سطح امنیت صرافی‌های رمز ارز چقدر است؟ / چالش قانونگذاری در حوزه ارز دیجیتال

به گزارش تجارت‌نیوز، دانستن نحوه ذخیره‌سازی اطلاعات و دارایی‌ها درون صرافی، جز مهمترین خواسته‌های کاربران است. بخشی از این امنیت به اطلاعاتی بر می‌گردد که در زمان احراز هویت ثبت می‌شوند و بخشی به بحث امنیت دارایی در صرافی مربوط می‌شود. 

مساله مهم دیگری که برای کاربران همواره مطرح بوده، نگرانی آن‌ها پس از انتشار اخباری است که چه درست و چه غلط، به نوعی اضطراب آن‌ها را افزایش می‌دهد. به‌طور مثال، خبر به‌فروش گذاشته شدن اطلاعات کاربران در یک کانال تلگرامی که حتی اگر این خبر درست هم نباشد، تا زمانی که صرافی از خودش دفاع کند، بدون شک تاثیر خود را روی کاربران آن صرافی به جا می‌گذارد.

تجارت‌نیوز در میزگردی با حضور امید امین‌زاده رئیس هیئت مدیره صرافی آبان تتر و بردیا احمدنیا، مدیر عملیات و هم‌بنیان‌گذار صرافی والکس، به امنیت کاربران درون صرافی و چالش‌های قانونگذاری صرافی‌ها، پرداخته است.

بخش نخست از گزارش این میزگرد با عنوان چالش های صنعت رمز ارز در ایران منتشر شد. بخش دوم و پایانی را در ادامه می‌خوانید. 

راهکار صرافی‌ها برای حفظ امنیت کاربران

آیا اخبار منفی که در فضای مجازی منتشر می‌شوند، تاثیری بر کار صرافی‌ها داشته است؟ راهکار صرافی‌ها برای حفظ امنیت کاربران چه بوده است؟

- بردیا احمدنیا، والکس: من در خصوص والکس می‌توانم نظر بدهم. اطلاعات هویتی و کاربری افراد در بستر این صرافی در مرحله نخستی که کاربر اطلاعات را وارد می‌کند، به صورت آنلاین است. یعنی صرافی، اطلاعات وارد شده را به صورت برخط ذخیره و پشتیبانی آنها را تایید می‌کند. همه موارد با ثبت احوال چک می‌شود و پس از تایید، ذخیره اطلاعات به آفلاین تغییر می‌کند. به این معنا که اطلاعات روی سروری قرار ندارد و بخصوص عکس سلفی کاربر با دست نوشته‌اش و کارت ملی و کد ملی؛ روی سرور ذخیره نمی‌شوند و در نتیجه قابل هک نیستند.

ما به کاربران پنل کاربری و رمز ورود می‌دهیم و کل فعالیت‌‌ها با همین موارد انجا می‌شود. در واقع با اطلاعات هویتی کاربر کار نمی‌کنیم. دیتای هویتی که ذخیره می‌شود کاملا آفلاین نگهداری می‌شود و دسترسی آنلاینی به آن اطلاعات وجود ندارد. در نتیجه فردی نمی‌تواند برای دستیابی به اطلاعات کاربران سروری را هک کند. زمانی که دو سال پیش گروهی اعلام کردند که ولکس هک شده و هکرها به اطلاعات کاربران دست پیدا کرده‌اند، ما مطمئن بودیم که این خبر صحت ندارد. شرکت در این مورد پرونده قضایی تشکیل داد و فردی که این ادعای کذب را مطرح کرده دستگیر شد. اکنون نیز او در حال گذراندن دوران محکومیت‌ خود است.

