۵ نکته برای استفاده امن از کیف پول MEW
سایت MyEtherWallet.com در نوع خودش بینظیر و بسیار کاربردی هست. اما اخیرا کاربرهای این سایت به دلیل حملهی DNS Hijackingای که انجام شده بود به وبسایت جعلی MEW هدایت میشدند و تعدادی از اونها ایترهای خودشون رو از دست دادند.
متاسفانه ساز و کارهایی که برای امن نگه داشتن اطلاعات کاربرها در اینترنت مورد استفاده قرار میگیره به روشهای مختلف ممکنه مورد حمله قرار بگیره و خراب شدن یک قطعه از این پازل میتونه همهی اون رو خراب میکنه. پس به خصوص در مورد سایتهایی که با مبادلات مالی و اون هم از نوع ارزهای دیجیتال سر و کار دارن باید دقت بیشتری داشته باشیم. در ادامه نکاتی رو که احتمالا کمکمون میکنه تا گرفتار یک سایت جعلی نشیم مرور میکنیم. میتونید فقط بخشهای بولد شده رو مطالعه کنید.
۱. مرورگر امن و به روز
اگر از یک مرورگر قدیمی استفاده میکنید خوندن ادامه مطلب هیچ کمکی بهتون نمیکنه. همین الان آخرین نسخهی مرورگر کروم یا فایرفاکس رو نصب کنید و به روز نگهش دارید.
۲. بررسی معتبر بودن گواهی SSL
همیشه توجه داشته باشید که دارید از نسخه https سایت استفاده میکنید. سایتهای حساسی مثل MEW از طریق پروتکل http بالکل نباید در دسترس باشند. همینطور چک کنید که گواهی ssl سایت در نسخه https معتبر هست.
معتبر شناخته شدن گواهی فقط به این معنی هست که توسط یکی از صدها مرکز صادرکنندهی این گواهیها صادر شده. متاسفانه صدور این گواهیها در کمترین زمان و به آسونی انجام میشه و تهیهی یک گواهی معتبر شناخته شده و در عین حال جعلی برای مهاجم کار سختی نیست. پس این گواهیها چندان قابل اعتماد نیستن. حتی اگر این مراکز کارشون رو به درستی انجام بدن، معنی این گواهی صرفا اینه که دارندهی اون به سایت دسترسی داره. در حملهای که اخیرا انجام شده بود مهاجم دامنه رو به سرورهای خودش اشاره داده بود (حداقل برای برخی از موقعیتهای جغرافیای و با کانفیگ خاص) و به صورت قانونی هم احتمال اینکه میتونست چنین گواهی رو دریافت کنه وجود داشت.
خوشبختانه MEW از گواهی نوع EV استفاده میکنه که برای گرفتن اون علاوه بر نشون دادن مالکیت سایت باید شرکت ثبت شده با نامی که گواهی برای اون صادر میشه هم داشت.
قبلا نشون داده شده که گرفتن گواهی EV با اسم دلخواه و در همون کشور کار سختی نیست. بنابراین باید هم آدرس خود دامنه و هم اسم EV رو چک کرد تا بشه در حد زیادی به گواهی اعتماد کرد. یعنی وقتی وارد سایت MEW میشید چیزی که در مرورگرتون میبینید باید دقیقا مطابق با عکس بالا باشه.
۳. نوشتن دستی آدرس
همیشه آدرس سایت رو به صورت دستی و با دقت وارد کنید و به هیچ عنوان با کلیک روی لینکها وارد سایتهایی مثل MEW نشید. کلیک کردن روی آدرسی مثل https://www.myetherwallet.com ما رو به جایی که بهش لینک شده هدایت میکنه نه آدرسی که در متنش نوشته شده. همینطور آدرسی که با نگه داشتن ماوس روی لینکها توسط مرورگر نشون داده میشه لزوما آدرسی نیست که بهش منتقل میشیم و کدهای جاوا اسکریپت میتونن رفتار پیشفرض کلیک روی لینکها رو تغییر بدن.
