در مقاله قبلی در مورد ولت الکترام و نحوه ساختن آن صحبت شد.در این ویدئو به چگونگی بازیابی هر کیف پول بیت کوینی از طریق کیف پول الکترام می پردازیم.
بازیابی کیف پول بیت کوین یکی از دغدغههای افرادیست که به تازگی وارد این زمینه میشوند.
نکته اول که در رابطه با الکترام و تمامی نرم افزارها وجود داره اینه که حتما نرم افزار رو از منبع رسمی خود سایت دانلود کنید. برای دانلود الکترام از منبع رسمی به سایت https://electrum.org/#home مراجعه کنید.
برای بازیابی به این نکته دقت شود که ، بهتر است فرمت آدرس قبلی را به خاطر داشته باشید. مثلا در کیف پول کوینومی (Coinomi) ابتدای آدرس ها با bc1 شروع می شود.
در حالت کلی سه نوع آدرس وجود دارند که با bc1 یا عدد 3 و یا عدد 1 شروع میشوند.
از روی دسکتاپ الکترام را اجرا کنید. یک نام برای کیف پول خود انتخاب کرده و روی Next کلیک کنید
نوع کیف پول را انتخاب کرده و روی Next کلیک کنید. ما در اینجا Standard wallet را انتخاب میکنیم
در این مرجله چون قصد ما بازیابی کیف پول است و Seed را در اختیار داریم گرینه I already have a seed را انتخاب کرده و سپس Next را میزنیم
در این مرحله Seed را وارد کنید. توجه داشته باشید چون الکترام از استاندارد مخصوص به خود استفاده میکند گزینه Next فعال نمیشود ولی با این حال میتوان هر کیف پولی را در آن بازیابی کرد.
بر روی دکمه Options کلیک کرده و گزینه BIP39 seed را انتخاب کنید.
تقریبا تمامی کیف پول های رایج از BIP39 استفاده میکنند.
OK را زده و روی Next کلیک میکنیم
نکتهای که در رابطه با این منو وجود دارد این است که اگر کیف پول شما دارای پسفریز است باید گزینه اول یعنی Extend this seed with custom word را هم انتخاب کنید. (اگر پسفریز ندارید یعنی شما قبلا آن را برای کیف پول خود فعال نکردهاید و این مرحله را رد کنید.)
و در مرحله بعد از آن پسفریز خود را وارد کنید و Next را بزنید.
در این مرحله اگر آدرس کیف پول شما با 1 شروع میشد گزینه اول، اگر با 3 شروع میشد گزینه دوم و اگر با bc1 شروع میشد گزینه سوم را انتخاب کنید و با کلیک کردن بر روی Next کیف پول ساخته میشود.
اما نکته ای که در این مرحله وجود دارد derivation path یا مسیر تولید آدرسها است.
معمولا نیازی به تغییر دادن این باکس وجود ندارد چون به طور پیش فرض اکثر کیف پولها از آدرسهای استاندارد استفاده میکنند که الکترام قادر است به صورت خودکار آن ها را تشخیص دهد.
ولی اگر الکترام آن ها را به صورت خودکار تشخیص نداده و یا کنجکاو هستید که بدانید مسیر کیف پول شما به چه صورت است است دو راه پیش رو دارید
اول این که باید کیف پول قبلی خود را به یاد بیاورید (برای مثال کوینومی یا لجر) و سپس وارد وبسایت این کیف پولها شده تا بتوانید مسیر آنها را ببینید
راهکار دوم و راحت تر این است که وارد وبسایت https://walletsrecovery.org/ شده و مسیر تولید تمامی کیف پولها را مشاهده کنید
برای مثال کیف پول لجر از m/49’/0’/0′ یا m/84’/0’/0′ استفاده میکند.
در نسخه جدید الکترام میتوانید بر روی گزینه Detect existing account کلیک کنید تا نرم افزار به صورت خودکار کیف پول را تشخیص داده و برای شما بازیابی کند.
روی Next کلیک کرده و یک رمز عبور قوی برای کیف پول خود انتخاب کنید و دوباره Next را بزنید.
روی Next کلیک کرده و یک رمز عبور قوی برای کیف پول خود انتخاب کنید و دوباره Next را بزنید.
برای آموزش ویدیویی این مطلب یا برای آموزشهای بیشتر به کانال یوتوبم سر بزنید یا فقط کافیه اسم من رو توی یوتوب سرچ کنید
Electrum کیف پول های تأیید شده دو عاملی را ارائه می دهد که یک سرور از راه دور امضای مجدد برای معاملات را فراهم می کند و در صورت به خطر افتادن رایانه شما ، سطح امنیتی دیگری را به شما می افزاید.
2fa یک نوع کیف پول در الکترام است. الکترام ابزار قدرتمندی است که آپشنهای مختلفی برای استفاده از کیف پول در اختیار کاربران قرار میدهد. همچنین کیف پولی ساده، امن و راحت است که نکات امنیتی نیز در آن رعایت میشود.
همیشه نرمافزار خود را از منبع و سایت اصلی دانلود کنید؛ در غیر این صورت امکان دارد که نرمافزار، جعلی باشد.
نصب نرمافزار
برای دانلود نرمافزار، به بخش دانلود در سایت رفته، سیستم عامل مورد نظر خود را انتخاب کرده و آن را نصب کنید. پس از نصب، نرمافزار را باز کرده و برای کیف پول جدید خود، اسم انتخاب کنید. انتخاب اسم برای کیف پول بسیار نکته مهمی است.
در مرحله بعد، گزینه دوم wallet with 2 Factor Authentication باید انتخاب شود.
