تیم امنیتی OKX Web3: محافظت از کلید خصوصی شما مانند محافظت از چشمانتان

منبع: OKX

اگر کلیدهای شما نباشد، کوین‌های شما هم نیست (Not Your Keys, Not Your Coins) — آزادی غیرمتمرکز با هزینه مطلق "امنیت کلید خصوصی" همراه است.

گزارش Chainalysis در ژوئیه 2025 نشان می‌دهد که 17 تا 23 درصد از بیت‌کوین (BTC) به دلیل گم شدن کلید خصوصی یا آسیب دیدن دستگاه، برای همیشه غیرقابل دسترسی است. از آنجایی که کلید خصوصی نشان‌دهنده مالکیت دارایی است، پس از گم شدن قابل بازنشانی نیست و هیچ خدمات مشتری برای کمک به بازیابی آن وجود ندارد. اگر کلید به خطر بیفتد و وجوه سرقت شود، بازیابی تقریباً غیرممکن است. دنیای آنلاین به ما آزادی داده است، اما تمام مسئولیت را نیز به دستان ما بازگردانده است. با شکوفایی اکوسیستم آنلاین، حوادث سرقت دارایی‌های مختلف به طور مکرر رخ داده است. با این حال، افراد اغلب خیلی دیر متوجه مشکل می‌شوند و در شناسایی محل وقوع مشکل دچار مشکل می‌شوند — آیا کلید خصوصی لو رفته است؟ آیا روی یک لینک فیشینگ کلیک کرده‌اند؟ بدافزار دانلود کرده‌اند؟ یا یک خطای عملیاتی دیگر بوده است؟

تیم امنیت Web3 صرافی OKX قصد دارد از طریق این محتوای آموزشی، آگاهی همه را نسبت به امنیت کلید خصوصی افزایش دهد و بار دیگر آن نقاط کور امنیتی را که اغلب نادیده گرفته می‌شوند، برجسته کند.

1. چرا کلید خصوصی یا عبارت بازیابی (Mnemonic) لو می‌رود؟

اول از همه، بیایید یک تصور غلط رایج را اصلاح کنیم. بسیاری از کاربران معتقدند که لو رفتن کلید خصوصی یا عبارت بازیابی (که از این پس "لو رفتن کلید خصوصی" نامیده می‌شود) معمولاً در حین استفاده از کیف پول رخ می‌دهد. در واقع، اگر کیف پول را از طریق کانال‌های رسمی دانلود و استفاده کنید و از کیف پول یک برند معتبر استفاده نمایید، کلید خصوصی معمولاً در حین استفاده عادی لو نمی‌رود. لو رفتن کلید خصوصی عمدتاً به دلیل ذخیره‌سازی نامناسب و به دست آوردن آن توسط بازیگران مخرب رخ می‌دهد. هنگامی که کسی کلید خصوصی شما را در اختیار داشته باشد، می‌تواند آن را به هر کیف پولی وارد کرده و دارایی‌های حساب را کنترل کند.

در واقع، دلایل زیادی برای لو رفتن کلید خصوصی وجود دارد و منبع دقیق آن اغلب دشوار است که به طور کامل مشخص شود. با این حال، از طریق تجزیه و تحلیل موارد متعدد صنعت و کمک به تحقیقات، برخی از سناریوها و سرنخ‌های معمول را گردآوری کرده‌ایم (همانطور که در زیر آمده است).

تصویر: چالش‌های تحلیل سرقت کلید خصوصی که توسط Xuandong از SlowMist به اشتراک گذاشته شده است

2. سناریوهای رایج لو رفتن کلید خصوصی و روش‌های کاهش آن

(1) سناریویی که بیش از همه نادیده گرفته می‌شود: لو رفتن در حین ایجاد کیف پول

مطالعه موردی 1: کمک دیگران در ایجاد کیف پول. آقای لی تازه شروع به کاوش در Web3 کرده بود و با کمک یک "مربی مشتاق" کیف پولی ایجاد کرد. مربی به او در ایجاد کیف پول، تنظیم رمز عبور تراکنش و راهنمایی در مورد واریز و تراکنش کمک کرد. اگرچه یک رمز عبور تراکنش برای کیف پول تنظیم شده بود، در طول فرآیند ایجاد، مربی قبلاً کلید خصوصی او را به دست آورده بود. چند روز بعد، 5 ETH که آقای لی واریز کرده بود، به سرعت منتقل شد. تنها در آن زمان بود که او متوجه شد رمز عبور تراکنش فقط برای تأیید محلی است و هر کسی که کلید خصوصی را داشته باشد می‌تواند آن را به هر کیف پولی وارد کرده و مستقیماً دارایی‌های او را منتقل کند.

