اگر فعالیت تحت کنترل مدیر عامل یک صرافی یا بروکر ارز دیجیتال مشکوک باشد، اثربخشی اقدامات امنیتی به کار گرفته شده توسط آن پلتفرم بی فایده است. فرض کنید شما مقداری ارز دیجیتال را در یک صرافی ارز دیجیتال واریز کردهاید؛ حتما انتظار دارید که این وجوه به نام شما و به عنوان بدهی صرافی به شما در آنجا نگهداری شود و تدابیری هم برای اطمینان از اینکه میتوانید در صورت تمایل آنها را برداشت کنید اتخاذ شده است. با این حال، لزوماً اینطور نیست. با فکت کوینز همراه باشید.
سایمون دیکسون، مدیر عامل پلتفرم سرمایهگذاری آنلاین BnkToTheFuture هشدار میدهد که به دلیل مقررات مبهم در صنعت کریپتو، مشتریان باید در مورد محل نگهداری رمزارزهای خود بسیار محتاط باشند.
«صنعت ارزهای دیجیتال توسط کسبوکارهایی ایجاد شده که میخواهند مؤسسات مالی بسازند، و تاریخ نشان داده است که اگر آنها را به حال خود رها کنید، اهمیتی به سرمایههای مشتریان نمیدهند.»
برای مثال صرافی FTX را در نظر بگیرید. دیکسون خاطرنشان میکند که سم بنکمن-فراید، مدیر عامل سابق FTX ظاهراً با وجوه مشتریان به گونهای رفتار میکرد که گویی مال او هستند. او میلیاردها دلار از این پولها را به شرکت آلامدا ریسرچ (Alameda Research) اختصاص داد.
دیکسون میگوید: «FTX از آن داراییها برای تامین صندوق شرکت خواهر خود (آلامدا) استفاده میکند و سپس در موقعیتی قرار میگیرد که صندوق تمام پول خود را از دست داده است.
دیکسون بیش از 1 میلیارد دلار در بیش از 100 شرکت مختلف کریپتو از جمله کراکن (Kraken) و ریپل (Ripple Labs) سرمایهگذاری کرده است. یکی از پروژههایی که BnkToTheFuture برای آن پول جمعآوری کرد، یکی از بزرگترین فاجعههای صنعت ارزهای دیجیتال در چند وقت اخیر بود: پلتفرم وامدهی ورشکسته سلسیوس (Celsius).
قبل از سقوط سلسیوس در ژوئیه 2022، این پلتفرم ظاهراً از پول مشتریان جدید برای پرداخت سودهای جذاب به سایر مشتریان خود استفاده میکرد. او میگوید که سلسیوس طوری با پولهای مشتریانش رفتار میکرد که انگار مال خودش است و درنهایت سرمایهگذاران و مشتریان را غافلگیر کرد.
بیشتر بخوانید: بهترین صرافی ارز دیجیتال در سال ۲۰۲۳
مخالفان کریپتو مانند نماینده ایالات متحده، برد شرمن (Brad Sherman)، این رفتار را مختص اکوسیستم ارزهای دیجیتال توصیف کردند:
بنابراین، دیگر صرافیهای ارز دیجیتال واقعاً با پول شما چه میکنند؟ حتی اگر آنها کلاهبردار نباشند، آیا میتوانید به صرافیها برای محافظت از سرمایه خود اعتماد کنید؟
صدها صرافی کریپتو در سراسر جهان وجود دارد که از قابل اعتماد تا کلاهبردار آشکار را شامل میشود.
پلتفرم ردیاب بازار کریپتو CoinMarketCap 227 مورد از این صرافیها را ردیابی میکند که حجم معاملات تقریبی 24 ساعته آنها در ماه جولای حدود 181 میلیارد دلار است (اگر اتهامات مبنی بر تجارت شستشو را نادیده بگیرید).
آدریان پرزلوزنی (Adrian Przelozny)، مدیر عامل صرافی استرالیایی Independent Reserve، میگوید که مصرفکنندگان باید همیشه مراقب تمایز بین مدل کسبوکارِ یک صرافی و یک بروکر ارز دیجیتال باشند.