در مرحله بعدی، یک Disclaimer یا سلب مسئولیت به ما نشان داده میشود که بسیار مهم است. حتما این متن را مطالعه کنید.
در Disclaimer گفته شده است که تائید دو مرحلهای این کیف پول، یک خدماتی است که توسط شرکت Trusted coin ارائه میشود. به عبارت دیگر یک سیستم کاملا مبتنی بر الکترام نیست و در یک قسمتی از آن، کیف پول الکترام به یک سِروِر از شرکت Trusted coin متصل میشود. این کیف پولی که ساخته میشود. چند امضایی است و طرح چند امضایی آن 2 از 3 کلید است که در ادامه بیشتر به آن خواهیم پرداخت. یکی از کلیدها نزد Trusted coin است و یکی دیگر در کیف پول شخصی هر فرد است. کلید سوم، تا زمانی که تصمیم به بازیابی نگرفتهاید؛ بیاستفاده است. برای این کیف پول میتوان از Google Authentication استفاده کرد. این خدمات یک هزینهای دارد که در ادامه با آنها بیشتر آشنا خواهیم شد. این خدمات 2 اف ای کدی که در اختیار کاربران قرار میگیرد؛ بسیار کاربردی است.
مورد بعدی که مطرح میشود؛ درباره کوینهای شماست که در سرویس Trusted coin نگهداری نمیشود. این کوینها نزد هر کاربر است. Trusted coinفقط یک کلید از دو کلیدی که برای انجام تراکنش نیاز است را نزد خود دارد و به شکل همیشه آنلاین به کاربر خدمات میدهد.
نکته دیگر درباره بازگرداندن کیف پول بدون هیچ هزینهای است. کاربر میتواند با کلمات بازیابی خود یا همان Seed، داراییهای خود را برداشت کند.کلمات بازیابی را هرگز در سیستم ذخیره نکنید.next زده و به مرحله بعدی بروید.
برای ایجاد کیف پول گزینه اول را انتخاب میکنیم.
در مرحله بعدی، پیش فرض بر گزینه اول است و همان باید انتخاب شود.
در قدم بعدی، کلمات بازیابی نشان داده میشود. حتما این کلمات باید بر روی کاغذ نوشته شود. در این مرحله نیز اشاره شده که روی کاغذ نوشته شود و ترتیب آنها بسیار مهم است. اگر در آینده تصمیم بر بازیابی کیف پول خود داشته باشید؛ حتما باید از این کلمات استفاده کنید.
هشدار بعدی که در اینجا داده میشود؛ این است که به هیچ عنوان کلمات بازیابی خود را افشا نکرده، به کسی نشان نداده، در هیچ وبسایتی قرار ندهید، به صورت الکترونیکی ذخیره نکرده، از آن عکس نگیرید، در ایمیل و نت گوشی نیز قرار ندهید.
نوشتن کلمات بازیابی بر روی فلز؛ بسیار محکم و با امنیت بیشتری است. در مرحله بعد، باید کلمات بازیابی وارد شود.
در قدم بعدی، یک پسورد مناسب انتخاب کرده و آن را وارد کنید.
این پسورد اهمیت زیادی دارد؛ زیرا اگر کسی به سیستم دسترسی پیدا کند، میتواند کیف پول را باز کرده و از آن استفاده کند. پس باید پسوردی انتخاب شود که افراد دیگر نتوانند کیف پول را باز کنند.
سپس پیغامی مبنی بر این که کیف پول ساخته شده و اگر کیف پول آنلاین نیست؛ میتوانید فایل را به قسمت دیگر ببرید و به شکل آنلاین از آن استفاده کنید؛ نشان داده میشود.
حتما Terms of service نرمافزارهای Open source و یا سرویسهایی در مورد بیتکوین باید مطالعه شوند؛ زیرا امکان دارد نکاتی در آن مطرح شده باشد که باید به آن توجه شود. در این قسمت باید ایمیلی وارد شود.
در مرحله بعدی باید Google Authenticator را باز و Scan QR codeرا زده و اسکن را انجام دهید.
سپس کد داده شده در قسمت مورد نظر وارد شود. اگر از وسیلهای استفاده میشود که دوربین ندارد؛ میتوان کد بالای QR code را به صورت دستی وارد کرد و بهتر است که آن نیز در کاغذی یادداشت شود. حال کیف پول ساخته شده و از لحاظ ظاهری هیچ فرقی با کیف پول معمولی ندارد. تنها تفاوت آن این است که هروقت قرار باشد تراکنشی انجام شود، باید کد وارد شود.
ارسال بیتکوین
وارد قسمت Receiveشده و آدرسی که در آن نشان داده میشود را کپی کرده و در اختیار شخصی که قرار است تراکنش انجام دهد؛ قرار داده میشود.
برای ارسال، وارد قسمت Send شده، مقدار را مشخص کرده، آدرس کیف پول مورد نظر وارد و گزینه پِی انتخاب میشود. در این بخش، مطابقت آدرس گیرنده و آدرسی که برای ارسال وارد میشود؛ از اهمیت زیادی برخوردار است. همچنین میتوان کارمزد ماینر را تغییر داد که با توجه به آن، مقدار بیتکوین مورد نظر برای جابجایی نیز تغییر میکند. در این قسمت، فی اضافه وجود دارد.
فی اضافه عبارت است از هزینه خدماتی که کیف پول برای امضا ارائه میدهد و یکبار باید آن را پرداخت کرد.در پایان باید پسورد وارد و ارسال زده شود. سپس باید رمز دو مرحلهای نیز از اپلیکیشن وارد شود و در نهایت تراکنش انجام میشود.
