راهنمای جامع محافظت از NFT در برابر انواع سرقت و حمله

توکن‌ غیرقابل تعویض یا به اختصار NFT  به سرعت به یکی از پرطرفدارترین و مورد توجه‌ترین دارایی‌های دیجیتال درحوزه هنر و سرگرمی تبدیل شده است. هر نوع از دارایی به خاطر ارزش مالی که دارد می‌تواند مورد سرقت قرار بگیرد. تامین امنیت توکن NFT نیز با چالش‌هایی همراه است. در این مقاله از وبلاگ صرافی ارز دیجیتال او ام پی فینکس به بررسی راهکارهای محافظت از NFT می‌پردازیم تا هنرمندان، کلکسیونرها و کاربران این بازار دیجیتال بتوانند با خیال آسوده در این بازار فعالیت کرده و بیشترین بهره را از این فناوری ببرند.

پادکست نحوه نگهداری از NFT در برابر حمله و سرقت

آیا NFT را می‌توان دزدید؟

اگر اقدامات امنیتی لازم را انجام ندهید امنیت توکن NFT به خطر می‌افتد و به روش‌های مختلف ممکن است مورد سرقت قرار بگیرد. در بیشتر موارد، هکرها از حملات فیشینگ برای دسترسی به کیف پول شما استفاده می‌کنند. زمانی که قیمت ارز دیجیتال یا قیمت NFT افزایش پیدا می‌کند؛ سودجویان به فکر راه‌های مختلف برای دسترسی به کیف پول شما و سرقت دارایی‌های با ارزش هستند.

به عنوان مثال، اگر روی یک لینک مخرب کلیک کرده و جزئیات ورود به سیستم خود را وارد کنید، یک هکر می‌تواند به اطلاعات ورود به سیستم شما دسترسی پیدا کند و دارایی‌های با ارزش شما را به سرقت ببرد.

پروژه‌های فریبنده NFT راه دیگری است که هکرها و کلاهبرداران به سرقت NFT می‌پردازند. شخصیت‌های کلاه‌بردار اغلب یک پروژه NFT راه‌اندازی می‌کنند و آن را در شبکه‌های اجتماعی مختلف تبلیغ می‌کنند. هنگامی که این پروژه در بین مردم و سرمایه‌گذاران شناخته شد و کلاهبرداران سرمایه زیادی را جذب کردند، با پول ناپدید می‌شوند. این نوع کلاه‌برداری به راگ پول (Rug Pull) شناخته می‌شود.

از دیگر کلاه‌برداری‌های مشهور NFT می‌توان به مواردی مانند بیدینگ اسکم (Bidding Scam)، طرح‌های پامپ و دامپ (pump-and-dump) و سرقت NFT اشاره کرد.

معرفی بهترین راه‌ها برای محافظت از NFT

در این بخش از مقاله به معرفی راه‌هایی می‌پردازیم که به امنیت توکن NFT کمک می‌کند. NFT به عنوان یک دارایی با ارزش شناخته می‌شود پس محافظت از NFT اهمیت بالایی دارد تا یک فرد دچار خسارت نشود. NFTها نیز همانند هر دارایی با ارزشی نیاز به محافظت از طریق صاحبان خود دارند.

از کانال‌های رسمی پشتیبانی استفاده کنید

توصیه می‌‌شود تنها از کانال‌های رسمی برای دریافت کمک استفاده کنید. درخواست کمک از طریق کانال‌های اجتماعی یا Discord که OpenSea پشتیبانی مشتری رسمی ارائه نمی‌دهد، ممکن است شما را به هدف سوء استفاده‌کنندگان قرار دهد. شما می‌توانید پاسخ‌ سوالات متداول و پشتیبانی مستقیم را از طریق مرکز کمک OpenSea در اختیار داشته باشید.

