به گزارش رصد روز، دانستن نحوه ذخیرهسازی اطلاعات و داراییها درون صرافی، جز مهمترین خواستههای کاربران است. بخشی از این امنیت به اطلاعاتی بر میگردد که در زمان احراز هویت ثبت میشوند و بخشی به بحث امنیت دارایی در صرافی مربوط میشود.
مساله مهم دیگری که برای کاربران همواره مطرح بوده، نگرانی آنها پس از انتشار اخباری است که چه درست و چه غلط، به نوعی اضطراب آنها را افزایش میدهد. بهطور مثال، خبر بهفروش گذاشته شدن اطلاعات کاربران در یک کانال تلگرامی که حتی اگر این خبر درست هم نباشد، تا زمانی که صرافی از خودش دفاع کند، بدون شک تاثیر خود را روی کاربران آن صرافی به جا میگذارد.
تجارتنیوز در میزگردی با حضور امید امینزاده رئیس هیئت مدیره صرافی آبان تتر و بردیا احمدنیا، مدیر عملیات و همبنیانگذار صرافی والکس، به امنیت کاربران درون صرافی و چالشهای قانونگذاری صرافیها، پرداخته است.
بخش نخست از گزارش این میزگرد با عنوان چالشهای صنعت رمز ارز در ایران منتشر شد. بخش دوم و پایانی را در ادامه میخوانید.
راهکار صرافیها برای حفظ امنیت کاربران
آیا اخبار منفی که در فضای مجازی منتشر میشوند، تاثیری بر کار صرافیها داشته است؟ راهکار صرافیها برای حفظ امنیت کاربران چه بوده است؟
بردیا احمدنیا، والکس: من در خصوص والکس میتوانم نظر بدهم. اطلاعات هویتی و کاربری افراد در بستر این صرافی در مرحله نخستی که کاربر اطلاعات را وارد میکند، به صورت آنلاین است. یعنی صرافی، اطلاعات وارد شده را به صورت برخط ذخیره و پشتیبانی آنها را تایید میکند. همه موارد با ثبت احوال چک میشود و پس از تایید، ذخیره اطلاعات به آفلاین تغییر میکند. به این معنا که اطلاعات روی سروری قرار ندارد و بخصوص عکس سلفی کاربر با دست نوشتهاش و کارت ملی و کد ملی؛ روی سرور ذخیره نمیشوند و در نتیجه قابل هک نیستند.
ما به کاربران پنل کاربری و رمز ورود میدهیم و کل فعالیتها با همین موارد انجا میشود. در واقع با اطلاعات هویتی کاربر کار نمیکنیم. دیتای هویتی که ذخیره میشود کاملا آفلاین نگهداری میشود و دسترسی آنلاینی به آن اطلاعات وجود ندارد. در نتیجه فردی نمیتواند برای دستیابی به اطلاعات کاربران سروری را هک کند. زمانی که دو سال پیش گروهی اعلام کردند که ولکس هک شده و هکرها به اطلاعات کاربران دست پیدا کردهاند، ما مطمئن بودیم که این خبر صحت ندارد. شرکت در این مورد پرونده قضایی تشکیل داد و فردی که این ادعای کذب را مطرح کرده دستگیر شد. اکنون نیز او در حال گذراندن دوران محکومیت خود است.
موضوع دوم امنیت دارایی کاربر است. پروتکلی وجود دارد که من فکر میکنم تقریبا تمام صرافیهای ایرانی از آن پیروی میکنند. صرافیها سوپر ولتی دارند که دارایی کاربر در آن انباشت میشود و در حالت آفلاین است. از سوی دیگر، آنها به هات ولتی نیز مجهز هستند که به آن والت گرم گفته میشود. برداشتهای کاربر از طریق این ولت صورت میگیرد. بر اساس استاندارد جهانی بین یک تا پنج درصد دارایی کاربران در ولت گرم قرار میگیرد. صرافی ولکس بین یک تا یک و نیم درصد دارایی را در آن نگه میدارد، تا نیاز برداشت کاربر در لحظه انجام شود. در این صورت اگر کیف پول صرافی هک شود، قاعدتا کیف پول سخت افزاری هک نشده است و این اتفاق برای کیف پول نرمافزاری یعنی هات ولت مجموعه رخ داده است. در این مورد هم برای حفظ امنیت، پروتکلهای متفاوتی دارد. از جمله اس اس ام و اچ اس ام و بانکهای کشور نیز بخشی از آنها را برای نقل و انتقالات داخلی و خارجی خود به کار میبرند.