نکتهی دیگهای که باید بدونید اینه که کارکترهای متفاوتی در زبانهای مختلف وجود دارن که کاملا مشابه هم هستن (حداقل در برخی از fontها) ولی کد ASCII یکسانی ندارن. بنابراین مهاجم میتونه دامنهای رو ثبت کنه که در ظاهر کاملا مشابه با سایت اصلی هست ولی در حقیقت از کارکترهای متفاوتی استفاده کرده. خوشبختانه در حال حاضر اگه از یک مرورگر معقول و به روز استفاده میکنید، اون به شما کارکترهای مشابه رو به شکل دیگهای نمایش میده. + ولی هنوز هم باید حواستون باشه myelherwallet یا باقی ترکیبهای مشابه رو با myetherwallet اشتباه نگیرید.
هرچند توصیه نمیشه ولی اگر سایتی رو از طریق گوگل پیدا میکنید، اقلا مطمئن باشید روی لینکهای تبلیغاتی که در ابتدای نتایج نشون داده میشن کلیک نکنید. این لینکها معمولا شما رو به سایتهای جعلی هدایت میکنند و اقدامات گوگل برای نپذیرفتن یا حذف به موقع تبلیغات فیشینگ تا به الان کافی نبوده.
۴. نسخهی آفلاین کیف پول
همهی قابلیتهای کیف پول MEW به جز بخشهای مربوط به انتشار تراکنش در شبکه و دریافت اطلاعات حساب، سمت کاربر اجرا میشه و نیازی به سرور نداره. برای همین MEW همیشه ادعا میکنه که هیچ اطلاعاتی از حساب شما نداره و هیچ کمکی در هیچ زمینهای نمیتونه بهتون بکنه. بنابراین میتونید نسخه آفلاین این سایت رو دانلود، کدهاش رو بررسی و همیشه از اون برای دسترسی به سایت استفاده کنید.
برای این کار باید به githubشون برید و روی Download the Latest Release کلیک و etherwallet-vX.XX.XX.zip رو دانلود کنید. بعد از خارج کردن این فایل از حالت فشرده میتونید وارد پوشهش بشید و با فایل index.html سایت MEW رو باز کنید. بالطبع باید لینکهای سایت اصلی رو پیگیری کنید و به این لینکی که من اینجا گذاشتم برسید. نه اینکه به حرف من اتکا کنید.
وقتی از این روش برای ورود به سایت استفاده میکنید دیگه نه نگران سایت جعلی مهاجمها هستید و نه توسعهدهندههای MEW میتونن اگه نقشهی شومی برای تغییر مخرب کدهای سایت داشته باشن عملیش کنن. در مقابل باید مطمئن باشید که در لحظهی دانلود این فایل کد مخربی در اون وجود نداره، سیستمتون آلوده نیست و محتویات این فایلها قرار نیست تغییر کنه.
۵. روشهای معقولتر آنلاک کردن حساب
فرض میکنیم با در نظر گرفتن همهی نکات امنیتی باز هم وارد یک سایت جعلی شدیم. اگه از روشهای
- Private Key
- Mnemonic Phrase
- Keystore / JSON File
برای ورود به حسابمون استفاده کنیم، مهاجم میتونه کلید خصوصی ما رو به دست بیاره و تمام موجودی ما رو برای خودش انتقال بده. اما اگه از روشهایی مثل
- MetaMask / Mist
- Ledger Wallet
استفاده میکنیم دیگه جای نگرانی نیست و فقط کافیه قبل از تایید تراکنش، آدرس گیرنده رو به دقت چک کنیم. اگه از کیف پولهای سختافزاری مثل Ledger Nano S استفاده نمیکنید، میتونید افزونهی MetaMask رو نصب کنید، حسابتون رو بهش اضافه کنید و از این به بعد از طریق این افزونه در سایت MEW وارد حسابتون بشید. در این صورت وقتی میخواهید تراکنشی رو انجام بدید، تا قبل از تایید تراکنش در افزونهی MetaMask، اون تراکنش انجام نخواهد شد.
در پایان باید گوشزد کنم که مسئولیت تحقیق صحت این مطالب و کافی بودن اونها بر عهدهی شماست. امیدوارم با رعایت این نکات بتونید از موجودی خودتون محافظت کنید و گرفتار فیشینگ یا سایر حملات نشید. اگر نکتهای باید اضافه بشه یا مشکلی در این مطلب میبینید ممنون میشم که نظرتون رو با من و بقیه به اشتراک بزارید.
مطلبی دیگر از این انتشارات
معرفی بیت کوین به زبان ساده من
مطلبی دیگر از این انتشارات
Block chain چیست و کار برد آن
مطلبی دیگر از این انتشارات
بررسی حباب بلاکچین به صورت موردی(Siacoin)