موضوع دوم امنیت دارایی کاربر است. پروتکلی وجود دارد که من فکر می‌کنم تقریبا تمام صرافی‌های ایرانی از آن پیروی می‌کنند. صرافی‌ها سوپر ولتی دارند که دارایی کاربر در آن انباشت می‌شود و در حالت آفلاین است. از سوی دیگر، آنها به هات ولتی نیز مجهز هستند که به آن والت گرم گفته می‌شود. برداشت‌های کاربر از طریق این ولت صورت می‌گیرد. بر اساس استاندارد جهانی بین یک تا پنج درصد دارایی کاربران در ولت گرم قرار می‌گیرد. صرافی ولکس بین یک تا یک و نیم درصد دارایی را در آن نگه می‌دارد، تا نیاز برداشت کاربر در لحظه انجام شود. در این صورت اگر کیف پول صرافی هک شود، قاعدتا کیف پول سخت افزاری‌ هک نشده است و این اتفاق برای کیف پول نرم‌افزاری یعنی هات ولت‌ مجموعه رخ داده است. در این مورد هم برای حفظ امنیت‌، پروتکل‌های متفاوتی دارد. از جمله اس اس ام و اچ اس ام و بانک‌های کشور نیز بخشی از آنها را برای نقل و انتقالات داخلی و خارجی خود به کار می‌برند.

نکته سوم که مهمتر از دو مورد اول است به این واقعیت بازمی‌گردد که طبیعت صرافی، حفظ امنیت‌ آن را ضروری می‌کنند. حوزه کار اکسچنج، مالی و ارائه خدمات مالی به کاربر است؛ اولیوت اول‌ چنین مجموعه‌ای همیشه باید حفظ امنیت باشد. اگر یک صرافی نتواند امنیت‌ خود را تضمین کند، اولین جایی که دچار مخاطره می‌شود خود مجموعه است؛ چرا که دیگر نمی‌تواند به کاربران خدمت ارائه کند و اعتباری را که ساخته‌ است، از بین می‌رود. در نتیجه اهمیت امنیت برای صرافی از کاربران مهمتر است. مجموعه همه تلاش خود را می‌کند که بهترین پروتکل‌ها را تعریف و اجرا کند تامشکلی رخ ندهد. اگر چنین اتفاقی بیفتد، حتی می‌تواند باعث نابودی صرافی شود. 

در دنیا شرایط اینگونه است که حتی اگر هکرها اکسچنجی را هک می‌کنند، آن مجموعه تضمین می‌دهد که پول کاربران را جایگزین می‌کنند. به این دلیل که امنیت برای صرافی‌ها حرف اول را می‌زند. آنها معمولا یک صندوق رزرو دارند و از درآمدی که کسب کرده‌اند، در آن صندوق ذخیره می‌کنند برای اینکه اگر زمانی هک شدند و موجودی از هات ولت آن‌ها خارج شد؛ بتوانند پول را جایگزین کنند.

اگر یک صرافی هک شود، کاربر خدمات مورد نیاز خود را از مجموعه دیگری می‌گیرد، چرا باید خدمات‌اش را از اکسچنج بگیرد. بنابران اهمیت امنیت برای ما بیشتر است و تلاش می‌کنیم هر پروتکل امنیتی که می‌توانیم را مورد استفاده قرار بدهیم. حتی یک سری هکر کلاه سفید امنیت صرافی را آزمایش می‌کنند تا اگر مشکلی وجود داشته باشد آن را بیابند. آنها هر ماه نفوذها را بررسی می‌کنند و در ازای پیدا کردن راه ورودی، پاداش می‌گیرند. ما می‌خواهیم از این طریق جلوی نفوذهای منفی را بگیریم چون مسئله بسیار مهمی است.

- امید امین‌زاده، آبان تتر: در کشور یکی از موضوعات گمشده همین بحث امنیت است. همه جا این مساله برای آدم‌ها اهمیت زیادی دارد ولی بزرگترین مساله‌ای که کمترین بها به آن داده می‌شود همین است. زیرا سیاست‌گذار اولویت‌های دیگری دارد، برای مثال محدودیت‌هایی که در اینترنت ایجاد می‌کند. در نتیجه این شرایط، حجم بدافزاری که به دلیل استفاده از فیلترشکن‌ها وجود دارد، رتبه ایران را در این زمینه به سطح قرمز رسانده است. یعنی بدترین وضعیت را در بین باقی کشورها دارد. 