یک صرافی معمولاً داراییهای مشتریان خود را مستقیماً در خزانه خود نگه میدارد. این بدان معنی است که آنها واقعاً نمیتوانند از این داراییها برای کسب سود اضافی برای خود استفاده کنند. پرزلوزنی توضیح میدهد که Independent Reserve نقدینگی کافی در پلتفرم خود دارد به طوری که وقتی در پلتفرم سفارش میدهید «در مقابل مشتری دیگری معامله میکنید».
در مقابل، بروکر ارز دیجیتال ممکن است با نگهداری رمزارزهای مشتریان در صرافی برای به دست آوردن نقدینگی اضافی، ریسک طرف قرارداد (counterparty risks) را برای دیگر صرافیها و مشتریان ایجاد کند.
این به بروکر ارز دیجیتال کمک میکند تا وجوه بیشتری دریافت کند، اما مشتری را نیز در معرض خطر قرار میدهد. پرزلوزنی تاکید میکند که بروکرها حق ندارند با بهره بردن از داراییهای مشتریان بدون ریسک کردن، سود کسب کنند.
او هشدار میدهد که در یک مدل کسب و کار از نوع بروکر، وقتی سفارشی را ثبت میکنید، آن پلتفرم باید اساساً در پس زمینه برای به دست آوردن دارایی مورد نظر شما تلاش کند.
پلتفرم باید نقدینگی را از صرافی دیگری دریافت کند، بنابراین آنها سفارش را از طرف مشتری قرار میدهند و سپس آن مشتری در واقع در معرض خطر طرف مقابل قرار میگیرد.
ریسک طرف قرارداد زمانی است که این احتمال وجود دارد که طرف دیگر درگیر در یک قرارداد ممکن است به تعهد خود عمل نکند. زمانی که یک بروکر وجوه یا دارایی مشتری را در صرافی دیگری نگه میدارد، ریسک بالاتر میرود، زیرا اگر صرافی منحل شود، سرایه مشتریان نیز ممکن است از بین برود.
این همان اتفاقی است که احتمالاً باعث ایجاد نگرانی در دل مدیران بروکر ارز دیجیتال Digital Surge شد که درست پس از سقوط FTX خود را در مخمصه دید.
این بروکر مستقر در استرالیا پس از انتقال 23.4 میلیون دلار از دارایی خود به FTX، تنها دو هفته قبل از سقوط در نوامبر 2022، وارد همکاری با این صرافی شد.
Digital Surge با یک طرح نجات موفق به فرار از مخمصه شد. با این حال، مدیران آن دنیل راتر و جاش لمن شخصاً یک میلیون دلار برای این فرآیند هزینه کردند.
پلتفرم وام ارز دیجیتال بلاکفای ((BlockFi و صرافی جنسیس چندان خوش شانس نبودند: هر دو به دلیل قرار گرفتن در معرض ورشکستگی FTX اقدام به ثبت ورشکستگی فصل 11 کردند.
بنابراین، در حالی که یک صرافی در مقایسه با یک بروکر ارز دیجیتال، راههای کمتری برای کسب سود دارد، امنیت وجوه را در اولویت قرار میدهد.
دیکسون توضیح میدهد که اگر یک کارگزار کریپتو داراییهای مشتری را در صرافی دیگری مانند بایننس ذخیره میکند، بروکر ارز دیجیتال باید با مشتری شفاف باشد که «اگر مشکلی در بایننس پیش بیاید، بازیابی داراییها دشوار خواهد بود.
دیکسون میگوید که صرافی BnkToTheFuture، بهعنوان یک «ارائهدهنده خدمات دارایی مجازی ثبتشده»، باید مکانیزم بازیابی بسیار خوبی داشته باشد و همه داراییهای مشتریان باید همیشه قابل توزیع باشند، حتی اگر والدین شرکت سقوط میکند.
دیکسون میگوید: « مطابق با قانون ثبت اوراق بهادار، ما در واقع نمیتوانیم از داراییهای مشتریان خود به هیچ شکلی استفاده کنیم.»
او توضیح میدهد که قانون ثبت اوراق بهادار، این صرافی را به استانداردهای بالاتری ارتقا میدهد و سیاستهایی را تعیین میکند که باید به طور منظم آزموده شوند.