فقط با بازارهای معتبر NFT تعامل داشته باشید

یکی از بهترین راه‌ها برای حفظ دارایی‌های دیجیتال خود استفاده از بازارهای NFT معتبر و قابل اعتماد برای انجام معاملات است. بازارهای معاملاتی معتبر NFT امکانات امنیتی پیشرفته‌ای را به کاربران ارائه می‌دهند تا آن‌ها معاملاتی امن را تجربه کنند از جمله این پلتفرم‌ها مواردی مانند سوپرریر (SuperRare)، رریبل (Rarible)، اوپن‌سی (OpenSea) و نیفتی گیت وی (Nifty Gateway) هستند.

مشاهده قیمت لحظه ای و خرید شیبا در صرافی ارز دیجیتال

روی لینک‌ها و آگهی‌های تصادفی در گوگل کلیک نکنید

بیشترین  هدف کلاه‌برداری‌های فیشینگ جلب کاربران برای اتصال کیف پول‌های خود به یک وب‌سایت تقلبی است. کلاه‌برداران سایت‌ها و برنامه‌های جعلی را ایجاد می‌کنند که طراحی و آدرس URL آن‌ها شبیه به سایت اصلی است و سرمایه‌گذاران که اغلب به جزئیات یک آدرس توجه نمی‌کنند به حیله‌های آن‌ها گرفتار می‌شوند.

پروژه‌ها و بازارهای محبوب NFT اغلب هدف وب‌سایت‌های جعلی هستند که سعی می‌کنند کاربران را به اشتراک‌گذاری اطلاعات مهم ترغیب کنند. هک اینستاگرام Bored Ape Yacht Club، که در آن کلاهبرداران بیش از ۲.۵ میلیون دلار NFT را سرقت کردند، نشان می‌دهد که حملات فیشینگ چقدر پیچیده و زیان‌آور هستند.

برخی از هکرها کاربران را به روش‌های مختلف فریب می‌دهند تا دستوراتی مانند “setApprovalForAll” را اجرا کنند. اجرای این دستورات به قراردادهای هوشمند اجازه می‌دهد دارایی‌ها را از کیف پول قربانیان در تاریخی مشخص منتقل کنند یا NFTها را به آدرس هکرها ارسال کنند. بنابراین، از کلیک روی لینک‌های تصادفی و تبلیغات گوگل خودداری کنید زیرا ممکن است اهداف مخربی داشته باشند.

هرگز معاملاتی را که از صحت آن مطمئن نیستید، امضا نکنید

یک راه دیگر برای محافظت از NFT در برابر دزدی، احتیاط و اجتناب از امضای معاملاتی است که درباره آن‌ها مطمئن نیستید. برای تایید یک معامله، شما باید یک تابع قرارداد هوشمند را امضا کنید که با اختیار بازار برای انجام معامله موافقت می‌کند.

اما برخی از توابع، قرارداد هوشمند را به اختیار انتقال دارایی‌های دیجیتال شما می‌دهند. فعال کردن این تابع در کیف پول شما می‌تواند امکان دزدیده شدن کل مجموعه‌ی NFT‌های شما را توسط سودجویان فراهم کند. بنابراین تا وقتی مطمئن نشده‌اید توابع  انتقال دارایی‌ها را امضا نکنید.

همیشه وب سایتی را که با آن در حال تعامل هستید بررسی کنید. به URL توجه کنید، اشتباهات تایپی را جدی بگیرید و همیشه پلتفرم‌های رمزنگاری و صرافی‌هایی را مداوم در حال استفاده از آن‌ها هستید را در مرورگر خود مارک کنید.

از کیف پول سخت‌افزاری استفاده کنید

می‌توانید با استفاده از یک کیف پول سخت‌افزاری امنیت توکن NFT را افزایش دهید، کیف پول‌های زیادی وجود دارد کافی است با توجه به نیازهای خود به دنبال بهترین کیف پول سخت افزاری ارز دیجیتال برای ذخیره توکن‌های NFT خود باشید. اگرچه کیف پول‌های نرم‌افزاری و تحت وب مانند متامسک (MetaMask) سطحی از محافظت و کنترل را فراهم می‌کنند، اما می‌توانند در برابر هکرها آسیب‌پذیر باشند.