در طول سالیان اخیر نشر اطلاعات به تعداد موهای سر ما رخ داده است؛ هم برای دستگاه‌های حاکمیتی و هم شرکت‌های خصوصی. البته تا حدی طبیعی است و اگر اخبار بین المللی را دنبال کنید در حوزه تکنولئوژی روزانه اتفاقات مشابهی می‌افتد. مساله این است که واکنش‌ها در ادامه چیست؟ بخش خصوصی یا دولتی چگونه این موضوع را گزارش می‌کند، افشای اطلاعات چقدر بوده و چه اقدامی انجام می‌شود؟ این پرسش‌ها مواردی است که ما کمتر به آن توجه می‌کنیم و معمولا به دست فراموشی سپرده می‌شوند. مساله دوم این است که نهاد عمومی با این مساله چطور برخورد می‌کند؟ این یکی از حلقه‌های گمشده کشور است. ولی همانطور که اقای احمدی نیا اشاره کردند بقا مهمترین پیشران هر مجموعه است. اگر نتوانید از دارایی کاربران حفاظت کنید با بزگترین تهدید که تهدید بقا است روبرو می‌شوید. 

می‌توانیم در مورد روش‌های حفظ امنیت اطلاعات و حفظ دارایی کاربر صحبت کنیم ولی باز هم می‌شود خود گویی. مساله اصلی این است که آیا چنین توضیحاتی موجب خلق اعتماد می‌شود یا نه؟ من فکر می‌کنم، چه مساله افشای نشر اطلاعات و چه ادعای حفاظت از اطلاعات، اهمیت چندانی برای کاربران نداشته باشد چرا که در نهایت آنها خود را درگیر مخاطرات امنیتی می‌بینند. دلیل این شرایط، محیطی است که کاربران درون آن قرار گرفته‌اند. در واقع این نگرانی همیشه برای آنها وجود دارد؛ صرف نظر از اینکه صرافی چه ادعایی داشته باشد. چرا که جای نهادهای مورد اعتمادی که مساله را احراز کنند بسیار خالی است.

ما به لحاظ ساختاری با چنین پدیده‌ای روبرو هستیم. در مورد اطلاعاتی که از کاربران جمع‌آوری می‌شود، بسیاری از مجموعه‌ها از جمله ما، از شرکت‌های ثالث برای عملیات احراز هویت استفاده می‌کنند. برخی از این شرکت‌های ثالث، کار در سایت قوه قضاییه را انجام می‌دهند. این شرکت‌ها عملا دیتا را جمع‌آوری و پردازش می‌کنند و دیتای احراز شده را در اختیار ما قرار می‌دهند که نهایتا ما باید محافظت‌های لازم را انجام بدهیم که می‌دهیم.

اخیرا در فضای مجازی موضوعی مطرح شد که می‌گفت بخشی از داده‌های مجموعه آبان تتر در اختیار یک کانال تلگرامی است. این ادعا حواشی‌ای را به وجود آورد و آن فرد برای اثبات ادعای خود حدود پنج هزار شماره تلفن را به عنوان شماره‌های کاربران مجموعه منتشر کرد. ما بررسی کردیم و دیدیم از این مجموعه 10 تا 15 درصد، کاربران آبان تتر بودند و برداشت ما این بود که احتمالا اطلاعات از یکی از پرداخت‌یاری‌هایی که صرافی واریز یا تسویه را انجام می‌دهد، نشت کرده باشد. با وجود طرح این موضوع در شبکه‌های اجتماعی، در واقعیت هیچ تاثیری بر بازار ما نداشت و مجموعه کمترین اثری از آن روی حجم معاملات و خروج سرمایه ندید. 