ثبت اوراق بهادار اساساً صرافی را ملزم به نگهداری داراییها و سوابق آنها میکند که این امر مشتری را به عنوان مالک واقعی آن داراییها تأیید میکند و همچنین صرافی را تحت بازرسیهای نظارتی قرار میدهد.
مشکلات حقوقی اخیر کوین بیس و بایننس با کمیسیون بورس و اوراق بهادار ایالات متحده ناشی از اتهامات مربوط به فعالیت به عنوان صرافی اوراق بهادار بدون مجوز است.
بیشتر بخوانید: مقایسه کارمزد صرافی های ارز دیجیتال (آپدیت ۲۰۲۳)
پس از واریز وجوه به یک صرافی ارز دیجیتال چه اتفاقی میافتد؟
وقتی 50 دلار یا 50000 دلار را به یک صرافی واریز میکنید و مقداری ارز دیجیتال خریداری میکنید، واقعاً چه اتفاقی میافتد؟
در مدل صرافی، که در آن کاربران مستقیماً با یکدیگر معامله میکنند، مانند معامله شخص به شخص است. وقتی سفارش ارز دیجیتال شما اجرا میشود، پول شما مستقیماً به دست شخصی میرود که از او خرید میکنید. داراییها در طول کل فرآیند در صرافی باقی میماند.
اما در مدل بروکر ارز دیجیتال ، شما مستقیماً دارایی را از کارگزار خریداری میکنید.
بنابراین، ابتدا پول به حساب صندوق کارگزار میرود. سپس، کارگزار آن پول را میگیرد و از آن برای خرید داراییهای مورد نظر شما استفاده میکند. اساساً، آنها با پول و ارز دیجیتال شما بازی میکنند. ضمن اینکه دارایی معمولاً در صرافی دیگری نگهداری میشود.
صرف نظر از اینکه داراییهای شما در صرافیای که از آنها خرید کردهاید قرار دارد یا در صرافی طرف قرارداد با بروکر ارز دیجیتال، آنها میگویند رمزارزها را در کیف پول گرم یا سرد نگه میدارند.
هیو بروکس (Hugh Brooks)، مدیر عملیات امنیتی در شرکت حسابرسی کریپتوی سرتیک (CertiK)، بیان میدارد که اکثر صرافیهای بزرگ «داراییهای مشتریان را در ترکیبی از کیف پولهای سرد و گرم ذخیره میکنند».
کیف پول گرم یک کیف پول ارز دیجیتال است که به اینترنت متصل است و امکان تراکنش های سریع را فراهم میکند. از سوی دیگر، یک کیف پول سرد به صورت آفلاین ذخیره میشود، امن است و رمزارز شما را در برابر هکرها ایمن نگه میدارد.
در حالی که داشتن 100٪ دارایی مشتری در یک کیف پول سرد به دلایل ایمنی ایده آل است، اما به دلایل نقدینگی امکان پذیر نیست. بروکس میگوید:
در حالی که کیف پولهای گرم از نظر سرعت و سهولت بهتر هستند، اما به دلیل اتصال به اینترنت، بیشتر در معرض تهدیدات امنیتی بالقوه مانند هک هستند. از این رو، صرافیها معمولاً تنها بخشی از کل داراییهای خود را در کیف پولهای گرم نگه میدارند تا حجم معاملات روزانه را تسهیل کنند.
پرزلوزنی میگوید که در صرافی ایندیپندنت رزرو (Independent Reserve)، 98 درصد داراییها بهصورت آفلاین در یک کیف پول سرد نگهداری میشود که توسط صرافی مدیریت میشود، و بقیه در یک کیف پول گرم در صرافی واریز قرار میگیرد.
جیمز الیا (James Elia)، مدیر کل صرافی کوینجار (CoinJar)، میگوید که صرافی او به طور مشابه «اکثریت قریب به اتفاق» داراییها را در والتهای سرد «یا کیف پولهای چند امضایی» نگه میدارد و همیشه ذخایر ارزی کامل را حفظ میکند.
او میگوید که کوین جار از ترکیبی از «کیف پولهای سرد و گرم مولتیسیگ (Multisig) به واسطه BitGo و Fireblocks برای ذخیره وجوه مشتریان استفاده میکند».
Crypto.com از این جهت که به مشتریان هم گزینه امانی (custodial) و هم غیر امانی noncustodial)) را ارائه میدهد، متفاوت است.