توصیه امنیتی: کیف پول‌ها باید به طور مستقل ایجاد شوند بدون اینکه اجازه دهید کسی "کمک کند" یا "به جای شما عمل کند". اگر شک دارید که کلید خصوصی به خطر افتاده است، دارایی‌ها باید فوراً به یک کیف پول جدید منتقل شوند.

مطالعه موردی 2: ایجاد کیف پول از طریق اشتراک‌گذاری صفحه در کنفرانس ویدیویی. خانم ژانگ، تحت راهنمایی از راه دور یک "معلم"، کیف پولی را از طریق اشتراک‌گذاری صفحه در کنفرانس ویدیویی ایجاد کرد. معلم گام به گام نشان داد: دانلود کیف پول، تولید عبارت بازیابی، شارژ Gas و خرید توکن. کل فرآیند بسیار "صمیمانه" به نظر می‌رسید و در پایان، حتی به او یادآوری شد: "هرگز کلید خصوصی خود را به کسی لو ندهید." با این حال، بدون اطلاع او، در لحظه اشتراک‌گذاری صفحه، عبارت بازیابی ممکن است ضبط شده باشد. دو هفته بعد، حدود 12,000 دلار USDT در حساب او منتقل شد.

توصیه امنیتی: هنگام ایجاد کیف پول، اشتراک‌گذاری صفحه، ضبط صفحه یا عملکردهای اشتراک‌گذاری صفحه را غیرفعال کنید. اگر شک دارید که کلید خصوصی به خطر افتاده است، دارایی‌ها باید فوراً به یک کیف پول جدید منتقل شوند. علاوه بر این، در صفحه کیف پول OKX که کلید خصوصی و عبارت بازیابی را نمایش می‌دهد، اسکرین‌شات گرفتن، ضبط کردن یا اشتراک‌گذاری صفحه مجاز نیست که این امر امنیت را به طور موثری افزایش می‌دهد.

تصویر: هنگامی که اشتراک‌گذاری صفحه شناسایی می‌شود، کیف پول OKX به طور خودکار عبارت بازیابی و کلید خصوصی را پنهان می‌کند تا دیگران نتوانند متن را مشاهده کنند

(II) رایج‌ترین سناریو: ذخیره‌سازی نامناسب کلید خصوصی که منجر به لو رفتن می‌شود

مطالعه موردی 3: برنامه جعلی، کابوس یک کاربر اندروید. آقای وانگ، یک کاربر محتاط، پس از ایجاد کیف پول از عبارت بازیابی اسکرین‌شات گرفت و آن را در گالری عکس محلی خود ذخیره کرد و هرگز آن را در فضای ابری آپلود نکرد، با این فکر که این کار ایمن‌تر است. با این حال، او چیزی را از یک انجمن دانلود کرد که به اصطلاح "نسخه پیشرفته تلگرام" بود، برنامه‌ای که آیکون و رابط کاربری آن تقریباً مشابه نسخه رسمی بود. در واقع، آن برنامه به طور مداوم گالری گوشی را در پس‌زمینه اسکن می‌کرد، از فناوری تشخیص کاراکتر نوری (OCR) برای شناسایی عبارت بازیابی استفاده می‌کرد و به طور خودکار آن را در سرور هکر آپلود می‌کرد. سه ماه بعد، تمام دارایی‌های حساب آقای وانگ خالی شد که منجر به ضرری بیش از 50,000 دلار شد. تحلیل فنی نشان داد که گوشی او همچنین دارای imToken، MetaMask، Google Authenticator جعلی و سایر برنامه‌های مخرب بود.

