف کلمات بازیابی کاغذی: در نسل جدید، نیازی نیست 12 کلمه‌ی بازیابی را روی کاغذ بنویسید یا نگران دزدیده شدن آن‌ها از حافظه‌ی گوشی باشید. در عوض، از قراردادهای هوشمند (Smart Contracts - کدهای برنامه‌نویسی شده‌ای که به صورت خودکار و بدون نیاز به واسطه‌ی انسانی، شرایط یک توافق را اجرا می‌کنند) برای تایید هویت و محافظت از حساب شما استفاده می‌شود.
• تقسیم کلیدهای امنیتی: در این فناوری جدید، به جای اینکه کلید گاوصندوق شما یک تکه‌ی یکپارچه باشد، به چندین قطعه‌ی مجزا تقسیم می‌شود. بخشی از آن در گوشی شما، بخشی در فضای ابری و بخشی نزد یک سرور امن قرار می‌گیرد. بنابراین حتی اگر یک بدافزار بدون کلیک به گوشی شما نفوذ کند، فقط بخش ناقصی از کلید را به دست می‌آورد و نمی‌تواند دارایی شما را سرقت کند.
• تعیین سقف برداشت روزانه: شما می‌توانید مانند کارت‌های بانکی معمولی، برای کیف پول رمزارز خود سقف انتقال و محدودیت تعیین کنید. در این صورت، اگر هکر موفق به ورود شود، نمی‌تواند تمام سرمایه‌ی شما را به یکباره خالی کند و شما زمان کافی برای متوقف کردن او خواهید داشت.

این پیشرفت‌ها نشان می‌دهند که آینده‌ی بازار دارایی‌های دیجیتال به سمت فضایی امن‌تر، هوشمندتر و با خطاهای انسانی کمتر در حال حرکت است.

منابع:

LRQA

Binance

Coinex