یکی از سخنگویان Crypto.com میگوید: «کیف پول دیفای Crypto.com یک والت غیر امانی یا غیر حضانتی است. این بدان معناست که مشتریان آن کنترل کامل کلیدهای خصوصی خود را دارند. در همین حال، اپلیکیشن Crypto.com یک بروکر ارز دیجیتال است که “به عنوان معتمد عمل میکند و ارزهای دیجیتال را برای مشتریان ذخیره میکند. این سخنگوی میگوید که رمزارزها این شرکت «بهطور ایمن در حسابهای ذخیره گرید سازمانی نگهداری میشوند و به طور کامل (1:1) توسط ذخایر پشتیبانی میشوند».
راه حلهای بیشتر
با این حال، اتکا به حسابهایی که ادعا میکنند امن هستند، دیگر در دنیای غیرقابل پیشبینی کریپتو کافی نیست.
Crypto.com مثل بسیاری از صرافیهای بزرگ ارزهای دیجیتال، مانند بایننس، جمینی، کوین بیس، کوین جار و کراکن، یک پلتفرم زیرساخت امنیتی به نام فایر بلاکس (Fireblocks) را پذیرفته است.
فایر بلاکس بر اطمینان از اینکه صرافی به طور ایمن داراییهای دیجیتال مشتریان را به روشی پیشرفته و ایمن ذخیره و مدیریت میکند، تمرکز دارد. این شرکت از فناوری محاسبات چند طرفه (MPC) استفاده میکند که شبیه کیف پول چندامضایی است و هرگز در یک مکان نگهداری یا ایجاد نمیشود.
در حالی که این پلتفرم زیرساخت هیچ دارایی را در صرافی نگه نمیدارد، اما میتواند ویژگیهایی مانند احراز هویت چند امضایی (multisignature authentication) و رمزگذاری (encryption) را به صرافی اضافه کند. این کار برای به حداقل رساندن خطر کلاهبرداری، سوء استفاده از منابع مالی و حملات مخرب انجام میشود.
همچنین انجام تراکنش غیرمجاز یا حتی بدتر از آن، تخلیه وجوه را برای یک کارمند زیرک بسیار دشوارتر میکند.
شین ورنر، مدیر فروش فایربلاکس در استرالیا و نیوزلند میگوید که در ابتدا، Fireblocks کلیدهای خصوصی کیف پول صرافی را به سه قسمت تقسیم میکند.
کلید خصوصی کیف پول شبیه رمز عبور یا پین است و ترکیبی از حروف و اعداد است که تنها شرط لازم برای امضای تراکنشها و مدیریت داراییهای دیجیتال است.
از سوی دیگر، کلید عمومی آدرسی است که شما برای دریافت ارز دیجیتال از افراد دیگر به انها میدهید، مانند شماره حساب بانک.
یک قطعه از کلید خصوصی به صرافی یا بروکر ارز دیجیتال داده میشود، در حالی که فایربلاکس از دو قطعه دیگر در سخت افزار رمزگذاری شده در یک دیتا سنتر توزیعشده محافظت میکند. در اصل، این شامل تقسیم کد مخفی به سه قسمت و پنهان کردن هر قطعه در یک نقطه متفاوت است.
هر تراکنش بزرگ در یک صرافی ارز دیجیتال نیاز به این دارد که سه قطع با هم جمع شوند تا تراکنش را تأیید کنند.
این سه قطعه تنها زمانی با هم یکی میشوند که صرافی تعهدات تعیین شده توسط Fireblocks برای فرآیند تأیید تراکنش را انجام دهد. ورنر میگوید این مهمترین بخش کار است.
دیکسون میگوید که این کار مدیریت ریسک را بسیار بهبود میبخشد، همانطور که فایربلاکس به صرافیها اجازه میدهد تا قوانین تراکنش ها را تعیین کنند.
نمونهای از این قوانین، برای مثال این است که صرافی تعداد کارمندان مورد نیاز برای امضای تراکنشها را تعیین میکند. این را میتوان با افزایش شمار مشتریان تغییر داد.