این مساله از یک زاویه برای ما جالب بود. در تویتر از اکانت‌ها مشخص بود که بودجه‌ای مالی پشت این برنامه است و کاری برنامه‌ریزی شده بود. ما هم در همین سطح شفاف‌سازی کردیم؛ بیانیه دادیم و موضوع را با کاربرها در جریان گذاشتیم . همچنین با نهادهایی که تماس می‌گرفتند، تعامل داشتیم. ولی موضوع برای ما از این جهت جالب بود که جامعه هم دچار این نگرانی است. تحلیل من این بود که اتفاقا کاربران نگران دارایی و اطلاعات خود هستند ولی در حقیقت راهی به غیر از پذیرش چنین مخاطراتی ندارند. کاربران همیشه نگران هستند؛ چه این خبر بیاید و چه نیاید و چه من بگویم که حافظ هستم و چه نگویم. گویی چیزی برای از دست دادن وجود ندارد. این مساله را می‌توان از منظر جامعه‌شناختی هم تحلیل کرد. 

در مورد دارایی‌های کاربران، مدل‌ها به همان صورتی است که جناب احمدنیا اشاره کردند. بانک‌ها را اگر در نظر بگیرید، یک ذخیره قانونی دارند؛ چرا که معمولا همه کاربران برای گرفتن سپرده خود مراجعه نمی‌کنند و احتمالا در هر شعبه مقدار مشخصی پول نقد وجود دارد که جواب ارباب رجوع را بدهد. در واقع بیشتر دارایی‌ها در خزانه بانک است. در صرافی‌ها نیز مدل مشابهی وجود دارد و اما ممکن است تفاوت‌هایی نیز وجود داشته باشد. برای مثال آبان‌تتر، سه لایه برای نگهداری دارایی‌ها دارد و برخی مجموعه‌ها ممکن اسات دو لایه داشته باشند و برخی دیگر، لایه‌های بیشتری دارند. این موضوع به نوع مدیریت دارایی‌ها در رهر صرافی بازمی‌گردد. ولی من فکر می‌کنم برای همه همکاران ما دو مساله بسیار مهم است؛ یکی حفاظت از دارایی‌ها و دیگری تراز بین بدهی‌ها یا دارایی‌ها. به این معنا که ما نباید با دارایی کاربران فعالیت اقتصادی کنیم چرا که موضوع به امنیت دارایی‌ها بر می‌گردد. حتی اگر مجموعه‌ای این اطمینان را داشته باشد که می‌تواند از سپرده کاربران در حوزه‌هایی منفعت کسب کند، نباید تحت هیچ شرایطی زیر بار چنین ریسکی برود دارایی کاربران را به مخاطره می‌اندازد. 

صرافی‌ها مشمول چه قانونی هستند؟

با توجه به اینکه بحث‌های قانونی مربوط به صرافی‌های رمز ارز همچنان ادامه دارد آیا قانونی که از نظر امنیت مشمول آن شوید و استانداردهایی را ملزم کند وجود دارد یا نه؟

- احمدنیا، والکس: صرافی‌ها ذیل قانون جامع تجارت فعالیت می‌کنند. ما شرکتی را ثبت کرده‌ایم که ذیل آن فعالیت می‌کنیم، اما یک سری قوانین را خود فعالان وارد این حوزه کرده‌اند. شاید فتا قبلا نمی‌دانست تراکنش مشکوک یعنی چه؟ شاید نهادهای مرتبط نمی‌دانستند کی وای سی این حوزه چگونه باید باشد؟ این‌ موارد را خود ما اضافه کرده‌ایم و حالا به بدیهیات تبدیل شده‌اند. امروز اگر کسی بخواهد شرکتی را به عنوان صرافی ثبت و در این حوزه فعالیت کند، باید مجوز احراز هویت یا کی‌وای‌سی (KYC) را دریافت کند. نهادهایی مانند بانک مرکزی و پلیس فتا نیز بخشنامه‌هایی را برای چگونگی فعالیت صرافی‌ها صادر کرده و می‌کنند که عمل به آنها الزامی است . بعلاوه این که صرافی‌ها به عنوان یک شرکت که ذیل قانون تجارت فعالیت می‌کند، اسناد رسمی و صورت‌های مالی دارند و باید مالیات بپردازند. البته این موارد کافی نیست و حوزه ارز دیجیتال باید قانون مخصوص خود را داشته باشد که محدودیت بیش از حد هم ایجاد نکند. 