بازیابی کیفپول چند امضایی
وارد کیف پول شده و I already have a seed انتخاب میشود.
سپس کلمات بازیابی را وارد و در مرحله بعد دو مورد پیشنهاد داده میشود.
اگر مورد Keep انتخاب شود؛ به این معناست که همچنان قرار است از 2 اف ای استفاده شود. اگر Disable انتخاب شود؛ کیف پولی که بازگردانده میشود، دارای موجودی است اما 2 اف ای آن غیرفعال شده است. سپس یک پسورد انتخاب و وارد کرده و بعد ایمیل وارد میشود. در مرحله بعد، گفته میشود که این کیف پول با Trusted coin رجیستر شده است. سوالی که در اینجا مطرح میشود این است که قرار است با Google Authenticator وارد شده و کیف پول را بازیابی کنید و یا آن را از دست دادهاید. اگر Google Authenticator موجود نباشد؛ آن گزینه را انتخاب و سپس باید کلمات بازیابی وارد شود. بعد کد 2 اف ای جدید داده خواهد شد که باید اسکن و مراحل قبلی تکرار شود.
در حالت معمولی کیف پول الکترام یا کیف پولهای دیگر، فقط باید کلمات بازیابی وارد شود. در اینجا چون کیف پول چند امضایی است و سرویسی به آن متصل است؛ باید انتخاب شود که همچنان قرار است کیف پول چند امضایی باشد یا معمولی. بعد از بازگرداندن مجدد، لازم به پرداخت هزینه دوباره برای تراکنشها نیست.
اهمیت کیف پول چند امضایی این است که اگر شخصی به سیستم دسترسی پیدا کند؛ نمیتواند تراکنشی انجام دهد. زیرا هم باید دسترسی به کامپیوتر پیدا کرد و هم به گوشی. اما اگر کسی به کلمات بازیابی دسترسی پیدا کند؛ به راحتی میتواند به همه چی دسترسی پیدا کرده و سرمایه کاربر را برداشت کند.
برای آموزش ویدیویی این مطلب یا برای آموزشهای بیشتر به کانال یوتوبم سر بزنید یا فقط کافیه اسم من رو توی یوتوب سرچ کنید
تاریخچه کیف پول الکترام، یکی از قدیمی ترین کیف پول های بیتکوین است. این کیف پول در 5 نوامبر 2011 ، توسط Thomas Voegtlin ساخته شده است. Electrum یک کیف پول ساده و سبک است. در طول سال ها، توسعه دهندگان مختلف کد منبع آن را توسعه دادند. این کیف پول open source است
نحوه نصب و ایجاد کیف پول الکترام نصب کیف پول الکترام را با سیستم عامل ویندوز آموزش می دهیم؛ چون اکثر کاربران از ویندوز استفاده می کنند. برای نصب گام های زیر را دنبال کنید: مراجعه به سایت رسمی الکترام ودانلود فایل نصبی به یک نکته ی مهم امنیتی توجه کنید که همیشه برای دانلود نرم افزار و یا بروز رسانی ولت الکترام باید حتما از وبسایت اصلی استفاده شود. هیچ دکمه آپدیتی درون این برنامه قرار داده نشده است. پس باید حتما به وبسایت مراجعه کرده و نسخه نهایی را از آنجا دانلود کنید. وب سایت های جعلی زیادی وجود دارند که هدف آن ها سرقت بیت کوین های شماست. بهتر است وب سایت را در مرورگر خود بوک مارک کنید تا در مراجعات بعدی دچار مشکل نشوید.
بر روی منوی download در بالای صفجه کلیک کنید تا صفحه ی زیر باز شود:
در بخش دانلود بر اساس سیستم عامل مورد نیازمان فایل نصبی برنامه را دانلود میکنیم .
گام دوم: نصب و اجرا
پس از اتمام دانلود ، فایل نصبی را اجرا کنید تا الکترام نصب شود.در این مرحله یک مسیر برای نصب انتخاب کرده و بر روی install کلیک کنید.همانطور که می بینید فضای بسیار کمی برای نصب نیاز دارد.سپس بر روی next بزنید.
در مرحله بعدی برای اتصال خودکار به نودهای شبکه گزینه اول Auto connect را انتخاب کرده و بر روی next کایک کنید.
در این قسمت یک نام برای کیف پولتان انتخاب می کنید. انتخاب نام بسیار ضروری می باشد، چون ممکن است شما چندتا کیف پول داشته باشید.
دکمه ی next رو انتخاب کنید و به مرحله ی بعد بروید.
در مرحله بعدی می توانید نوع کیف پول خود را انتخاب کنید.چهار تا انتخاب به ما می دهدکه به ترتیب:
کیف پول استاندارد
کیف پول با تایید دو مرحلهای
کیف پولهای چند امضایی
بازیابی کیف پول با کلید خصوصی یا مشاهده موجودی یک آدرس دیگر
ما از گزینه اول یعنی کیف پول استاندارد استفاده می کنیم. و سپس next بزنید.
مرحله بعدی create a new seed یا انتخاب عبارتی برای یادآوری کلید است.
در واقع seed کلمه های بکاپ یا یادآور ولت جدید است .
دکمه ی next را انتخاب کرده و به مرحله ی بعدی بروید .
در این مرحله نوع آدرس ولت را انتخاب میکنیم .که اینجا معمولا segwit پیشنهاد می شود . دکمه next رو بزنید.
در مرحله بعدی 12 کلمه ی پشتیبان ولت را نشان میدهد.
این کلمات را باید روی کاغذ بنویسید . ترتیب این کلمات مهم است.