نکته سوم که مهمتر از دو مورد اول است به این واقعیت بازمیگردد که طبیعت صرافی، حفظ امنیت آن را ضروری میکنند. حوزه کار اکسچنج، مالی و ارائه خدمات مالی به کاربر است؛ اولیوت اول چنین مجموعهای همیشه باید حفظ امنیت باشد. اگر یک صرافی نتواند امنیت خود را تضمین کند، اولین جایی که دچار مخاطره میشود خود مجموعه است؛ چرا که دیگر نمیتواند به کاربران خدمت ارائه کند و اعتباری را که ساخته است، از بین میرود. در نتیجه اهمیت امنیت برای صرافی از کاربران مهمتر است. مجموعه همه تلاش خود را میکند که بهترین پروتکلها را تعریف و اجرا کند تامشکلی رخ ندهد. اگر چنین اتفاقی بیفتد، حتی میتواند باعث نابودی صرافی شود.
در دنیا شرایط اینگونه است که حتی اگر هکرها اکسچنجی را هک میکنند، آن مجموعه تضمین میدهد که پول کاربران را جایگزین میکنند. به این دلیل که امنیت برای صرافیها حرف اول را میزند. آنها معمولا یک صندوق رزرو دارند و از درآمدی که کسب کردهاند، در آن صندوق ذخیره میکنند برای اینکه اگر زمانی هک شدند و موجودی از هات ولت آنها خارج شد؛ بتوانند پول را جایگزین کنند.
اگر یک صرافی هک شود، کاربر خدمات مورد نیاز خود را از مجموعه دیگری میگیرد، چرا باید خدماتاش را از اکسچنج بگیرد. بنابران اهمیت امنیت برای ما بیشتر است و تلاش میکنیم هر پروتکل امنیتی که میتوانیم را مورد استفاده قرار بدهیم. حتی یک سری هکر کلاه سفید امنیت صرافی را آزمایش میکنند تا اگر مشکلی وجود داشته باشد آن را بیابند. آنها هر ماه نفوذها را بررسی میکنند و در ازای پیدا کردن راه ورودی، پاداش میگیرند. ما میخواهیم از این طریق جلوی نفوذهای منفی را بگیریم، چون مسئله بسیار مهمی است.
– امید امینزاده، آبان تتر: در کشور یکی از موضوعات گمشده همین بحث امنیت است. همه جا این مساله برای آدمها اهمیت زیادی دارد، ولی بزرگترین مسالهای که کمترین بها به آن داده میشود همین است. زیرا سیاستگذار اولویتهای دیگری دارد، برای مثال محدودیتهایی که در اینترنت ایجاد میکند. در نتیجه این شرایط، حجم بدافزاری که به دلیل استفاده از فیلترشکنها وجود دارد، رتبه ایران را در این زمینه به سطح قرمز رسانده است. یعنی بدترین وضعیت را در بین باقی کشورها دارد.
در طول سالیان اخیر نشر اطلاعات به تعداد موهای سر ما رخ داده است؛ هم برای دستگاههای حاکمیتی و هم شرکتهای خصوصی. البته تا حدی طبیعی است و اگر اخبار بین المللی را دنبال کنید در حوزه تکنولئوژی روزانه اتفاقات مشابهی میافتد. مساله این است که واکنشها در ادامه چیست؟ بخش خصوصی یا دولتی چگونه این موضوع را گزارش میکند، افشای اطلاعات چقدر بوده و چه اقدامی انجام میشود؟ این پرسشها مواردی است که ما کمتر به آن توجه میکنیم و معمولا به دست فراموشی سپرده میشوند. مساله دوم این است که نهاد عمومی با این مساله چطور برخورد میکند؟ این یکی از حلقههای گمشده کشور است. ولی همانطور که اقای احمدی نیا اشاره کردند بقا مهمترین پیشران هر مجموعه است. اگر نتوانید از دارایی کاربران حفاظت کنید با بزگترین تهدید که تهدید بقا است روبرو میشوید.