فعالان این حوزه چندی پیش در مورد موضوع قانون‌گذاری در دادستانی کل کشور جلسه‌ای داشتند. نمایندگان دادستانی گفتند منظور آنها از اصطلاح خودتنظیم‌گری که این روزها زیاد استفاده می‌شود، این نیست که بازار رمز ارز توسعه پیدا کند و برعکس باید محدود شود. در حالی که وظیفه سیاستگذاران تسهیل‌گری است تا افراد با حس اطمینان بیشتری به بازار رمز ارز ورود کنند و اتفاقا این مارکت برای همه طرف‌ها شفاف‌تر شود.

- امید امین‌زاده، آبان تتر:جناب امین‌زاده اشاره کردند و جواب کامل بود. ما باید مشارکت داشته باشیم تا قاعده‌ای را در کنار هم و با همکاری نهادهای ذی‌ربط و نهادهای ناظر طراحی کنیم. نتیجه شرایط موجود که مشارکت فعالان این حوزه در تدوین لوایح و طرح‌ها پایین است و از برخی نهادها نیز مشورت کافی گرفته نمی‌شود، همین است که امروز می‌بینیم. مساله‌ای که وجود دارد این است که هیچ قاعده و قانونی که بخواهد این حوزه را به طور تخصصی تنظیم کند وجود ندارد. البته خود من ترجیح می‌دهم قانون نباشد. به خاطر اینکه از قانونی که منجر به این اتفاقات سلیقه‌ای و محدودسازی شود می‌ترسم. ما تا به حال قانونی ندیده‌ایم که رقابت را بهبود بخشد و فضای کسب و کار را تسهیل کند. اگر قاعده‌ای بوده با هدف محدودسازی وضع شده است. قاعده‌ای که یا جلوی سهولت کسب و کار را گرفته یا رقابت را سخت کرده است. این نگرانی همچنان نیز وجود دارد. در حال حاضر تمام شرکت‌ها بر اساس قانون تجارت و تجارت الکترونیک فعالیت می‌کنند و برخی عضو سازمان نظام صنفی رایانه‌ای نبز هستند.

این روزها دولت و مجلس هر یک متنی را برای قانونگذاری در مورد ارز دیجیتال تدوین کرده‌اند. آیا هیچکدام با فعالان و ذی‌نفعان این حوزه نیز مشورتی انجام داده‌اند؟

- امین‌زاده، آبان تتر: ما به طور خاص طرف مشورت نبودیم.

- احمدنیا، والکس: ابتدا باید بار دیگر تاکید کنم که تسهیل‌گری یا تنظیم‌گری این حوزه از خود اکسچنج‌ها شروع شده است. خود ما رفته‌ایم و گفته‌ایم که بیایید در این حوزه قانون‌گذاری کنید. حتی شاید زمان زیادی گذاشته‌ایم و قوانین اتحادیه اروپا در حوزه رمز ارزها را بومی‌سازی کرده‌ایم. قاره‌ای طی چند سال صرف زمان این قوانین را تنظیم کرده و به تمام جوانب نگاه کرده است و ما این را بومی‌سازی کردیم و جلو بردیم. حتی موضوع به مجلس و شورای عالی فضای مجازی و مرکز ملی رسید اما متاسفانه بحث اصلی این است که ما هنوز تلکیف خود را با اصل موضوع مشخص نکرده‌ایم که آیا می‌خواهیم رمز ارزها و فعالیت در حوزه ارز دیجیتال را  بپذیریم یا خیر؟ حاکمیت و دولت باید در گام نخست این را برای خود شفاف کند. آیا ما می‌خواهیم این حوزه را تسهیل‌گری کنیم یا نه و می‌خواهیم همین فضای بدون قانون باقی بماند؟ چون خود ما فعالان این حوزه می‌دانیم که چه کاری باید انجام دهیم. می‌دانیم که امنیت دارایی‌ها برای ما مهم است. می‌دانیم که توسعه در بازار رقابتی اهمیت دارد. ما المان‌های بسیاری را می‌دانیم که حاکمیت نمی‌داند. 