نکته 1: کاربرد این کلمات برای مواقعی هست که اگر کیف پول شما یا یندوز پاک شد. یا کامپیوتر خراب شد . شما برای دسترسی به ولت ها باید حتما این کلمات رو داشته باشید . واقعا مهم است که این کلمات رو یادداشت کنید و در جای امن نگهداری کنید.هیچکسی نباید از شما درخواست سید کند !
نکته 2: ولت الکترام تیم پشتیبانی ندارد ! انجمن دارد ولی تیم پشتیبانی ندارد که شما بتوانید ایمیل بدهید اگر جایی برای رفع مشکل پشتیبانی از شما درخواست کند که کلمه های سید ولت را ارسال کنید. احتمالا سارق هستند و قصد دزدی ولت شما را دارند.اطلاعات ولت را هرگز بصورت الکترونیکی نگهداری نکنید .حتما روی کاغذ بنویسید .برخی روی فلز حکاکی میکنند.
مرحله بعدی از شما می خواهد کلمه های سید را وارد کنید تا مطمئن شود شما کلمات را به درستی وارد می کنید.
12 کلمه را تایپ میکنید و دکمه ی next را میزنید تا به مرحله ی بعدی برید .
مرحله بعدی انتخاب یک رمز عبور برای دسترسی به کیف پول است.
کیف پول شما ایجاد شد . به همین سادگی!!
نحوه ارسال و دریافت بیت کوین :
سه گزینه history & send & reccive در صفحه اصلی وجود دارد که آنها را بررسی می کنیم.
نحوه ارسال بیت کوین: (بخش send)
برای ارسال بیت کوین باید آدرس مقصد را داشته باشید.آدرس مقصد از بخش receive و انتخاب گزینه request قابل دسترس است. گیرنده باید این آدرس را کپی کرده و برای فرستنده یا مبدا ارسال کند.می توان از کد QR هم برای انتقال استفاده کرد.
فرستنده یا مبدا با داشتن ادرس مقصد آنرا در قسمت pay قرار می دهد.
دقت کنید آدرس مقصد را بار دیگر چک کنید و از درستی و صحت آن اطمینان حاصل کنید.
بخش description هم میتوانید خالی بذارید یا توضیحی بنویسید.
در قسمت Amount مقدار بیت کوینی که می خواهید انتقال دهید را وارد کنید.و در آخر گزینه ی pay را انتخاب کنید .در مرحله بعدی با یک نوار غلطان امکان انتخاب میزان هزینه تراکنش یا fee را دارید.
سپس پسورد را وارد کرده و ارسال کنید.
تراکنش انجام شد و این هم شناسه تراکنش شما که به صورت هش می باشد.
کیف پول سامورایی کیف پولی اپن سورس میباشد که به منظور نگهداری بیتکوین ارائه و در حال حاضر فقط نسخه آندروید آن ارائه شده و فاقد نسخههای ویندوز و ios است. برای دانلود کیف پول سامورایی و سایر کیفپولها الزاما میبایست به وبسایت آن کیف مراجعه نمایید، در غیر اینصورت این احتمال وجود دارد که طعمه کیف پولهای جعلی شوید و دارائی شما توسط افراد سودجو به سرقت برود. برای دانلود کیف پول سامورایی بر روی گوشی تلفن همراه خود، به سایت آن به آدرس https://samouraiwallet.com/ مراجعه و نرمافزار را از قسمت download دریافت نمایید.
با کلیک بر روی گزینهی دانلود، امکان دانلود فایل apk و نیز دانلود از طریق گوگل پلی را خواهید داشت. نکته مهم این که برای دانلود نرمافزار به هیچ عنوان به صورت مستقیم به گوگلپلی مراجعه ننمایید، زیرا ممکن است نسخه جعلی و کپی که بسیار شبیه نسخه اصلی است را دانلود نموده و مورد دستبرد قرار بگیرید. تمرکز کیف پول سامورایی بر ۳ موضوع است: حریم خصوصی، امنیت و قابلیتها (برای مشاهده قابلیتهای کیف پول سامورایی به قسمت Features مراجعه فرمایید.)
پس از دانلود فایل apk و اجرای آن وارد صفحهای میشوید که در آن شما باید Mainnet را انتخاب نمایید. گزینه دیگر Testnet مربوط به شبکه آزمایشی سامورایی والت میباشد که کاربرد آموزشی دارد.
در مرحله بعد بر روی گزینه Start New Wallet کلیک نمایید تا وارد صفحه PASSPHRASE شوید. در این قسمت شما باید یک کلمه وارد نمایید که ین کلمه امتداد عبارات بازیابی شماست، بسیار دقت کنید چرا که این کلمه بسیار مهم است و نباید آن را با پسورد اشتباه بگیرید. این کلمه به عبارت 12 کلمهای بازیابی شما اضافه میگردد و برای بازیابی کیف پول، ضروری و الزامی است.
بهتر است این کلمه pass phrase را در کنار ۱۲کلمه بازیابی یادداشت نکنید، چرا که اگر عبارت بازیابی ۱۲ کلمهای شما به دست فرد یا افراد غیرمجاز افتاد، امکان ورود به والت و دستبرد به دارایی شما را نداشته باشند. اهمیت پسفریز به قدری زیاد است که هنگام نصب خود سامورایی به شما هشدار میدهد که این عبارت به هیچ عنوان توسط تیم سامورایی قابل بازیابی نیست و باید در نگهداری آن کوشا باشید. پس حتما پسفریز را روی کاغذی دیگر یادداشت کنید و به شکل خوب از آن نگهداری کنید. مجددا تاکید میکنم که بدون پسفریز شما به تنهایی و فقط با ۱۲ کلمه بازیابی امکان بازیابی ندارید!!