کیف پول‌های سخت‌افزاری مانند ترزور (Trezor) و لجر (Ledger) دستگاه‌های فیزیکی هستند که یک لایه امنیتی اضافی را ارائه می‌دهند. این کیف پول‌ها از کاربران می‌خواهند که تراکنش‌های داخل دستگاه را با استفاده از کلیدهای خصوصی خود به صورت محلی امضا کنند، بنابراین کلید خصوصی کیف پول شما هرگز در معرض دستگاه‌های متصل به اینترنت قرار نمی‌گیرد. به عبارت دیگر بدون اجازه هیچ معامله یا قرارداد هوشمندی امضا نمی‌شود.

اگرچه کیف پول‌های سخت‌افزاری بسیار امن شناخته می‌شوند، اما تایید تراکنش‌های مخرب از طریق دستگاه فیزیکی دارایی‌های شما را حفظ نمی‌کند. از سوی دیگر، برخلاف کیف پول‌های نرم‌افزاری، اگر دستگاه شما آلوده شود، سرقت وجوه شما بدون اتصال کیف پول سخت افزاری غیرممکن خواهد بود.

برای استفاده از کیف پول‌های سخت افزاری باید آن‌ها را خریداری کنید، بنابراین اگر هزینه زیادی را برای خرید NFT پرداخت کرده‌اید توصیه می‌شود برای محافظت از آن‌ها و حفظ سرمایه خود یک کیف پول سخت افزاری داشته باشید.

عبارت Seed خود را ایمن ذخیره کنید

منظور از عبارت سید (Seed phrase) چندین کلمه تصادفی است که برای بازیابی کیف پول ارز دیجیتال استفاده می‌شود از این رو به آن عبارت بازیابی نیز می‌گویند. نگهداری عبارت سید که معمولا یک عبارت ۱۲ یا ۲۴ کلمه است و نماینده کلید خصوصی شما شناخته می‌شود، در یک مکان ایمن و مطمئن بسیار حیاتی است. از اشتراک‌گذاری و ارسال آن به هر کسی خودداری کنید، زیرا این کار دسترسی به NFT‌ها و دارایی‌های رمزارزی شما را فراهم می‌کند.

یکی از کارهای اشتباه برای حفظ عبارت سید ذخیره آن در کامپیوتر شخصی چه به صورت آنلاین و چه آفلاین مانند ایمیل و یادداشت دیجیتال است. این کار می‌تواند Seed را در برابر هک و سرقت آسیب‌پذیر کند. در عوض، توصیه می‌شود عبارت سید خود را روی یک تکه کاغذ بنویسید و آن را در مکانی امن مانند صندوق امانات قرار دهید. حتی بهتر است عبارت را به دو یا سه قسمت تبدیل کرده و به صورت مجزا آن را ذخیره کنید. از جمله توضیه‌های مهم برای محافظت از NFT و نگهداری سید می‌توان به عدم ذخیره‌سازی روی هارد دیسک، به صورت آنلاین و در فضای ابری اشاره کرد.

تاییدیه قراردادهای هوشمند را محدود کنید

این یک نکته مهم در ارتباط با استفاده از قراردادهای هوشمند در جهت محافظت از NFT است. اگر از متامسک استفاده می‌کنید، وقتی که قصد تایید یک تراکنش را دارید، باید هزینه‌های مربوط به آن تراکنش را با دقت بررسی کرده و محدودیت‌های خود را تنظیم کنید. این کار از هزینه‌های ناخواسته یا ارسال تراکنش‌هایی با هزینه‌های بیشتر از حد انتظار جلوگیری کنید.

همه NFTهای خود را در یک کیف پول ذخیره نکنید

استفاده از چند کیف پول برای ذخیره‌ NFT‌ خطر از دست دادن تمام دارایی‌ها به یک دلیل را کاهش خواهد داد.می‌توانید کلکسیون‌های NFT خود را بر اساس ارزش، کمیت و موارد مختلف گروه‌بندی کرده و آن‌ها را در کیف‌پول‌هایی با تمهیدات امنیتی مختلف ذخیره کنید.