به عنوان مثال، فرض کنید صرافی به سه کارمند اجازه میداد تا تراکنشهای 10000 دلاری و بالاتر را امضا کنند، اما پس از آن به این نتیجه رسیدند که این کافی نیست و آنها این تعداد را به پنج کارمند افزایش میدهند. تعداد کارکنان مورد نیاز برای تایید یک تراکنش خاص به اندازه معامله بستگی دارد.
در صرافیها، کارمندانی هستند که وظیفه تأیید دستی تراکنشهای بزرگ را بر عهده دارند. ورنر توضیح میدهد که تعداد کارمندان مختلف متناسب با اندازه معامله افزایش مییابد.
همه آنها شناسه چهره خود را در تلفن همراه خود ثبت میکنند. همه آنها کد مجوز خود را نیز وارد میکنند. بنابراین، این یک فرآیند احراز هویت دو مرحلهای است.
ورنر ضمن اشاره به اینکه شرایط در هر صرافیای متفاوت است، میگوید که تراکنش های کوچک به طور خودکار انجام میشود و نیازی به تایید انسان ندارد.
ورنر میگوید: «این کاملاً به صلاحدید صرافی مورد نظر بستگی دارد، اما حیاتی است،» و اضافه میکند: «آنها ممکن است بگویند هر تراکنش بین 100 تا 1000 دلار به طور خودکار انجام شود.»
محدودیتهای اعمال شده توسط صرافیها بسته به جمعیت شناسی خاص آنها متفاوت است. صرافیهایی که به سرمایهگذاران خرد خدمات ارائه میدهند محدودیتهای کمتری خواهند داشت، زیرا انتظار نمیرود که تراکنشهای بیش از 10000 دلار ثبت کنند.
با این حال، اگر مبلغ زیادی ارسال کنید، ممکن است توجه بیشتری نسبت به آنچه پیشبینی میکردید به خود جلب کنید.
هر چه این مقدار بیشتر باشد، تعداد تاییدیه های مورد نیاز بیشتر است. به عنوان مثال، برای یک میلیون دلار بیت کوین، ممکن است به ۸ تا ۱۰ تایید کننده مجاز در صرافی نیاز داشته باشید تا آن تراکنش را فعال کنند.
ورنر میگوید: «اگر کسی نه بگوید، همه نه میگویند.»
در واقع، مبالغ واقعاً بزرگ همیشه به مداخله انسانی نیاز دارند، زیرا هیچ کس نمیخواهد کسی 1 میلیون دلار را بدون تأیید تعدادی از تأییدکنندهها در سازمان از صرافی خارج کند.
ماجرای کلاهبرداری صرافی FTX
ورنر هشدار میدهد که اگر یک کلاهبردار صرافی را مدیریت کند، هیچ یک از موارد امنیتی بالا معنایی ندارد.
اگر رئیس یک صرافی تمایل به کلاهبرداری داشته باشد تمام اقدامات امنیتی اعمال شده اساساً بی فایده میشوند.
او یک مثال ساده از یک مدیر عامل کلاهبردار را بررسی میکند که تمام تاییدکنندههای تراکنش را کنترل میکند و سپس هر طور که می خواهند عمل میکنند. در چنین سناریویی، مدیر عامل میتواند آزادانه به میل خود عمل کند.
در ماجرای صرافی FTX، سم بنکمن فراید (Bankman-Fried) ظاهراً از همبنیانگذارش گری وانگ خواست که راهی مخفی برای قرض گرفتن 65 میلیارد دلار از وجوه مشتریان برای ارسال به شرکت تجاری خود Alameda پیدا کند، بدون اینکه کسی بفهمد.
در نوامبر سال گذشته، بنکمن-فرید به کنگره فراخوانده شد تا درباره سقوط صرافی شهادت دهد.
ظاهراً وانگ به میلیونها خط کد صرافی نفوذ کرده بود. این حرکت حیله گرانه یک خط اعتباری از FTX به شرکت آلامدا (Alameda) ایجاد کرد بدون اینکه مشتریان هرگز رضایت خود را بابت چنین کاری اعلام کنند.
برای جلوگیری از تکرار این حادثه، بسیاری از صرافیها اقدامات امنیتی بیشتری را اعمال کردهاند.
الیا میگوید که همه کارمندان کوین جار باید قبل از پیوستن به شرکت، یک بررسی سوابق کیفری را پشت سر بگذارند. آنها ملزم به شرکت در جلسات آموزشی امنیت و مبارزه با پولشویی هستند.