پس از وارد کردن پسفریز وارد صفحه تعریف پینکد میشوید که میبایست عددی ۸ رقمی را به عنوان پینکد به منظور ورود به اپلیکیشن تعریف نمایید.
پس از تعریف پینکد وارد صفحه عبارات بازیابی 12 کلمهای میشوید که میبایست آنها را به همان ترتیبی که میبینید روی کاغذ یادداشت نموده و در جایی امن و مطمئن پنهان کنید. از هرگونه ذخیره به صورت عکس، نوت، اسکرین شات و غیره در گوشی تلفن همراه خود بپرهیزید، در غیر اینصورت کلمات بازیابی خود را به راحتی در معرض ریسک سرقت شدن قرار دادهاید.
در صفحه بعد گزینههای مربوط به حریم خصوصی را مشاهده مینمایید و سپس وارد کیف پول میشوید. در این قسمت با کلیک بر روی علامت + در انتهای سمت راست صفحه، گزینههای موجود به نمایش در میآید. در این آموزش صرفا به دو گزینه آخر یعنی ارسال و دریافت (send و receive) میپردازیم.
برای دریافت بیتکوین بر روی گزینه receive کلیک کرده و در صفخه مربوطه آدرس کیفپول سامورایی هم به شکل QR code و هم به شکل لینک موجود میباشد. قابلیتی که این کیف پول را متمایز کرده این است که شما میتوانید آدرسهای مختلفی را تولید کنید.
آدرس تولید شده را در صرافی یا کیف پول مبدأ وارد و یا از قابلیت اسکن QR code که معمولا در کیفپولهای دیگر تعبیه شده است استفاده کنید. سپس مقدار بیتکوینی که تمایل به انتقال آن دارید را انتخاب و ارسال نمایید.
یکی دیگر از قابلیتهای کیفپول سامورایی افزایش هزینه انتقال یا Boost Transaction Fee است. این قابلیت به شما امکان میدهد با افزایش هزینه انتقال، در مدت زمان کمتری بیتکوین انتقالی را دریافت نمایید.
برای ارسال بیتکوین نیز به قسمت Send رفته و همانند مراحل دریافت، ابتدا اقدام به تهیه آدرس کیف پول مقصد از طریق اسکن QR code و یا کپی پیست آدرس مقصد، در قسمت مربوطه و تعیین میزان بیکوینی که میخواهید انتقال دهید نموده و پس از تعیین میزان کارمزد (فی) انتقال، بر روی گزینه send کلیک نمایید. توجه نمایید که هرچه کارمزد انتقال بیشتر باشد، انتقال بیتکوین در مدت زمان کمتری صورت میگیرد. پس از تایید، سامورایی اقدام به ساخت تراکنش، امضا و انتشار آن در شبکه نموده و به کیف پول مقصد منتقل میکند.
در پایان تاکید میشود هدف این نوشتار صرفا نصب و آموزش استفادهی ساده و اولیه از کیف پول سامورایی است. آموزشهای تخصصی و سایر تنظیمات این کیف پول، در آموزشهای بعدی تقدیم خواهد شد.
برای آموزش ویدیویی این مطلب یا برای آموزشهای بیشتر به کانال یوتوبم سر بزنید یا فقط کافیه اسم من رو توی یوتوب سرچ کنید
تو یه مدت اخیر کوینبیس یه سری حسابا رو بدون هیچ توضیحی بسته!! این سرویس قبلا هم چند ده هزارتا کوین راس اولبریخت رو هم مصادره کرد و داد به FBI #رشتهتوییت
ما ایرانیا معمولا هیچجا از دیدنمون خوشحال نمیشن و چندین بار سابقه بسته شدن حسابامون رو داشتیم (پولونیکس و بیترکس در سال 2017). ولی این یه سناریوی مهم و جهانیتریه!!! بهش میگن “کوینهای لکهدار یا کثیف”
تراکنشهای #بیتکوین مجموعهای از ورودی و خروجیها هستن که فکرش رو بکنیدمثل یه متن روی کاغذ یا چک هستن با امضای منحصر به فرد خودتون. سابقهی این دیتا رو هم توی بلاکچین بیتکوین میشه تا لحظهی اولی که یه کوین به ماینر پاداش داده میشه دید. حالا فکرش رو بکنید یه نفر برای خرید مواد مخدر از بیتکوین استفاده کنه و بعدش فروشنده مواد اون کوین رو به صرافی بفروشه و صرافی اونو به شما بفروشه (یا کوین دزدی باشه). زمانی که اون موادفروش رو بگیرن و حساب بیتکوینش رو تشخیص بدن اونوقت میتونن بررسی کن و بفهمن الان کوینی که تو حساب شماست به اصطلاح “لکهدار” یا “کثیف” هستش.
حالا اکسچنجهایی مثل کوینبیس (و شاید خیلی از اکسچنجهای دیگه) یه بلکلیست میسازن از کوینهایی که لکهدار هستن. اگه اون کوین یه وقت اومد تو کوینبیس اون حساب رو میبندن. (شبیه بلک لیستی که احتمالا برای اشخاص توی بانکها و توی درگاهپرداختها وضع شده).
