۵ نکته برای استفاده امن از کیف پول MEW

سایت MyEtherWallet.com در نوع خودش بی‌نظیر و بسیار کاربردی هست. اما اخیرا کاربرهای این سایت به دلیل حمله‌ی DNS Hijackingای که انجام شده بود به وبسایت جعلی MEW هدایت می‌شدند و تعدادی از اون‌ها ایترهای خودشون رو از دست دادند.

متاسفانه ساز و کارهایی که برای امن نگه داشتن اطلاعات کاربرها در اینترنت مورد استفاده قرار می‌گیره به روش‌های مختلف ممکنه مورد حمله قرار بگیره و خراب شدن یک قطعه از این پازل می‌تونه همه‌ی اون رو خراب می‌کنه. پس به خصوص در مورد سایت‌هایی که با مبادلات مالی و اون هم از نوع ارزهای دیجیتال سر و کار دارن باید دقت بیشتری داشته باشیم. در ادامه نکاتی رو که احتمالا کمکمون می‌کنه تا گرفتار یک سایت جعلی نشیم مرور می‌کنیم. می‌تونید فقط بخش‌های بولد شده رو مطالعه کنید.

۱. مرورگر امن و به روز

اگر از یک مرورگر قدیمی استفاده می‌کنید خوندن ادامه مطلب هیچ کمکی بهتون نمی‌کنه. همین الان آخرین نسخه‌ی مرورگر کروم یا فایرفاکس رو نصب کنید و به روز نگهش دارید.

۲. بررسی معتبر بودن گواهی SSL

همیشه توجه داشته باشید که دارید از نسخه https سایت استفاده می‌کنید. سایت‌های حساسی مثل MEW از طریق پروتکل http بالکل نباید در دسترس باشند. همینطور چک کنید که گواهی ssl سایت در نسخه https معتبر هست.

گواهی غیر معتبر
گواهی غیر معتبر
گواهی سایت توسط مرورگر معتبر شناخته شده
گواهی سایت توسط مرورگر معتبر شناخته شده

معتبر شناخته شدن گواهی فقط به این معنی هست که توسط یکی از صدها مرکز صادرکننده‌ی این گواهی‌ها صادر شده. متاسفانه صدور این گواهی‌ها در کمترین زمان و به آسونی انجام می‌شه و تهیه‌ی یک گواهی معتبر شناخته شده و در عین حال جعلی برای مهاجم کار سختی نیست. پس این گواهی‌ها چندان قابل اعتماد نیستن. حتی اگر این مراکز کارشون رو به درستی انجام بدن، معنی این گواهی صرفا اینه که دارنده‌ی اون به سایت دسترسی داره. در حمله‌ای که اخیرا انجام شده بود مهاجم دامنه رو به سرورهای خودش اشاره داده بود (حداقل برای برخی از موقعیت‌های جغرافیای و با کانفیگ خاص) و به صورت قانونی هم احتمال اینکه می‌تونست چنین گواهی رو دریافت کنه وجود داشت.

خوشبختانه MEW از گواهی نوع EV استفاده می‌کنه که برای گرفتن اون علاوه بر نشون دادن مالکیت سایت باید شرکت ثبت شده با نامی که گواهی برای اون صادر می‌شه هم داشت.

گواهی Extended Validation سایت MEW
گواهی Extended Validation سایت MEW

قبلا نشون داده شده که گرفتن گواهی EV با اسم دلخواه و در همون کشور کار سختی نیست. بنابراین باید هم آدرس خود دامنه و هم اسم EV رو چک کرد تا بشه در حد زیادی به گواهی اعتماد کرد. یعنی وقتی وارد سایت MEW می‌شید چیزی که در مرورگرتون می‌بینید باید دقیقا مطابق با عکس بالا باشه.

۳. نوشتن دستی آدرس

همیشه آدرس سایت رو به صورت دستی و با دقت وارد کنید و به هیچ عنوان با کلیک روی لینک‌ها وارد سایت‌هایی مثل MEW نشید. کلیک کردن روی آدرسی مثل https://www.myetherwallet.com ما رو به جایی که بهش لینک شده هدایت می‌کنه نه آدرسی که در متنش نوشته شده. همینطور آدرسی که با نگه داشتن ماوس روی لینک‌ها توسط مرورگر نشون داده می‌شه لزوما آدرسی نیست که بهش منتقل می‌شیم و کدهای جاوا اسکریپت می‌تونن رفتار پیش‌فرض کلیک روی لینک‌ها رو تغییر بدن.

با کلیک روی کلمه‌ی Advertising لزوما به آدرسی که در پایین صفحه توسط مرورگر نشون داده می‌شه منتقل نمی‌شیم
با کلیک روی کلمه‌ی Advertising لزوما به آدرسی که در پایین صفحه توسط مرورگر نشون داده می‌شه منتقل نمی‌شیم

نکته‌ی دیگه‌ای که باید بدونید اینه که کارکترهای متفاوتی در زبان‌های مختلف وجود دارن که کاملا مشابه هم هستن (حداقل در برخی از fontها) ولی کد ASCII یکسانی ندارن. بنابراین مهاجم می‌تونه دامنه‌ای رو ثبت کنه که در ظاهر کاملا مشابه با سایت اصلی هست ولی در حقیقت از کارکترهای متفاوتی استفاده کرده. خوشبختانه در حال حاضر اگه از یک مرورگر معقول و به روز استفاده می‌کنید، اون به شما کارکترهای مشابه رو به شکل دیگه‌ای نمایش می‌ده. + ولی هنوز هم باید حواستون باشه myelherwallet یا باقی ترکیب‌های مشابه رو با myetherwallet اشتباه نگیرید.