او میگوید که «رمزگذاری چندسطحی دادهها، ممیزیهای امنیتی مداوم و امنیت گرید سازمانی برای محافظت از حسابهای مشتریان» نیز استفاده میشود. CoinJar همچنین از «یادگیری ماشینی پیشرفته» برای شناسایی لاگینهای مشکوک، تصاحب حساب و کلاهبرداری مالی استفاده میکند.
بیشتر بخوانید: آموزش افزایش امنیت حساب در صرافیهای ارز دیجیتال
چگونه در مورد بروکر ارز دیجیتال بررسی لازم را انجام دهیم؟
عبارت «تحقیق خودت را انجام بده» تا حدودی در فضای کریپتو به یک شعار تبدیل شده است، و بسیاری بر این باورند که این نکته باید هنگام انتخاب صرافی نیز صدق کند.
پرزلوزنی تاکید میکند که مصرفکنندگان باید همیشه قبل از واریز وجوه در مورد صرافی تحقیق کنند و انتظار نداشته باشند که دیگران برای آنها دقت لازم را انجام دهند.
کمیسیون معاملات آتی کالای ایالات متحده در وب سایت خود توصیه میکند که باید ببینید آیا صرافی ارز دیجیتال واقعاً آدرس فیزیکی دارد یا خیر.
اکنون اکثر کشورها برای دریافت مجوز به صرافیهای ارزهای دیجیتال نیاز دارند و تنظیمکنندهها یا رگلاتورها اطلاعات عمومی در مورد مجوز صرافی یا بروکر ارز دیجیتال و پایگاههای اطلاعاتی نهادهای ثبت شده ارائه میکنند.
کاربران همچنین میتوانند شبکههای اجتماعی و وبسایتهای نقد و بررسی مستقل (نه خود صرافی) را بررسی کنند تا ببینند مشتریان چه میگویند.
پرزلوزنی میگوید که مشتریان باید شرایط و ضوابط صرافی را بهدقت بررسی کنند و به هر چیزی که نشان میدهد صرافی سودی از داراییهای مشتریان کسب میکند، توجه دقیق داشته باشند، زیرا این بدان معناست که صرافی «هر حقی» برای انجام آن دارد.
او میافزاید که سرمایهگذاران نباید فقط به این دلیل که «ورزشکار مورد علاقهشان» آن را تبلیغ میکند، به صرافی وارد شوند. پرونده 1 میلیارد دلاری علیه اینفلوئنسرهایی که FTX را تبلیغ کردند و پاداش خود را افشا نکردند، باید به عنوان یک علامت هشدار عمل کند.
دیکسون به طور مشابه به سرمایهگذاران توصیه میکند که تحت تأثیر طرحهای تبلیغاتی یا بازاریابی قرار نگیرند و در عوض بر روی اصول پایه تمرکز کنند.
دیکسون میگوید: «من فکر میکنم بازاریابی دهان به دهان و محصولات مالی هرگز نباید با هم ترکیب شوند. ما به طور فعال مردم را تشویق نمیکنیم که در مورد شرکت ما صحبت کنند، زیرا آنها آن را اشتباه میگیرند و ما را به دردسر میاندازند.»
با این حال، دیکسون میگوید که مکالمات شفاهی بین دوستان و خانواده ابزاری فوقالعاده قدرتمند برای ایجاد اعتماد نسبت به صرافی یا بروکر ارز دیجیتال است.
دیکسون توضیح میدهد که اگرچه ممکن است ابهاماتی در مورد نحوه رسیدگی صرافیها به وجوه مصرفکننده وجود داشته باشد، اما وضعیت اساساً با بانکهای سنتی تفاوتی ندارد.
دیکسون تأکید میکند که بانکها «ممکن است از پول مشتریان سوءاستفاده کنند و انها را در معرض خطر قرار دهند».
«من فکر میکنم این موارد به دلیل شرایط و ضوابط تعیینشده برای بانکهاست، اما فکر نمیکنم آنها تجربه کاربری خوبی ارائه کرده باشند تا به مصرفکنندگان بفهمانند که در واقع، ریسک بسیار زیادی در حساب بانکی آنها وجود دارد.»