کیف پول سرد چند امضایی چیست؟

کیف‌پول‌ چند امضایی (multisig) یکی از امن‌ترین راه‌ها برای ذخیره دارایی‌های دیجیتال در نظر گرفته می‌شوند. با این حال، حتی این اقدامات امنیتی پیشرفته نیز بی‌خطا نیستند، همانطور که هک Bybit در فوریه 2025 نشان داد.

کیف پول سرد چیست؟

کیف پول سرد یک روش ذخیره‌سازی ارز دیجیتال به صورت آفلاین و ارتباط آن با اینترنت قطع است. این تنظیمات دسترسی هکرها از راه دور به وجوه را به میزان قابل توجهی سخت تر می کند. مثالها عبارتند از:

• کیف پول های سخت افزاری (به عنوان مثال، لجر، ترزور)
• کیف پول کاغذی
• رایانه های Air-gapp (دستگاه هایی که هرگز به اینترنت متصل نیستند)

با آفلاین نگه داشتن کلیدهای خصوصی، کیف پول سرد خطر حملات آنلاین مانند فیشینگ یا بدافزار را کاهش می دهد. اما چند امضایی چیست؟

در این رابطه بخوانید‌ : معضل سه‌گانه بلاکچین چیست؟ (Blockchain Trilemma)

چند امضایی (multisig) چیست؟

بر خلاف کیف پول های تک امضایی که تنها به یک کلید نیاز دارند، فناوری چند امضایی به چندین کلید خصوصی برای تأیید یک تراکنش نیاز دارد. آن را به عنوان یک حساب بانکی مشترک در نظر بگیرید که در آن دو یا چند امضاکننده برای تأیید هرگونه برداشت مورد نیاز است.

تنظیمات متداول چند امضایی عبارتند از:

• 2-از-3: هر 2 کلید از 3 کلید باید تراکنش ها را تأیید کند.
• 3 از 5: هر 3 کلید از 5 کلید مورد نیاز است.
• 5-از-7: هر 5 از 7 دارنده باید امضا کنند.

این لایه امنیتی افزوده به این معنی است که حتی اگر یک کلید به خطر بیفتد، مهاجم نمی تواند وجوه را جابجا کند.

چه کسانی از کیف پول های سرد چند امضایی استفاده می کنند؟

• صرافی ها: برای جلوگیری از کلاهبرداری داخلی و برداشت های غیرمجاز.
• سرمایه گذاران نهادی: صندوق های پوشش ریسک و دفاتر خانوادگی که مقادیر زیادی ارز دیجیتال را نگهداری می کنند.
• سازمان‌های خودگردان غیرمتمرکز (DAO): گروه‌هایی که سرمایه‌های مشترک را از طریق حاکمیت چند امضایی مدیریت می‌کنند.

کیف پول سرد چندامضایی چگونه کار می کند؟

کیف پول‌های سرد Multisig برای تأیید یک تراکنش به چندین کلید خصوصی از طرف‌های مورد اعتماد نیاز دارند و با جلوگیری از یک نقطه شکست، امنیت را افزایش می‌دهند.

برای درک نحوه عملکرد کیف پول های سرد چندامضایی، یک صندوق امانات را در بانک تصور کنید که برای باز کردن آن به دو یا چند کلید نیاز است. هیچ شخصی به تنهایی نمی تواند به محتویات دسترسی داشته باشد، چندین شخص مورد اعتماد باید حضور داشته باشند.

کیف پول‌های سرد Multisig این مفهوم را در دارایی‌های دیجیتال اعمال می‌کنند و با نیاز به کلیدهای خصوصی متعدد برای تایید تراکنش‌ها، یک لایه امنیتی بیشتر اضافه می‌کنند.

عملکرد چندامضایی در دنیای کریپتو:

• توزیع کلید: صاحب کیف پول چندین کلید خصوصی تولید می کند و آنها را بین اشخاص یا دستگاه های مورد اعتماد توزیع می کند. به عنوان مثال، در تنظیم کیف پول سرد 3 از 5، کلیدها را می توان بین نقش های مختلف توزیع کرد تا امنیت و مسئولیت پذیری افزایش یابد. به عنوان مثال، کلید 1 را می توان به مدیر عامل به عنوان تصمیم گیرنده اصلی اختصاص داد، در حالی که کلید 2 برای نظارت مالی به مدیر ارشد مالی داده می شود. مدیر ارشد حقوقی کلید 3 را برای اطمینان از انطباق با مقررات نگه می دارد، در حالی که کلید 4 به عنوان پشتیبان آفلاین در مکانی امن ذخیره می شود. در نهایت، کلید 5 را می توان به مدیر ارشد امنیتی، مسئول پروتکل های امنیت سایبری اختصاص داد.
• درخواست تراکنش: زمانی که شخصی می خواهد وجوه خود را از کیف پول برداشت کند، ابتدا باید یک پیشنهاد معامله ایجاد کند، مانند پر کردن چکی که قبل از پردازش به چندین امضا نیاز دارد.
• فرآیند تایید: پیشنهاد سپس برای امضاکنندگان مجاز ارسال می شود. در گزینه 3 از 5، حداقل سه نفر از پنج دارنده کلید باید درخواست را تأیید کنند، درست مانند سه کارمند مختلف بانک برای باز کردن قفل صندوق امانات با هم. این فرآیند از انجام نقل و انتقالات غیرمجاز توسط یک فرد جلوگیری می کند، حتی اگر یک کلید به خطر بیفتد یا به طور مخرب عمل کند.
• پخش تراکنش: هنگامی که تعداد مورد نیاز امضا جمع آوری شد، تراکنش به شبکه بلاک چین ارائه می شود. تنها پس از آن پرداخت نهایی شده و در دفتر کل ثبت می شود. اگر به حداقل تعداد تأییدها نرسید، تراکنش ناقص می ماند درست مانند بانکی که از پردازش چک بدون امضای لازم امتناع می کند.

کیف پول های سرد multisig چگونه هک می شوند؟

علیرغم مزایای امنیتی، کیف پول های Multisig در برابر حملات مصون نیستند. هکرها اغلب از نقاط ضعف در پیاده سازی، رفتار انسانی یا خدمات شخص ثالث سوء استفاده می کنند.

به طور مثال:

همچنین بخوانید : شبکه Starknet چیست؟ معرفی پروژه و توکن STRK

1. حملات زنجیره تامین (هک بای بیت 2025)

در فوریه 2025، صرافی Bybit 1.5 میلیارد دلار اتر ETH را از دست داد و هکرها فرآیند امضای multisig را هدف قرار دادند.

این حمله به این صورت است:

• Bybit از یک کیف پول سرد 3 از 5 استفاده کرد، به این معنی که برای جابجایی وجوه به هر سه امضای مجاز نیاز بود.
• مهاجمان زیرساخت ارائه دهنده کیف پول شخص ثالث (SafeWallet) را هک کردند.
• آنها به دستگاه یک توسعه دهنده در SafeWallet نفوذ کرده و کد مخربی را وارد کردند که فرآیند امضا را تغییر داد.
• تیم امنیتی Bybit تراکنش‌هایی را تأیید کرد که به نظر قانونی می‌رسیدند، اما در واقع، وجوه به آدرس‌های تحت کنترل هکرها هدایت شدند.

این حمله خطرات ناشی از اتکا به ارائه دهندگان شخص ثالث برای امنیت کیف پول را نشان می دهد. حتی اگر کلیدهای خصوصی شما امن باشند، سرویس هک شده همچنان می تواند وجوه را در معرض خطر قرار دهد.

2. حملات مهندسی اجتماعی

کیف پول های Multisig نیاز به تایید انسانی دارند و هکرها می توانند افراد را تحت تاثیر قرار دهند.

به عنوان مثال، در سال 2022، هکرها با استفاده از ایمیل های فیشینگ، کارمندان رده بالای یک صندوق کریپتو را هدف قرار دادند. هنگامی که مهاجمان به دستگاه ها دسترسی پیدا کردند، از بدافزار برای ضبط ورودی های کلید خصوصی استفاده کردند.

3. اقدامات مخرب خودی ها

اگر کارمند یکی از افراد امضا کننده ۲ از ۳ یا ۳ از ۵ باشد، ممکن است با هکرها برای امضای تراکنش‌های جعلی تبانی کند.

به عنوان مثال، در سال 2019، یک مدیر صرافی با مهاجمان همکاری کرد تا برداشت غیرمجاز 200 میلیون دلاری را تأیید کند. این حادثه منجر به تغییر روش‌های غیرمتمرکزتر امضا شد.

4. آسیب پذیری قرارداد هوشمند

برخی از کیف پول های Multisig قراردادهای هوشمند را برای خودکارسازی تراکنش ها استفاده می کنند. با این حال، اگر قرارداد هوشمند حاوی یک اشکال کدگذاری باشد، مهاجمان می توانند از آن سوء استفاده کنند.

به عنوان مثال، در سال 2017، یک باگ در کیف پول Parity به هکرها اجازه داد تا بیش از 150 میلیون دلار ETH را مسدود کنند.