خود ما برای ایجاد امنیت و اعتبار پا پیش گذاشته‌ایم ولی هنوز به نتیجه‌ای نرسیده‌ایم، اکوسیستم رمز ارزی جلو رفت و حتی خود تنظیم‌گری یا ای‌نماد دادن هم از بستر خود ما شکل گرفت. چرا که مسئولان می‌گفتند اصلا چرا باید به این حوزه ای‌نماد داده شود؟ ما گفتیم شما ممیزی بگذارید و در وهله اول اکسچنج‌هایی که بستر اصلی و اولیه را دارند شاخص کنید. نه صرافی‌ای که با 5 نفر نیرو فعالیت می‌کند. چون آن مجموعه قابلیت توسعه و حفظ امنیت دارایی‌ها را ندارد. یکسری مقررات بگذارید ولی ای‌نماد را به آنهایی که شرایط لارم را دارند، بدهید. در این صورت است که مردم احساس امنیت می‌کنند. البته ما با فلسفه ای‌نماد برای کل اکو سیستم تجارت الکترونیک مخالف هستیم ولی برای اینکه این صنعت و این اکوسیستم بالاخره در جایی به رسمیت شناخته شود، باید کاری انجام می‌شد. 

شاید ما چون خیلی شفاف هستیم صدمه می‌بینیم. چون مسئولان می‌دانند که می‌توانند ما را محدود کنند، بعضی اقدامات را انجام می‌دهند. اما آنها در بازارهایی مانند دلار و طلا نمی‌توانند برخی تصمیمات را بگیرند، زیرا در این بازارها امکان شفافیت وجود ندارد. در بازار کریپتو شفافیتی نسبی شکل گرفته است، در نتیجه شاپرک می‌تواند حساب‌های بانکی را رصد کند. متاسفانه یا خوشبخانه ما شفاف هستیم و این شفافیت به ضرر ما تمام می‌شود.

به نظر می‌رسد نسبت به اقدامات دولت و مجلس بیشتر نگرانی دارید تا امید.

- احمدنیا، والکس: در مورد لایحه‌ دولت باید بگویم هر متنی که به مجلس می‌رود معلوم نیست که با همان شکل بیرون بیاید. در لایحه مالیات عایدی بر سرمایه هم اصلا رمز ارز داخل متن دولت نبود. اما وقتی وارد کمیسیون شد روز قبل‌ از آن، رمز ارز را به آن اضافه کردند. یعنی شما نمی‌توانید ببینید لایحه‌ای که وارد مجلس می‌شود اگر تصویب شد همان متن است یا نه؟ این هم مساله‌ جدی است. شاید با لایحه‌ای که می‌رود موافقتی نسبی داشته باشیم ولی معلوم نیست از آن چیزی که وارد مجلس می‌شود، چه چیزی بیرون بیاید. از دوستان مجلسی می پرسیم رمز ارز را چه کسی یک روز قبل گذاشت در لایحه؟ می‌گویند چه کسی بود؟ ما ندیده‌ایم؟ هیچ کسی گردن نمی‌گیرد! این شرایط، کار را سخت می‌کند.

ویدئوی این میزگرد را در بخش ویدئو تجارت‌نیوز ببنید. 

برای اطلاعات بیشتر، مطالعه گزارش نگرانی‌ها از مصوبات و برنامه‌های رمزارزی دولت و مجلس پیشنهاد می‌شود.