این بحث خیلی باز و مبهم هستش و سوالاتی که مطرح میشه درموردش اینها هستن:
آیا کوینبیس (یا هر اکسچنج دیگه) حق انجام چنین کاری رو داره؟
با فرض اینکه حق انجام این کار رو داره، آیا نباید مشتریهاش از اون لیستی که برای کوینهای لکهدار ساخته اطلاع داشته باشن؟
آیا نباید مردم بدونن که چی کوین لکهدار حساب میشه چی حساب نمیشه؟ (هک، دزدی، عمق تراکنش تو بلاکچین و و و .)
شخصی یا اشخاصی که تصمیم گیرندهن و حکم لکهدار بودن رو رد میکنن کیا هستن؟
حالا وقتی اون کوین لکهدار رو مصادره کرد باهاش چکار میکنه؟ آیا حالا که کوینبیس مصادرهش کرده این کوین از این به بعد تمیز میشه؟ اگه جواب مثبته اونوقت کی همچین حقی بهشون میده؟ و چه کسای دیگهای اجازه مصادره و تمیز کردن کوین دارن؟
اگه حساب کسی رو ببندن آیا اسم و اطلاعات اون شخص رو به FBI یا دیگر اکسچنجها میدن؟
اگه کوین قبلا consolidate شده باشه (مقادیر ریز و پراکنده باهم تبدیل به یه مقدار بزرگ و واحد میشن) آیا مشکوک میشن؟ اگه تو تاریخچهش لکهای باشه همهی اون مقادیر از این به بعد لکهدار هستن؟؟
باز هم سوالاتی وجود داره. ولی نکتهی مهم رو میخوام بگم اینجا اینکه ایرانی بودن یا نبودن تنها دلیل استفاده کردن یا نکردن از اکسچنجها نیست!
اکسچنج یه کیک خوشمزه برای سارقین هستش و ممکنه سارق خود اکسچنج یا کابرانش رو مورد هدف قرار بده
اکسچنج میتونه از سرمایه شما سواستفاده کنه باری مقاصد شخصی (مثل رای دادن به خودش مثلا تو جریان EOS)
اکسچنج میتونه سرمایه شما رو گم کنه. سوءمدیریت کنه (mt gox و خیلی مورد دیگه)
اکسچنج میتونه طبق دستورهای قضایی حوزههای مختلف کشورهایی که توش کار میکنن و مردم قطعا از قوانینش خبر ندارن، حساب کسی رو ببنده (نه فقط ایرانی ها)
اکسچنج میتونه پول شما رو به سادگی و بدون ارائه توضیحات مصادره کنه چون مثلا لکهدار هستش.
اکسچنج میتونه خودش فلشکرش بسازه، پامپ کنه، دامپ کنه و سرمایه شما رو از چنگتون دربیاره (بیتفینکس، جیدکس، بیتترکس)
دلایل دیگه ای که به ذهنتون خطور میکنه رو خودتون اینجا بنویسید.
با یکی از دوستان درمورد کیفپولهای سخت افزاری توییت میزدیم که عکس از کیف پولش لدجر نانواسش گذاشت که خیلی نو و دست نخورده بود. ازش پرسیدم که “این چرا اینقدر نو ه مگه استفاده نمیکنی ازش؟” و ایشون جواب داد “تراکنشای #بیتکوین که فیزیکی نیستن” :))))
و تصمیم گرفتم که اوپندایم رو به دوستان معرفی کنم که باهاش میشه تراکنش فیزیکی بیتکوین انجام داد. (توضیحات به شکل سوال، جواب)
اوپندایم یه والت سختافزایه که تنها راه خارج کردن پول ازش با فشار دادن و جدا کردن یه قسمت از سخت افزارش ممکن میشه. این یعنی اگر اون قسمت جدا نشده باشه میشه اینو راحت بدی به کسی دیگه و اون مطمئن باشه که تو دیگه اون پول رو نداری. عملا شبیه اسکناس بیتکوینه و میتونی حتی با پست بفرستی.
– آیا پسورد داره. یا وقتی مثل اسکناس گم شد نفری که پیدا کرده می تونه حالشو ببره. بعد اگه بدیش به من، من میتونم افزایش بدم موجودیشو یا کم کنم یا نه؟
نه پسوورد نداره، و نمیتونی ازش چیزی بفرستی ولی چون آدرسش رو میدونی چیه میتونی بهش بیتکوین بزنی و موجودیش رو افزایش بدی. حالا اگه بخوای یه زمانی تراکنش انجام بدی و ازش خارج کنی باید با یه پونز تو اون سوراخ رو فشار بدی بعدش یه قطعه ای ازش میشکنه جدا میشه. اونوقت میتونی پرایوت کی رو تو فایل تکست خارج کنی ازش و موجودی رو جای دیگه بفرستی.
ولی استفادههایی که ازش میشه اینه:
دستگاهی برای تولید امن و آفلاین پرایوت کی و ساخت کیف پول کاغذی (که بعدش اونوقت قطعه غیرامن میشه و میندازنش دور معمولا! چون اگه دست کسی بیفته پرایوت کی رو میفهمه)
اسکناس بیتکوینی (که قطعا مطمئن هستی کسی پرایوتکیش رو نداره و وقتی دیوایس رو از کسی دریافت کردی میدونی که شخص دیگهای اونو نداره
پس:
۱. اگه گم کنی هرکی پیداش کنه مال اون میشه بیتکوینا (اگه هم یابنده بخواد دیوایس رو پونز میزنه و پرایوتکی رو خارج میکنه از دیوایس)
۲. میتونی بهش اضافه کنی ولی نمیتونی ازش کم کنی.. (باز مگر پونز بزنی و پرایوتکیش رو دربیاری)
۳. اینکه میشه فهمید پرایوتکی دست کسی نیست نکتهی مهمشه که کاربردهاش رو تعیین میکنه.