میتوانیم در مورد روشهای حفظ امنیت اطلاعات و حفظ دارایی کاربر صحبت کنیم، ولی باز هم میشود خود گویی. مساله اصلی این است که آیا چنین توضیحاتی موجب خلق اعتماد میشود یا نه؟ من فکر میکنم، چه مساله افشای نشر اطلاعات و چه ادعای حفاظت از اطلاعات، اهمیت چندانی برای کاربران نداشته باشد چرا که در نهایت آنها خود را درگیر مخاطرات امنیتی میبینند. دلیل این شرایط، محیطی است که کاربران درون آن قرار گرفتهاند. در واقع این نگرانی همیشه برای آنها وجود دارد؛ صرف نظر از اینکه صرافی چه ادعایی داشته باشد. چرا که جای نهادهای مورد اعتمادی که مساله را احراز کنند بسیار خالی است.
ما به لحاظ ساختاری با چنین پدیدهای روبرو هستیم. در مورد اطلاعاتی که از کاربران جمعآوری میشود، بسیاری از مجموعهها از جمله ما، از شرکتهای ثالث برای عملیات احراز هویت استفاده میکنند. برخی از این شرکتهای ثالث، کار در سایت قوه قضاییه را انجام میدهند. این شرکتها عملا دیتا را جمعآوری و پردازش میکنند و دیتای احراز شده را در اختیار ما قرار میدهند که نهایتا ما باید محافظتهای لازم را انجام بدهیم که میدهیم.
اخیرا در فضای مجازی موضوعی مطرح شد که میگفت بخشی از دادههای مجموعه آبان تتر در اختیار یک کانال تلگرامی است. این ادعا حواشیای را به وجود آورد و آن فرد برای اثبات ادعای خود حدود پنج هزار شماره تلفن را به عنوان شمارههای کاربران مجموعه منتشر کرد. ما بررسی کردیم و دیدیم از این مجموعه ۱۰ تا ۱۵ درصد، کاربران آبان تتر بودند و برداشت ما این بود که احتمالا اطلاعات از یکی از پرداختیاریهایی که صرافی واریز یا تسویه را انجام میدهد، نشت کرده باشد. با وجود طرح این موضوع در شبکههای اجتماعی، در واقعیت هیچ تاثیری بر بازار ما نداشت و مجموعه کمترین اثری از آن روی حجم معاملات و خروج سرمایه ندید.
این مساله از یک زاویه برای ما جالب بود. در تویتر از اکانتها مشخص بود که بودجهای مالی پشت این برنامه است و کاری برنامهریزی شده بود. ما هم در همین سطح شفافسازی کردیم؛ بیانیه دادیم و موضوع را با کاربرها در جریان گذاشتیم. همچنین با نهادهایی که تماس میگرفتند، تعامل داشتیم. ولی موضوع برای ما از این جهت جالب بود که جامعه هم دچار این نگرانی است. تحلیل من این بود که اتفاقا کاربران نگران دارایی و اطلاعات خود هستند، ولی در حقیقت راهی به غیر از پذیرش چنین مخاطراتی ندارند. کاربران همیشه نگران هستند؛ چه این خبر بیاید و چه نیاید و چه من بگویم که حافظ هستم و چه نگویم. گویی چیزی برای از دست دادن وجود ندارد. این مساله را میتوان از منظر جامعهشناختی هم تحلیل کرد.
در مورد داراییهای کاربران، مدلها به همان صورتی است که جناب احمدنیا اشاره کردند. بانکها را اگر در نظر بگیرید، یک ذخیره قانونی دارند؛ چرا که معمولا همه کاربران برای گرفتن سپرده خود مراجعه نمیکنند و احتمالا در هر شعبه مقدار مشخصی پول نقد وجود دارد که جواب ارباب رجوع را بدهد. در واقع بیشتر داراییها در خزانه بانک است. در صرافیها نیز مدل مشابهی وجود دارد و، اما ممکن است تفاوتهایی نیز وجود داشته باشد. برای مثال آبانتتر، سه لایه برای نگهداری داراییها دارد و برخی مجموعهها ممکن اسات دو لایه داشته باشند و برخی دیگر، لایههای بیشتری دارند. این موضوع به نوع مدیریت داراییها در رهر صرافی بازمیگردد. ولی من فکر میکنم برای همه همکاران ما دو مساله بسیار مهم است؛ یکی حفاظت از داراییها و دیگری تراز بین بدهیها یا داراییها. به این معنا که ما نباید با دارایی کاربران فعالیت اقتصادی کنیم چرا که موضوع به امنیت داراییها بر میگردد. حتی اگر مجموعهای این اطمینان را داشته باشد که میتواند از سپرده کاربران در حوزههایی منفعت کسب کند، نباید تحت هیچ شرایطی زیر بار چنین ریسکی برود دارایی کاربران را به مخاطره میاندازد.