چگونه کیف پول های سرد Multisig را امن تر کنیم

برای ایمن تر کردن کیف پول های سرد چند امضایی از آستانه بالاتری از امضاهای مورد نیاز استفاده کنید، احراز هویت چند مرحله ای را اجرا کنید، و کلیدها را در مکان های امن و پراکنده جغرافیایی ذخیره کنید.

همانطور که گفته شد، کیف پول سرد چندامضایی یکی از بهترین راه حل های امنیتی است، اما باید اقدامات بیشتری را برای به حداقل رساندن خطرات انجام دهید، از جمله:

• از آستانه بالاتری استفاده کنید (به عنوان مثال، 4-از-7 به جای 2-از-3): امضاهای مورد نیاز بیشتر = برای مهاجم سخت تر است که به کلیدهای کافی دسترسی پیدا کند.
• اجرای احراز هویت چند مرحله ای: رمزهای عبور و ماژول های امنیتی سخت افزاری (HSM) را برای دسترسی به کلید ترکیب کنید.
• قابلیت پشتیبانی  شمیر Shamir’s Secret Sharing: کلیدهای خصوصی را به چند بخش تقسیم کنید که برای استفاده از کلید اصلی باید بازسازی شوند.
• دستگاه‌های امضای Air-gapped: از دستگاه‌های آفلاین برای امضای تراکنش‌ها استفاده کنید و از حملات هک از راه دور جلوگیری کنید.
• کلیدها را در مکان های مختلف نگهداری کنید: کلیدها را در مکان‌های مختلف و جداگانه ذخیره کنید.
• چرخش کلید: به طور مرتب نگهدارنده های کلید را تغییر دهید و کلیدها را دوباره تولید کنید تا خطر دسترسی هکرها کاهش یابد.
• ممیزی های امنیتی منظم: کارشناسان را برای بررسی تنظیمات کیف پول خود و شناسایی آسیب پذیری ها استخدام کنید.
• امضاکنندگان مستقل: شرکت های امنیتی خارجی یا شخص ثالث قابل اعتماد را به عنوان یکی از امضاکنندگان انتخاب کنید تا از تبانی خودی جلوگیری شود.
• دسترسی به گزارش‌ها و هشدارها: از سیستم‌های گزارش‌گیری برای نظارت بر استفاده از کلید و دریافت هشدار برای فعالیت‌های مشکوک استفاده کنید.
• محاسبات چند جانبه (MPC): از پروتکل های رمزنگاری استفاده کنید که در آن کلیدهای خصوصی هرگز به طور کامل مونتاژ نمی شوند و یک لایه امنیتی بیشتر را اضافه می کنند.

آیا کیف پول سرد چند امضایی انتخاب مناسبی است؟

کیف پول های سرد Multisig هنوز هم یکی از بهترین گزینه ها برای کسانی است که به دنبال محافظت از دارایی های دیجیتال خود در برابر سرقت و کلاهبرداری هستند. با این حال، پیچیدگی و پتانسیل آسیب پذیری آنها، به ویژه در مورد حملات زنجیره تامین، نباید نادیده گرفته شود.

هک Bybit در فوریه 2025: حتی کیف پول های سرد چند امضایی پیچیده نیز می توانند از طریق حملات زنجیره تامین به خطر بیفتند. مهاجمان از آسیب پذیری ها در سیستم ها یا سخت افزار مورد استفاده برای تولید یا ذخیره کلیدهای خصوصی سوء استفاده می کنند.

بنابراین، در حالی که کیف‌پول‌های سرد Multisig امنیت بالایی را ارائه می‌دهند، اما با مجموعه‌ای از چالش‌ها نیز همراه هستند. پیچیدگی راه‌اندازی و مدیریت یک سیستم چند امضایی، خطر از دست دادن کلیدها و آسیب‌پذیری‌های احتمالی در برابر تهدیدات فیزیکی می‌تواند مشکلاتی را به‌ویژه برای کاربران کم‌تجربه ایجاد کند. علاوه بر این، کند شدن روند تأیید تراکنش می تواند در موقعیت های حساس به زمان باعث نارضایتی شود.

در نهایت، تصمیم گیری در مورد اینکه آیا کیف پول های سرد Multisig گزینه مناسبی برای امنیت دارایی دیجیتال شما هستند یا خیر، بستگی به مقایسه مزایای آنها در برابر محدودیت های آنها دارد.

همچنین مهم است که در نظر داشته باشید هیچ اقدام امنیتی کاملاً بدون خطر نیست. همانطور که در هک های اخیر مشاهده شد، چشم انداز امنیتی گسترده تر نقش مهمی در محافظت از دارایی های شما ایفا می کند.

ترجمه شده توسط مجله خبری نیپوتو