نحوه بررسی ایمنی صرافی ارز دیجیتال: ۱۰ پرچم قرمز

نحوه بررسی ایمنی صرافی ارز دیجیتال: ۱۰ پرچم قرمز
Author profile photo
۹ مرداد ۱۴۰۴
~8 دقیقه خوانده شده

انتخاب محل خرید، فروش یا نگهداری دارایی‌های دیجیتال، ابتدا یک تصمیم امنیتی و سپس یک تصمیم معاملاتی است. پلتفرم‌های ارز دیجیتال از شرکت‌های معتبر و دارای مجوز تا صرافی‌های جعلی که به محض افزایش برداشت‌ها ناپدید می‌شوند، متفاوت هستند. در ادامه یک چک‌لیست عملی، بر اساس دستورالعمل‌های نهادهای نظارتی و استانداردهای امنیتی، ارائه شده است تا به شما کمک کند قبل از ارسال حتی یک سکه، یک صرافی را ارزیابی کنید.

اول از همه: بررسی واقعیت نگهداری دارایی‌ها

منبع: Dev.to

قبل از پرداختن به پرچم‌های قرمز، انتظارات را مشخص کنید. نهادهای نظارتی ایالات متحده بارها هشدار داده‌اند که اکثر پلتفرم‌های معاملاتی ارز دیجیتال همان محافظت‌هایی را که سرمایه‌گذاران از حساب‌های کارگزاری انتظار دارند، ارائه نمی‌دهند. به طور خاص، SEC خاطرنشان می‌کند که دارایی‌های ارز دیجیتال در پلتفرم‌های معاملاتی تحت پوشش SIPA نیستند و مشتریان ممکن است در صورت ورشکستگی، دسترسی به دارایی‌های خود را از دست بدهند. به زبان ساده، رها کردن وجوه در یک پلتفرم شما را در معرض ریسک پلتفرمی قرار می‌دهد که یک کارگزار سهام سنتی ندارد.

به همین دلیل بسیاری از کاربران باتجربه می‌پرسند: «آیا نگهداری ارز دیجیتال در صرافی امن است؟» پاسخ صادقانه این است: بستگی به کنترل‌های پلتفرم و تحمل ریسک شما دارد – اما نهادهای نظارتی به صراحت اعلام می‌کنند که شکست پلتفرم‌ها می‌تواند دارایی‌های مشتریان را به خطر بیندازد.

۱۰ پرچم قرمز (و نحوه بررسی آن‌ها)