صرافیها مشمول چه قانونی هستند؟
با توجه به اینکه بحثهای قانونی مربوط به صرافیهای رمز ارز همچنان ادامه دارد آیا قانونی که از نظر امنیت مشمول آن شوید و استانداردهایی را ملزم کند وجود دارد یا نه؟
– احمدنیا، والکس: صرافیها ذیل قانون جامع تجارت فعالیت میکنند. ما شرکتی را ثبت کردهایم که ذیل آن فعالیت میکنیم، اما یک سری قوانین را خود فعالان وارد این حوزه کردهاند. شاید فتا قبلا نمیدانست تراکنش مشکوک یعنی چه؟ شاید نهادهای مرتبط نمیدانستند کی وای سی این حوزه چگونه باید باشد؟ این موارد را خود ما اضافه کردهایم و حالا به بدیهیات تبدیل شدهاند. امروز اگر کسی بخواهد شرکتی را به عنوان صرافی ثبت و در این حوزه فعالیت کند، باید مجوز احراز هویت یا کیوایسی (KYC) را دریافت کند. نهادهایی مانند بانک مرکزی و پلیس فتا نیز بخشنامههایی را برای چگونگی فعالیت صرافیها صادر کرده و میکنند که عمل به آنها الزامی است. بعلاوه این که صرافیها به عنوان یک شرکت که ذیل قانون تجارت فعالیت میکند، اسناد رسمی و صورتهای مالی دارند و باید مالیات بپردازند. البته این موارد کافی نیست و حوزه ارز دیجیتال باید قانون مخصوص خود را داشته باشد که محدودیت بیش از حد هم ایجاد نکند.
فعالان این حوزه چندی پیش در مورد موضوع قانونگذاری در دادستانی کل کشور جلسهای داشتند. نمایندگان دادستانی گفتند منظور آنها از اصطلاح خودتنظیمگری که این روزها زیاد استفاده میشود، این نیست که بازار رمز ارز توسعه پیدا کند و برعکس باید محدود شود. در حالی که وظیفه سیاستگذاران تسهیلگری است تا افراد با حس اطمینان بیشتری به بازار رمز ارز ورود کنند و اتفاقا این مارکت برای همه طرفها شفافتر شود.
– امید امینزاده، آبان تتر:جناب امینزاده اشاره کردند و جواب کامل بود. ما باید مشارکت داشته باشیم تا قاعدهای را در کنار هم و با همکاری نهادهای ذیربط و نهادهای ناظر طراحی کنیم. نتیجه شرایط موجود که مشارکت فعالان این حوزه در تدوین لوایح و طرحها پایین است و از برخی نهادها نیز مشورت کافی گرفته نمیشود، همین است که امروز میبینیم. مسالهای که وجود دارد این است که هیچ قاعده و قانونی که بخواهد این حوزه را به طور تخصصی تنظیم کند وجود ندارد. البته خود من ترجیح میدهم قانون نباشد. به خاطر اینکه از قانونی که منجر به این اتفاقات سلیقهای و محدودسازی شود میترسم. ما تا به حال قانونی ندیدهایم که رقابت را بهبود بخشد و فضای کسب و کار را تسهیل کند. اگر قاعدهای بوده با هدف محدودسازی وضع شده است. قاعدهای که یا جلوی سهولت کسب و کار را گرفته یا رقابت را سخت کرده است. این نگرانی همچنان نیز وجود دارد. در حال حاضر تمام شرکتها بر اساس قانون تجارت و تجارت الکترونیک فعالیت میکنند و برخی عضو سازمان نظام صنفی رایانهای نبز هستند.
این روزها دولت و مجلس هر یک متنی را برای قانونگذاری در مورد ارز دیجیتال تدوین کردهاند. آیا هیچکدام با فعالان و ذینفعان این حوزه نیز مشورتی انجام دادهاند؟
امینزاده، آبان تتر: ما به طور خاص طرف مشورت نبودیم.