مورد چهار: برنامه مخرب BOM که منجر به لو رفتن عبارت بازیابی می‌شود. در 14 فوریه 2025، چندین کاربر حوادث سرقت دارایی کیف پول را تجربه کردند. از طریق تحلیل داده‌های زنجیره‌ای، تمام این موارد سرقت ویژگی‌های معمول لو رفتن عبارت بازیابی/کلید خصوصی را نشان دادند. بررسی مجدد کاربران آسیب‌دیده نشان داد که اکثر آنها قبلاً برنامه‌ای به نام BOM را نصب و استفاده کرده بودند. تحقیقات عمیق نشان داد که این برنامه در واقع یک نرم‌افزار کلاهبرداری است که به دقت جعل شده بود. بازیگران مخرب، از طریق دستکاری مجوز کاربر، به طور غیرقانونی مجوزهای عبارت بازیابی/کلید خصوصی را به دست آوردند که انتقال سیستماتیک دارایی را امکان‌پذیر کرد و سعی کردند اقدامات خود را پنهان کنند.

توصیه امنیتی: بسیاری از کاربران، به خاطر "راحتی"، عادت‌هایی را ایجاد می‌کنند که به طور طعنه‌آمیزی خطرناک‌ترین هستند. بنابراین، توصیه می‌شود که همه: 1) از عبارت بازیابی اسکرین‌شات نگیرید! پیشنهاد می‌شود آن را به صورت دستی روی کاغذ کپی کنید و در جای امنی نگهداری کنید. 2) هنگام دانلود برنامه، حتماً فقط از کانال‌های رسمی استفاده کنید، و به راحتی نسخه‌های "پیشرفته" ناشناخته یا تغییرات شخص ثالث را امتحان نکنید. 3) اگر هرگونه ناهنجاری در دستگاه شناسایی شد یا اگر قبلاً از کلید خصوصی اسکرین‌شات گرفته شده است، به شانس تکیه نکنید و فوراً دارایی‌ها را به یک کیف پول جدید منتقل کنید. 4) OKX چه کرده است؟ برای جلوگیری از اسکرین‌شات گرفتن کاربران در صفحات پشتیبان کلید خصوصی و عبارت بازیابی، ما عملکرد اسکرین‌شات را در این صفحات حساس غیرفعال کرده‌ایم.

تصویر: کیف پول OKX اسکرین‌شات گرفتن در صفحات کلید خصوصی و عبارت بازیابی را ممنوع می‌کند

در عین حال، برای کاهش خطر نصب برنامه‌های جعلی توسط کاربران، نسخه اندروید عملکرد اسکن برنامه‌های مخرب را ارائه می‌دهد.

تصویر: کیف پول OKX در اندروید عملکرد اسکن برنامه‌های مخرب را ارائه می‌دهد

(III) رایج‌ترین و فریب‌دهنده‌ترین سناریو: فیشینگ کلید خصوصی

مورد پنج: فیشینگ ایردراپ جعلی. یک پروژه معروف NFT در توییتر اعلام کرد که توکن جدیدی را به دارندگان ایردراپ خواهد کرد. تنها 10 دقیقه پس از اعلام، چندین وب‌سایت فیشینگ در بالای نتایج جستجوی گوگل ظاهر شدند (که از طریق تبلیغات پولی ترویج می‌شدند). این وب‌سایت‌های فیشینگ نام‌های دامنه‌ای داشتند که فقط یک حرف با هم تفاوت داشتند (مثلاً opensae.io به جای opensea.io) و طراحی صفحات تقریباً مشابه وب‌سایت رسمی بود. هنگامی که کاربران کیف پول‌های خود را متصل می‌کردند، صفحه یک پیام نمایش می‌داد: "تراکم شبکه، اتصال ناموفق، لطفاً برای دریافت ایردراپ، عبارت بازیابی خود را به صورت دستی وارد کنید." در آن روز، بیش از 50 کاربر فریب خوردند که منجر به ضرر کلی بیش از 200,000 دلار شد. سریع‌ترین قربانی دارایی‌هایش را در عرض 3.7 ثانیه پس از وارد کردن عبارت بازیابی منتقل کرد.