– حالا چرا این ریختیه؟
دلیل اینکه ریخت و قیافهش هم اونطوری لخت و بدون قاب هستش برای اینه که اگر کسی سعی کرده باشه دستکاریش کنه تابلو بشه و زود بفهمی (مثل اسکناسی که گوشهش رفته باشه)
– با USB به کامپیوتر وصل میشه؟ یا شرکت سازنده از قبل کلیدها رو داخلش تعبیه کرده؟ باید به شرکت سازندهش اعتماد کنیم آیا؟
خودش USBه مثل فلشه… و برای انتروپی اولیه یه بار به کامپیوتر وصلش میکنی بعد دیوایس بهت میگه که یه سری عکس/فایل بهم بده که از اونا (به علاوه یه سری موارد دیگه انتروپی ایجاد کنم. (توصیه میشه عکسایی که خودتون گرفتین و تو اینترنت نذاشتین رو بهش بدین)
– پس آیا برای هر دیوایسی یه ورودی متفاوت تعبیه شده؟ میدونی چرا میگم؟ چون که اگه یه دیوایس دیگه بیارم و همون عکس (یا هر ورودیی که قبلا دادم) رو دوباره بدم پس کلیدش همون قبلیها میشه دیگه؟ (اینطوری دیگه مثل اسکناس نمیشه که؟؟
قبل از شروع این مطلب باید یادآوری کنم که امنیت یه طیف هستش. هیچ وقت نمیشه قطعا گفت چیزی امن هست یا نیست! و هرچه شما نکات امنیتی رو بهتر رعایت کنید و به روزتر باشید عنوانها و شهرت اشخاص و پروژهها اهمیت کمتری پیدا میکنند. منظور این هست که شما یه کیفپول معمولی بیتکوینی رو درست استفاده کنید و نکات امنیتی رو رعایت کنید از اینکه کسی گفته باشه ترزور یا لدجر مشکل امنیتی داره مهمتر هستش اما با این حال به روز بودن در رابطه با ابزارهایی که استفاده میکنید هم اهمیت بسیاری دارد.
در این ارائه ارشد تیم لدجر به نکاتی اشاره میکنه و بعد از اون ۴ نوع رویکرد رو میگن که طبق اونها امنیت ترزور و کلونهای اون مثل کیپکی و بیوالت و غیره رو بررسی میکنن و یافتههاشون رو ارائه میکنن.
اوپنسورس بودن یا نبودن کیفپولهای سختافزاری!
کاملا اوپنسورس بودن کیفپول سخت افزاری دو تا مزیت عمده داره:
اول) اینکه یه پروژه اوپنسورس رو میشه بررسی کرد و هرکسی از هرجای دنیا میتونه چک کنه که امن هستش یا نه! درصورتی هم که مشکل امنیتیی وجود داشته باشه (مثل همین الان که تیم لدجر تونسته بررسی کنه) خرد جمعی متخصصان از هرجای دنیا به کمک میاد و مسائل امنیتی سریعتر پیدا و حل میشن.
دوم) اوپنسورس بودن یه کیفپول سختافزاری به این معنی هستش که شما (اگر تواناییش رو داشته باشید) میتونید خودتون سختافزار خودتون رو بسازید و اونوقت نرمافزار اون کیفپول رو نصب کنید
اما اوپنسورس بودن یه مسالهای رو ایجاد میکنه توی بحث کیفپولهای سختافزاری اونم اینه که مثل کاری که لدجر میکنه ترزور نمیتونه از تراشههای امن و تراشههای General Purpose MCU استفاده کنه.
در ادامه چهار رویکردی که تیم امنیت لدجر تونستن حفرههای امنیتی توی ترزور پیدا کنن رو میبینید:
۱. حملههای Supply Chain
تو این نوع حملهها کسی میتونه کیفپول رو دست کاری بکنه یا که یه در پشتی رو توی کیفپولی که بدست شما میرسه گذاشته باشه! به چند شکل میشه این کار رو انجام داد:
PreSeeding – Seed Exfiltration – Perform Sig – Address Swpping
تیم لدجر با تمیز باز کردن بستهبندی ترزور داخل بسته رو درآوردن و نرمافزار اون رو دستکاری کردن و دوباره داخل بستهبندی گذاشتن
اگه این بسته ترزور دست شما میرسید به هیچوجه تفاوتش رو نمیتونستید با یه بسته دستنخورده بفهمید
تیم لدجر عمل PreSeeding رو توی ترزور دستکاری شده انجام داد. به این شکل که ۲۴ کلمه سید شما توسط کسی که دستکاری کرده از قبل تعیین شده بودن و این شخص میتونه هروقت دوست داشت موجودی شما رو خالی کنه!
خب حملههای Supply Chain به طوری هستن که همه میگن اگه شما از یه واسطه کیفپولتون رو تهیه میکنید اونوقت احتمال وقوع داره! اما !!! تیم لدجر میگه این حملهها همیشه امکانشون هست! چطوری؟
فکرش رو بکنید ضیاء ۱۰۰ تا ترزور سفارش میده از خود ترزور هم میخره اینا رو! بعد بستهبندی همه رو تمیز باز میکنه دستکاریشون میکنه و همه رو تمیز دوباره بستهبندی میکنه و مرجوع میکنه به شرکت ترزور. اونوقت شرکت ترزور این ترزورهای دستکاری شده رو دوباره میفرسته تو بازار و شما حتی اگه از خود ترزور خریداری کرده باشید احتمال اینکه ترزور شما دستکاری شده باشه هستش! ترفند باحالیه :))
تیم لدجر این مشکل رو به ترزور توی نوامبر ۲۰۱۸ اطلاع رسانی کرده اما این مشکل هنوز برطرف نشده و ترزور جوابی نداده!