– احمدنیا، والکس: ابتدا باید بار دیگر تاکید کنم که تسهیلگری یا تنظیمگری این حوزه از خود اکسچنجها شروع شده است. خود ما رفتهایم و گفتهایم که بیایید در این حوزه قانونگذاری کنید. حتی شاید زمان زیادی گذاشتهایم و قوانین اتحادیه اروپا در حوزه رمز ارزها را بومیسازی کردهایم. قارهای طی چند سال صرف زمان این قوانین را تنظیم کرده و به تمام جوانب نگاه کرده است و ما این را بومیسازی کردیم و جلو بردیم. حتی موضوع به مجلس و شورای عالی فضای مجازی و مرکز ملی رسید، اما متاسفانه بحث اصلی این است که ما هنوز تلکیف خود را با اصل موضوع مشخص نکردهایم که آیا میخواهیم رمز ارزها و فعالیت در حوزه ارز دیجیتال را بپذیریم یا خیر؟ حاکمیت و دولت باید در گام نخست این را برای خود شفاف کند. آیا ما میخواهیم این حوزه را تسهیلگری کنیم یا نه و میخواهیم همین فضای بدون قانون باقی بماند؟ چون خود ما فعالان این حوزه میدانیم که چه کاری باید انجام دهیم. میدانیم که امنیت داراییها برای ما مهم است. میدانیم که توسعه در بازار رقابتی اهمیت دارد. ما المانهای بسیاری را میدانیم که حاکمیت نمیداند.
خود ما برای ایجاد امنیت و اعتبار پا پیش گذاشتهایم، ولی هنوز به نتیجهای نرسیدهایم، اکوسیستم رمز ارزی جلو رفت و حتی خود تنظیمگری یا اینماد دادن هم از بستر خود ما شکل گرفت. چرا که مسئولان میگفتند اصلا چرا باید به این حوزه اینماد داده شود؟ ما گفتیم شما ممیزی بگذارید و در وهله اول اکسچنجهایی که بستر اصلی و اولیه را دارند شاخص کنید. نه صرافیای که با ۵ نفر نیرو فعالیت میکند. چون آن مجموعه قابلیت توسعه و حفظ امنیت داراییها را ندارد. یکسری مقررات بگذارید، ولی اینماد را به آنهایی که شرایط لارم را دارند، بدهید. در این صورت است که مردم احساس امنیت میکنند. البته ما با فلسفه اینماد برای کل اکو سیستم تجارت الکترونیک مخالف هستیم، ولی برای اینکه این صنعت و این اکوسیستم بالاخره در جایی به رسمیت شناخته شود، باید کاری انجام میشد.
شاید ما، چون خیلی شفاف هستیم صدمه میبینیم. چون مسئولان میدانند که میتوانند ما را محدود کنند، بعضی اقدامات را انجام میدهند. اما آنها در بازارهایی مانند دلار و طلا نمیتوانند برخی تصمیمات را بگیرند، زیرا در این بازارها امکان شفافیت وجود ندارد. در بازار کریپتو شفافیتی نسبی شکل گرفته است، در نتیجه شاپرک میتواند حسابهای بانکی را رصد کند. متاسفانه یا خوشبخانه ما شفاف هستیم و این شفافیت به ضرر ما تمام میشود.
– احمدنیا، والکس: در مورد لایحه دولت باید بگویم هر متنی که به مجلس میرود معلوم نیست که با همان شکل بیرون بیاید. در لایحه مالیات عایدی بر سرمایه هم اصلا رمز ارز داخل متن دولت نبود. اما وقتی وارد کمیسیون شد روز قبل از آن، رمز ارز را به آن اضافه کردند. یعنی شما نمیتوانید ببینید لایحهای که وارد مجلس میشود اگر تصویب شد همان متن است یا نه؟ این هم مساله جدی است. شاید با لایحهای که میرود موافقتی نسبی داشته باشیم، ولی معلوم نیست از آن چیزی که وارد مجلس میشود، چه چیزی بیرون بیاید. از دوستان مجلسی میپرسیم رمز ارز را چه کسی یک روز قبل گذاشت در لایحه؟ میگویند چه کسی بود؟ ما ندیدهایم؟ هیچ کسی گردن نمیگیرد! این شرایط، کار را سخت میکند.