  1. نداشتن مجوز، نهاد حقوقی نامشخص یا جابجایی بین حوزه‌های قضاییپلتفرم‌های قانونی، نهاد حقوقی، نهاد نظارتی و مجوزهای خود را فاش می‌کنند. در بریتانیا، لیست هشدار FCA به صورت عمومی شرکت‌های غیرمجاز را نام می‌برد؛ اگر برندی در آنجا ظاهر شد، از آن دوری کنید. در نیویورک، کسب‌وکارهای ارز مجازی عموماً به BitLicense یا مجوز trust charter نیاز دارند و DFS استانداردهای سخت‌گیرانه‌تری برای فهرست کردن/حذف از فهرست منتشر کرده است که نشانه‌هایی از وجود نظارت است. اگر یک پلتفرم نمی‌تواند به شما بگوید چه کسی و در کجا آن را تنظیم می‌کند، این یک پرچم قرمز است. خودتان ثبت‌نام‌های نهادهای نظارتی را بررسی کنید.
  2. بازده تضمین‌شده، «استراتژی‌های مخفی» VIP یا فشار برای انتقال فوری وجوه/USDTCFTC و SEC به مصرف‌کنندگان در مورد وعده‌هایی که «۲۰ تا ۵۰ درصد بازده» با «ریسک صفر» را تضمین می‌کنند یا شما را به کیف پول‌های خصوصی خارج از پلتفرم سوق می‌دهند، هشدار می‌دهند. این یک سناریوی کلاهبرداری کلاسیک و یک الگوی اصلی در پشت وب‌سایت‌های سرمایه‌گذاری جعلی بیت‌کوین است. اگر بازاریابی بر روی فوریت و سود تضمین‌شده تکیه دارد، شما در حال تماشای یک کلاهبرداری هستید، نه یک کسب‌وکار.
  3. وب‌سایت‌های جعلی، دامنه‌های مشابه و اپلیکیشن‌های کپیگزارش‌های IC3 FBI به موجی از وب‌سایت‌های جعلی ارز دیجیتال که از برندهای واقعی تقلید می‌کنند، به علاوه اپلیکیشن‌های سرمایه‌گذاری “pig-butchering” که برداشت‌ها را مسدود می‌کنند، اشاره دارد. کلاهبرداران همچنین خود را به عنوان سرمایه‌گذاران جعلی ارز دیجیتال (مثلاً یک «منتور» در رسانه‌های اجتماعی) معرفی می‌کنند یا یک وب‌سایت بیت‌کوین جعلی با ظاهر حرفه‌ای و توصیفات ساختگی را اداره می‌کنند. همیشه قبل از ورود یا واریز وجه، دامنه را از ثبت‌نام نهاد نظارتی یا حساب‌های اجتماعی رسمی شرکت تأیید کنید.
  4. نداشتن اثبات ذخایر (PoR) مستقل یا PoR غیرقابل تأییدPoR به مشتریان اجازه می‌دهد تا بررسی کنند که مانده‌های تحت پوشش به طور کامل توسط دارایی‌های موجود در نگهداری پشتیبانی می‌شوند. صرافی‌های مسئول روش را توضیح می‌دهند (به عنوان مثال، درخت مرکل به علاوه گواهی شخص ثالث) و به شما اجازه می‌دهند تا وجود خود را در آن تأیید کنید. PoR یک راه‌حل کامل نیست – گواهی‌ها در یک زمان مشخص هستند و بدهی‌ها یا بدهی‌های خارج از صرافی را ثابت نمی‌کنند – اما نداشتن PoR (یا یک پست وبلاگ مبهم) یک پرچم قرمز شفافیت است.
  5. احراز هویت ضعیف و نداشتن MFA مقاوم در برابر فیشینگهمه MFAها یکسان نیستند. استانداردهای امنیتی ایالات متحده از NIST و CISA تأکید می‌کنند که کدهای SMS مبتنی بر SIM و اعلان‌های فشاری در برابر فیشینگ و تعویض SIM آسیب‌پذیر هستند؛ روش‌های کلید سخت‌افزاری (FIDO2/WebAuthn) در برابر فیشینگ مقاوم هستند و به شدت توصیه می‌شوند. اگر یک صرافی MFA با کلید سخت‌افزاری ارائه نمی‌دهد یا شما را به کدهای SMS محدود می‌کند، هک شدن حساب شما آسان‌تر است.
  6. نگهداری مبهم، «بیمه»‌ای که در واقع بیمه نیست و دارایی‌های مخلوطجزئیات کوچک را بخوانید. اگر یک پلتفرم به «بیمه» اشاره می‌کند بدون اینکه ارائه‌دهنده، دامنه و محدودیت‌ها را مشخص کند، آن را یک ترفند بازاریابی فرض کنید. SEC اشاره می‌کند که دارایی‌های ارز دیجیتال معمولاً توسط SIPA محافظت نمی‌شوند؛ اگر پلتفرم ورشکست شود، ممکن است سکه‌های شما در املاک شرکت گنجانده شوند. فقدان تفکیک واضح بین وجوه مشتریان و وجوه شرکت نیز یک پرچم قرمز دیگر است.
  7. فهرست کردن هر چیزی که حرکت می‌کند، نداشتن سیاست کنترل کوین، فرهنگ pump-and-dump.ناظران پیچیده مانند NYDFS اکنون استانداردهای رسمی برای فهرست کردن و حذف کوین‌ها نیاز دارند. اگر یک صرافی به طور مکرر توکن‌های غیرنقدشونده را با بازاریابی هیجانی و بدون افشاگری فهرست می‌کند، در حال دعوت از پویایی‌های pump-and-dump است – CFTC سال‌هاست که به مصرف‌کنندگان در این مورد هشدار می‌دهد. پلتفرم‌هایی را ترجیح دهید که معیارهای فهرست کردن و خلاصه‌های ریسک را منتشر می‌کنند.
  8. مشکلات در برداشت، «تعمیر و نگهداری» مکرر و به‌روزرسانی‌های وضعیت آهستهپلتفرم‌های کلاهبرداری از یک الگو پیروی می‌کنند: واریز آنی است، برداشت‌ها «در حال بررسی». در حالی که تعمیر و نگهداری واقعی اتفاق می‌افتد، مسدود شدن‌های مکرر یا طولانی مدت بدون صفحات وضعیت معتبر، نشانه‌های هشداردهنده‌ای هستند – به خصوص اگر پشتیبانی شما را به پرداخت «هزینه‌های بازگشایی» اضافی سوق دهد. گزارش IC3 FBI این ویژگی «ناتوانی در برداشت» را در سراسر پلتفرم‌های کلاهبرداری توصیف می‌کند.
  9. تیم انطباق غیرموجود و نداشتن ردپای گزارش‌دهی AMLدر امارات متحده عربی، بریتانیا، ایالات متحده و سایر مراکز، صرافی‌ها باید KYC/AML را اجرا کنند و گزارش فعالیت‌های مشکوک را ثبت کنند. اگر یک پلتفرم به «نداشتن هرگونه KYC» افتخار می‌کند، ممکن است با کسب‌وکاری سر و کار داشته باشید که نهادهای نظارتی در نهایت آن را هدف قرار خواهند داد – و مشتریان را سرگردان می‌گذارند. بررسی کنید که آیا شرکت در مورد تعهدات AML اطلاع‌رسانی می‌کند و آیا یک مسئول انطباق نام‌گذاری شده دارد؛ همچنین لیست‌های هشدار یا ثبت‌نام نهاد نظارتی محلی را بررسی کنید (لیست واقعی شما از پرچم‌های صرافی‌های جعلی).
  10. «کارشناسان» رسانه‌های اجتماعی، گروه‌های پولی و تأییدیه‌های ساختگیکلاهبرداران اغلب تبلیغات می‌خرند یا گروه‌های تلگرام/دیسکورد را به عنوان تحلیلگر اداره می‌کنند، یک جامعه می‌سازند و سپس قربانیان را به پورتال‌های صرافی جعلی هدایت می‌کنند. نهادهای دولتی توصیه می‌کنند که ادعاها را مستند کرده و چنین فعالیت‌هایی را به IC3 گزارش دهید. تأییدیه‌های ناشناس و تشویق‌های سلبریتی‌ها را به عنوان سرگرمی در نظر بگیرید، نه به عنوان بررسی دقیق.