مورد شش: حمله مهندسی اجتماعی. خانم ژانگ با یک مشکل عملیاتی در گروه دیسکورد یک پروژه مواجه شد. یک مدیر با آواتار و نام مستعار که بسیار "رسمی" به نظر می‌رسید، فعالانه به او پیام خصوصی داد و ادعا کرد که پشتیبانی مشتری است و می‌خواهد به او در حل مشکل کمک کند. آنها لینکی به یک "صفحه تأیید" برای او فرستادند. خانم ژانگ با اعتماد به مدیر، روی لینک کلیک کرد و طبق دستور عبارت بازیابی خود را وارد کرد. صفحه دقیقاً شبیه وب‌سایت رسمی بود. چند دقیقه بعد، چندین دارایی به طور مداوم از کیف پول او منتقل شد. تنها در آن زمان بود که او متوجه شد مدیر به اصطلاح در واقع یک کلاهبردار است و هر "پشتیبانی مشتری" که از کاربران بخواهد عبارت بازیابی یا کلید خصوصی خود را در یک وب‌سایت وارد کنند، بدون شک یک کلاهبرداری است. شایان ذکر است که علاوه بر جعل هویت مدیران رسمی، کلاهبرداران ممکن است هویت دوستان، اعضای تیم پروژه یا سایر هویت‌های قابل اعتماد را نیز جعل کنند.

توصیه امنیتی: یک DApp قانونی هرگز از شما کلید خصوصی‌تان را نمی‌خواهد و یک فرد قابل اعتماد هرگز کلید خصوصی شما را از شما درخواست نمی‌کند. به یاد داشته باشید: کلید خصوصی شما کلید دارایی‌های شماست، بنابراین حتماً آن را ایمن ذخیره کنید و هرگز به راحتی فاش نکنید.

III. چرا وقتی کلید خصوصی به خطر می‌افتد، ارائه‌دهندگان کیف پول کار زیادی نمی‌توانند انجام دهند؟

برخی از کاربران، پس از کشف لو رفتن احتمالی کلید خصوصی و انتقال دارایی‌ها، بلافاصله با تیم کیف پول تماس می‌گیرند، به این امید که ما بتوانیم کمک بیشتری ارائه دهیم. با این حال، در واقعیت، هنگامی که کلید خصوصی در معرض دید قرار می‌گیرد، فضایی که ارائه‌دهندگان کیف پول می‌توانند در آن مداخله کنند بسیار محدود است.

در اینجا، بیایید به طور خلاصه فرآیند اساسی را که هنگام دریافت گزارش‌های "سرقت دارایی" دنبال می‌کنیم توضیح دهیم و همچنین توضیح دهیم که چرا بسیاری از اوقات نمی‌توانیم دارایی‌های زنجیره‌ای را مستقیماً "بازیابی" کنیم:

اولاً، ما به کاربر در ردیابی جریان وجوه کمک خواهیم کرد، و تحلیل می‌کنیم که آیا وجوه زنجیره‌ای ممکن است با گروه‌های هکر شناخته شده یا خوشه‌های آدرس مرتبط باشند. در عین حال، به کاربر توصیه می‌کنیم که هر دارایی که سرقت نشده است را به سرعت منتقل کند تا خطر ضررهای بیشتر کاهش یابد. در موارد سرقت قابل توجه، به کاربران توصیه می‌کنیم که فوراً برای کمک از طریق کانال‌های قانونی با مجریان قانون محلی تماس بگیرند. تیم داخلی ما همچنین تحلیل کاملی از حادثه انجام خواهد داد، روش کار هکر را خلاصه می‌کند و بینش‌هایی برای محافظت از کاربر در آینده ارائه می‌دهد.

به عنوان یک ارائه‌دهنده ابزار، خود کیف پول‌ها نمی‌توانند دارایی‌های زنجیره‌ای را مسدود یا بازگردانند. هنگامی که یک هکر کلید خصوصی را به دست می‌آورد، معمولاً از اسکریپت‌های خودکار برای تکمیل انتقال وجوه در عرض چند ثانیه استفاده می‌کند، با سرعتی بسیار سریع که مداخله در آن دشوار است. تنها زمانی که وجوه سرقت شده در نهایت به یک پلتفرم صرافی متمرکز سرازیر می‌شود، امکان درخواست مسدودسازی موقت از طریق کانال‌های قانونی وجود دارد.