به عنوان مثال، می‌توانید NFT‌های با ارزش بالا را در یک کیف پول سخت‌افزاری نگهداری کنید و NFT‌های کم ارزش‌تر را در یک کیف پول تحت وب قرار دهید. به این شکل حتی در صورتی که یکی از کیف ‌پول‌های شما دچار نقض امنیتی شود، تنها بخشی از NFT‌های خود را از دست می‌دهید. از آنجایی که بلاک چین‌ها عمومی هستند، هر فردی می‌تواند آدرس‌ها یا کیف‌پول‌های عمومی که شامل بسیاری از NFT‌های با ارزش هستند را ببیند و مورد هدف قرار دهد.

استفاده از چند کیف پول برای ذخیره‌سازی و محافظت از NFT‌ نیازمند سازماندهی و دقت بالا است. شما باید ردیابی کنید که هر NFT در کدام کیف پول قرار دارد و اطمینان حاصل کنید که عبارات بازیابی پشتیبان مورد نیاز برای هر کیف پول را دارید. به یاد داشته باشید که استفاده از کیف پول‌های مانند Metamask به شما امکان می‌دهد تا چند حساب کاربری داشته باشید که هر کدام یک آدرس عمومی متفاوت دارند اما همه آن‌ها تحت یک فاز بازیابی مخفی قرار می‌گیرند.

مشاهده قیمت لحظه ای و خرید پپه در صرافی ارز دیجیتال

بررسی دقیق را انجام دهید

انجام تحقیقات کامل قبل از سرمایه گذاری در هر پروژه NFT همیشه نتیجه مثبت به همراه خواهد داشت. این امر مستلزم دقت لازم برای اطمینان از اینکه پروژه دارای نقشه راه واقعی و موارد کاربری کاملا تعریف شده، است. سرمایه‌گذاران  باید از این موضوع که بنیانگذاران پروژه معتبر هستند و به طور عمومی شناسایی شده‌اند، آگاهی داشته باشند. گروه داکسینگ (Doxxing) به تایید این موضوع کمک می‌کند که بنیانگذاران قبلا روی پروژه‌های موفق کار کرده‌اند و از شهرت خوبی برخوردار هستند.

گروه داکسینگ گروهی است که به ارائه عمومی اطلاعات قابل شناسایی شخصی در مورد یک فرد یا سازمان، معمولا از طریق اینترنت و بدون رضایت آن‌ها می‌پردازد.

افراد سرمایه‌گذار در حوزه NFT باید مراقب پروژه‌هایی باشند که بازدهی غیرواقعی را وعده می‌دهند، زیرا اغلب برای نشان دادن واقعی بودن پروژه خیلی خوب زوی آن‌ها کار می‌شود.

برای مثال پروژه آزوکی (Azuki)، را در نظر بگیرید با وجود اینکه یکی از پرچم‌داران پروژه‌های NFT در سال ۲۰۲۲ بود، بعد از آن که یکی از بنیان‌گذاران کلکسیون آزوکی به طور ناشیانه خود را به عنوان یکی از بنیان‌گذاران چندین پروژه شکست‌خورده NFT که از سرمایه‌گذاران از طریق راگ پول کلاه‌برداری کرده بودند، علنی کرد، ارزش خود را از دست داد.

استفاده از احراز هویت دو مرحله ای (۲FA)

یکی از راهکارهای محافظت از NFT احراز هویت دو مرحله ای است که از طریق برنامه‌هایی مانند گوگل آتنتیکیتور (Google Authenticator) و آتی (Authy) می‌توانید آن را فعال کنید و در صورت امکان از SMS 2FA اجتناب کنید زیرا ممکن است در برابر حملات آسیب‌پذیر باشد. همچنین برای امنیت بیشتر می‌توان از یک دستگاه ۲FA مبتنی بر سخت افزار مانند گوگل تایتان (Google Titan) و یوبی کی (YubiKey) بهره برد.

پرسش‌های متداول در باره امنیت توکن NFT