دو کلمه‌ی apple در ظاهر کاملا مشابه‌اند اما appleهای بخش راست دارای حرف a با کد ASCII متفاوتی هستند.
دو کلمه‌ی apple در ظاهر کاملا مشابه‌اند اما appleهای بخش راست دارای حرف a با کد ASCII متفاوتی هستند.

هرچند توصیه نمی‌شه ولی اگر سایتی رو از طریق گوگل پیدا می‌کنید، اقلا مطمئن باشید روی لینک‌های تبلیغاتی که در ابتدای نتایج نشون داده می‌شن کلیک نکنید. این لینک‌ها معمولا شما رو به سایت‌های جعلی هدایت می‌کنند و اقدامات گوگل برای نپذیرفتن یا حذف به موقع تبلیغات فیشینگ تا به الان کافی نبوده.

اولین نتیجه‌ی نمایش داده شده در گوگل تبلیغاتی بوده و به نسخه‌ی جعلی سایت kucoin هدایت می‌شه.
اولین نتیجه‌ی نمایش داده شده در گوگل تبلیغاتی بوده و به نسخه‌ی جعلی سایت kucoin هدایت می‌شه.

۴. نسخه‌ی آفلاین کیف پول

همه‌ی قابلیت‌های کیف پول MEW به جز بخش‌های مربوط به انتشار تراکنش در شبکه و دریافت اطلاعات حساب، سمت کاربر اجرا می‌شه و نیازی به سرور نداره. برای همین MEW همیشه ادعا می‌کنه که هیچ اطلاعاتی از حساب شما نداره و هیچ کمکی در هیچ زمینه‌ای نمی‌تونه بهتون بکنه. بنابراین می‌تونید نسخه آفلاین این سایت رو دانلود، کدهاش رو بررسی و همیشه از اون برای دسترسی به سایت استفاده کنید.

برای این کار باید به githubشون برید و روی Download the Latest Release کلیک و etherwallet-vX.XX.XX.zip رو دانلود کنید. بعد از خارج کردن این فایل از حالت فشرده می‌تونید وارد پوشه‌ش بشید و با فایل index.html سایت MEW رو باز کنید. بالطبع باید لینک‌های سایت اصلی رو پیگیری کنید و به این لینکی که من اینجا گذاشتم برسید. نه اینکه به حرف من اتکا کنید.

وقتی از این روش برای ورود به سایت استفاده می‌کنید دیگه نه نگران سایت جعلی مهاجم‌ها هستید و نه توسعه‌دهنده‌های MEW می‌تونن اگه نقشه‌ی شومی برای تغییر مخرب کدهای سایت داشته باشن عملیش کنن. در مقابل باید مطمئن باشید که در لحظه‌ی دانلود این فایل کد مخربی در اون وجود نداره، سیستمتون آلوده نیست و محتویات این فایل‌ها قرار نیست تغییر کنه.

۵. روش‌های معقول‌تر آنلاک کردن حساب

فرض می‌کنیم با در نظر گرفتن همه‌ی نکات امنیتی باز هم وارد یک سایت جعلی شدیم. اگه از روش‌های

  • Private Key
  • Mnemonic Phrase
  • Keystore / JSON File

برای ورود به حسابمون استفاده کنیم، مهاجم می‌تونه کلید خصوصی ما رو به دست بیاره و تمام موجودی ما رو برای خودش انتقال بده. اما اگه از روش‌هایی مثل

  • MetaMask / Mist
  • Ledger Wallet

استفاده می‌کنیم دیگه جای نگرانی نیست و فقط کافیه قبل از تایید تراکنش، آدرس گیرنده رو به دقت چک کنیم. اگه از کیف پول‌های سخت‌افزاری مثل Ledger Nano S استفاده نمی‌کنید، می‌تونید افزونه‌ی MetaMask رو نصب کنید، حسابتون رو بهش اضافه کنید و از این به بعد از طریق این افزونه در سایت MEW وارد حسابتون بشید. در این صورت وقتی می‌خواهید تراکنشی رو انجام بدید، تا قبل از تایید تراکنش در افزونه‌ی MetaMask، اون تراکنش انجام نخواهد شد.

تراکنش تولید شده در سایت MEW باید در افزونه‌ی MetaMask تایید بشه تا انجام بگیره. برای دیدن آدرس کامل گیرنده یا تغییر پارامترهای تراکنش باید روی Edit کلیک کرد.
تراکنش تولید شده در سایت MEW باید در افزونه‌ی MetaMask تایید بشه تا انجام بگیره. برای دیدن آدرس کامل گیرنده یا تغییر پارامترهای تراکنش باید روی Edit کلیک کرد.


در پایان باید گوشزد کنم که مسئولیت تحقیق صحت این مطالب و کافی بودن اون‌ها بر عهده‌ی شماست. امیدوارم با رعایت این نکات بتونید از موجودی خودتون محافظت کنید و گرفتار فیشینگ یا سایر حملات نشید. اگر نکته‌ای باید اضافه بشه یا مشکلی در این مطلب می‌بینید ممنون می‌شم که نظرتون رو با من و بقیه به اشتراک بزارید.