۲. حملههای Software Crappy Attacks
توی این نوع حمله نرمافزار ترزور هدف قرار داده شده و دوتا مشکل توش پیدا شده که از ضعف امنیتی بالایی نداشتن و به همین دلیل توضیحات زیادی درموردش نمیدم! به ترزور اطلاع رسانی شد و سریع حل شدن.
۳. حملههای کانال جانبی یا همون Side Channel Attacks
اینجا تیم لدجر با استفاده از الگوریتمهای یادگیری ماشینی اثر دیجیتالی ترزور رو بررسی میکنن و بعد از اینکه خوراک زیادی به این الگوریتم میدن الگوریتم میتونه از این به بعد اثر دیجیتالی رو با عددی که کاربر میزنه تطبیق بده. یعنی به این شکل که الگوریتم میدونه که سیگنالهایی که ترزور میفرسته کدوم عدد هستن!
این الگوریتم با میانگین ۵ بار تلاش میتونه رمز پین ترزور شما رو پیدا بکنه و از اونجایی که توی ترزور تعداد دفعات وارد کردن پین نسبتا زیاد هستن، یه حمله کاملا موفق هستش 🙂
این حمله گزارش به ترزور گزارش شده و الان امکان حدسزدن پین سختتر شده!
تیم لدجر یه حمله جانبی دیگه رو هم بررسی کرده!
حمله به تابع SCAlar
این تابع برای فرآیندهای رمزنگاری و تولید کلیدها توی ترزور استفاده میشه. یه اتفاق جالب این بود که این وقتی تیم لدجر پیادهسازی این تابع رو بررسی میکرد یه کامنت توی کد دیدن که نوشته بود “این تابع در مقابل حملههای جانبی مصون است!”
کاری که تیم لدجر انجام داد این بود که یه عدد بزرگ SCAlar رو ورودی تابع میداد و با همون الگوریتم یادگیری ماشینی تونستن اعداد رو شبیهسازی کنن.
این یعنی که اگه عدد SCAlar رو با این روش محاسبه کنن اونوقت به راحتی میتونن پرایوتکی رو تولید کنند! این مشکل امنیتی بسیار جدی هستش!
تیم لدجر اینو به ترزور گزارش داد و ترزور واکنشی نشون نداده و این مشکل همچنان وجود داره! ولی انصافا حداقل اون کامنت که میگه من امن هستم رو باید بردارن دیگه :))
۴. حملههای Surprise Concluding
این نوع حملهها با تزریق خطا به ترزور میتونن باعث بشن که از فرآیند پین کد گذشت و یا حتی دیگه پینکد غیرفعال بشه. این حملهها رو چند ماه پیش تیم Wallet.Fail هم انجام دادن که من قبلا اینجا درموردش یه رشتهتوییت نوشتم.
تیم لدجر این حمله رو نه فقط روی ترزور بلکه بر روی چندتا کلون دیگه از ترزور که نرمافزار ترزور رو استفاده میکنن مثل کیپکی و بیوالت هم امتحان کرده و دیده که جواب میده! با گلیچ کردن تونستن ۲۴ کلمه سید رو استخراج کنن از این کیفپولها. این مشکل فعلا پچ شده و رفع شده اما احتمال انجام شدنش باز وجود داره!
یه کار دیگه که لدجر انجام داد و تیمهای دیگه تو این نوع حمله انجام نداده بودن این بود که روی مدل T ترزور که همون مدل با صفحه تاچ هستش هم انجامش دادن! این روش روی اون مدل هم عملی بود اما یه فرقی داره! فرقش اینه که نمیشه این مشکل رو توی مدل T رفع کرد و عملا این ولت کاملا مشکل امنیتی داره! این ولت باید به شکل کامل تغییر پیدا کنه و از اونجا که راه حلی برای درست کردنش وجود نداره تیم لدجر تصمیم گرفت که نحوه انجام شدن این مشکل رو به تیم ترزور اعلام نکنه! تنها راهکاری که تیم لدجر تونست مطرح کنه اینه که باید از یه کلمه اضافه یا همون Passphrase برای ۲۴ کلمه سید خودتون استفاده کنید که به اندازه یه سید کامل امنیت داشته باشه. یعنی یه کلمه رمز اضافه که حداقل ۳۶ کاراکتر باشه.
مرور همه حمله ها رو توی این جدول میبینید
آخرین حرفای تیم لدجر توی ارائه این بودن که:
ما میخوایم همه کاربران امن باشن! حتی کاربران ترزور که شرکت رقیب ما هستش
یادتون باشه که اوپن سورس بودن الزاما معادل امنیت بیشتر نیستش!
اینو اضافه کنم که این نوع حملهها اغلب حملههایی پرهزینه هستن و احتمال اینکه شما هدف قرار بگیرید به ارزشی که هکر از حملهکردن ممکنه بدست بیاره بستگی داره! این نکته خوبیه چرا که به شما هم یادآوری میکنه که وقتی ارزش کوینهای شما زیاد باشه اونوقت باید حواسجمعتر و مطلعتر باشید و حتی هزینه بیشتری کنید تا امن باقی بمونید. رویکردهای امنیتی بهتری رو اتخاذ کنید مثلا از چند امضایی همراه با ترزور و لدجر هر دو استفاده کنید یا که سرمایهتون رو تقسیم کنید و همه تخممرغها رو تو یه سبد نگه ندارید تا یه نقطه شکست مرکزی ایجاد نکنید!