هنگامی که مسیر وجوه با خوشه‌های هکر شناخته شده‌ای که ما از آنها آگاه هستیم مرتبط می‌شود، ما از روش کار معمول آنها شروع می‌کنیم تا به کاربران کمک کنیم به یاد بیاورند که آیا اخیراً درگیر عملیات پرخطر بوده‌اند یا خیر، بنابراین تعیین می‌کنیم که کلید خصوصی در چه نقطه‌ای ممکن است در معرض دید قرار گرفته باشد.

OKX همیشه امنیت وجوه کاربران را در اولویت قرار داده است و در طول سال‌ها سرمایه‌گذاری زیادی برای ایجاد یک سیستم کنترل ریسک و طراحی مکانیسم‌های احراز هویت چند عاملی انجام داده است. اگرچه این فرآیندها ممکن است دست و پا گیر به نظر برسند، اما همه آنها با هدف محافظت بهتر از امنیت دارایی کاربر هستند. می‌توان گفت که ما همچنین یکی از تیم‌های صنعت هستیم که بیشترین سرمایه‌گذاری را در امنیت انجام داده‌ایم.

تصویر: امتیاز امنیت کیف پول OKX در رتبه اول قرار دارد

همانطور که قبلاً ذکر شد، اگر کاربران فاقد آگاهی امنیتی باشند یا از شیوه‌ها به طور نامناسب استفاده کنند، ممکن است همچنان به دلایلی مانند فیشینگ یا لو رفتن کلید خصوصی، صرف نظر از اینکه از کدام کیف پول استفاده می‌کنند، متحمل ضرر شوند. بنابراین، محافظت صحیح از کلید خصوصی همیشه به عنوان مهم‌ترین پایه امنیتی باقی می‌ماند. علاوه بر بهبود مستمر قابلیت‌های امنیتی خود محصول، ما همچنین به طور مداوم تحلیل موارد را تقویت می‌کنیم و نکات امنیتی را به اشتراک می‌گذاریم تا به کاربران کمک کنیم سناریوهای خطر احتمالی را بهتر شناسایی کنند.

4. به طور خلاصه، نکات امنیتی کلید خصوصی

سلب مسئولیت:

این مقاله فقط برای مرجع است. این مقاله قصد ارائه (i) مشاوره سرمایه‌گذاری یا توصیه‌های سرمایه‌گذاری، (ii) پیشنهاد، درخواست یا ترغیب به خرید، فروش یا نگهداری دارایی‌های دیجیتال، یا (iii) مشاوره مالی، حسابداری، حقوقی یا مالیاتی را ندارد. دارایی‌های دیجیتال (از جمله استیبل‌کوین‌ها و NFTها) مشمول نوسانات بازار هستند، ریسک بالایی دارند و ممکن است ارزش آنها کاهش یابد. برای سوالات مربوط به اینکه آیا معامله یا نگهداری دارایی‌های دیجیتال برای شما مناسب است، لطفاً با متخصص حقوقی/مالیاتی/سرمایه‌گذاری خود مشورت کنید. کیف پول OKX Web3 فقط نوعی سرویس نرم‌افزاری کیف پول خود-حضانتی است که به شما امکان می‌دهد پلتفرم‌های شخص ثالث را کشف کرده و با آنها تعامل داشته باشید، و کیف پول OKX Web3 نمی‌تواند خدمات چنین پلتفرم‌های شخص ثالثی را کنترل کند و در قبال آنها مسئول نخواهد بود. همه محصولات در همه مناطق در دسترس نیستند. شما مسئول درک و رعایت قوانین و مقررات محلی مربوطه هستید. کیف پول OKX Web3 و خدمات مرتبط با آن توسط صرافی OKX ارائه نمی‌شوند و مشمول شرایط خدمات اکوسیستم OKX Web3 هستند.

این مقاله محتوای مشارکت‌کننده است و دیدگاه‌های BlockBeats را نشان نمی‌دهد.