چگونه یک صرافی را در ۲۰ دقیقه تحقیق کنیم (یک راهنمای کوچک)

منبع: Quickex

تأیید مجوز (۵ دقیقه)

  • بریتانیا: در ثبت‌نام FCA و لیست هشدار جستجو کنید.
  • ایالات متحده (نیویورک): مجوز BitLicense یا مجوز شرکت اعتماد را بررسی کنید؛ راهنمای سیاست فهرست‌بندی DFS را برای استانداردی که باید انتظار داشته باشید، مرور کنید.

تأیید شفافیت (۵ دقیقه)

  • اثبات ذخایر (PoR) با امکان تأیید وجود کاربر در لیست؟ گواهی حسابرس در یک زمان مشخص؟ افشاگری‌های واضح کیف پول؟ محدودیت‌های PoR را درک کنید.

تست امنیت حساب (۳ دقیقه)

  • آیا می‌توانید MFA با کلید سخت‌افزاری (FIDO2) را فعال کنید؟ اگر نه، اعتماد خود را کاهش دهید.

انجام یک برداشت آزمایشی (۵ دقیقه)

  • مقدار کمی واریز کنید؛ آن را به نگهداری شخصی خود برداشت کنید. این فرآیند – و سرعت آن – اثبات‌های واقعی هستند که هرگونه بازاریابی را شکست می‌دهند.

اسکن برای بازاریابی دارای پرچم قرمز (۲ دقیقه)

  • «بازده تضمین‌شده»، «ربات هوش مصنوعی ۳٪ روزانه»، یا پیام‌های مستقیم تهاجمی = از آن دوری کنید.

آیا صرافی شما از این آزمون سربلند بیرون می‌آید؟

  • سبز: دارای مجوز از نهاد نظارتی، PoR عمومی با بررسی وجود کاربر، MFA با کلید سخت‌افزاری، شرایط نگهداری و بیمه مستند، صفحه وضعیت پاسخگو، برداشت آزمایشی روان.
  • زرد: ثبت‌نام در حال بررسی یا در حال انجام؛ PoR جزئی؛ MFA فقط TOTP؛ تأخیرهای گاه‌به‌گاه با ارتباطات صادقانه.
  • قرمز: بدون ردپای نظارتی؛ بدون PoR قابل تأیید؛ MFA فقط SMS؛ «تعمیر و نگهداری» در طول نوسانات؛ بازاریابی بازده تهاجمی؛ حس دامنه جعلی.

منبع: Pinterest

از خود یک سؤال دیگر بپرسید: «آیا صرافی بیت‌کوین امن است؟» هیچ صرافی با برچسب امن نیست؛ امنیت از کنترل‌های قابل تأیید، مقررات و نظم و انضباط خود شما در نگهداری و برداشت‌ها حاصل می‌شود.

توصیه‌های عملی

کارهایی که باید انجام دهید:

  • فقط مانده‌های معاملاتی فعال را آنلاین نگه دارید؛ بقیه را به نگهداری شخصی خود منتقل کنید.
  • MFA مقاوم در برابر فیشینگ (کلیدهای سخت‌افزاری) را فعال کنید.
  • دامنه صحیح را بوکمارک کنید؛ از کلیک بر روی تبلیغات جستجو خودداری کنید.
  • هر واریز/برداشت را مستند کرده و گواهی‌های PoR را برای حساب خود ذخیره کنید.

کارهایی که نباید انجام دهید:

  • ارسال وجوه به پلتفرم‌های موجود در لیست‌های هشدار نهادهای نظارتی.
  • باور کردن هرگونه وعده «بازده بدون ریسک».
  • واریز وجوه قبل از یک برداشت کوچک موفق.
  • هرگز کد یا کلید را با کسی که ادعا می‌کند «پشتیبانی» است به اشتراک نگذارید.

کلام آخر: امنیت یک ویژگی نیست – یک فرآیند است

حتی صرافی‌های برتر نیز بانک نیستند. به همین دلیل متخصصان حساب‌های صرافی را به عنوان نقاط ترانزیت در نظر می‌گیرند: وارد شوید، معامله کنید، خارج شوید. یاد بگیرید که نشانه‌های هشداردهنده را تشخیص دهید – صرافی‌های جعلی، وب‌سایت‌های جعلی و پر زرق و برق، «منتورشیپ»های تحت رهبری اینفلوئنسرها و سایر تله‌هایی که گزارش‌های IC3 را پر می‌کنند – و از رایج‌ترین ضررها جلوگیری خواهید کرد.

اگر به یک کلاهبرداری مشکوک برخورد کردید یا یک وب‌سایت جعلی پیدا کردید، آن را به مرکز تماس ملی جرائم سایبری خود (در ایالات متحده، IC3) و نهاد نظارتی مالی خود گزارش دهید. گزارش عمومی این گونه است که مقامات لیست صرافی‌های جعلی را می‌سازند و آن‌ها را از بین می‌برند.

راهنمای ارزهای دیجیتال
0.0
(0 رتبه‌بندی‌ها)
برای امتیازدهی روی ستاره کلیک کنید

شما ارسال می‌کنید:

شما ارسال می‌کنید:

شبکه

شناور

شما دریافت می‌کنید:

شما دریافت می‌کنید:

شبکه

تبادل