چرا خودنگهداری همچنان اهمیت دارد: درس‌های سخت از حوادث اخیر صرافی‌ها

کریپتو همواره وعده آزادی داده است، اما هر بار که یک صرافی بزرگ دچار مشکل می‌شود، این وعده به سخت‌ترین شکل ممکن به بوته آزمایش گذاشته می‌شود.

ارقام سال ۲۰۲۵ به تنهایی هشداردهنده هستند. میلیاردها دلار در چند نقض امنیتی ناپدید شدند که یک رویداد آن، بقیه را تحت‌الشعاع قرار داد.

آنچه ما نیاز داریم، وحشت نیست، بلکه دیدگاهی صحیح است. خودحضانتی (Self-custody) یک ایده حاشیه‌ای رادیکال نیست؛ این همچنان واضح‌ترین مرز بین دارایی‌های شما و مشکل شخص دیگری است.

زنگ بیداری ۲۰۲۵

در اوایل سال، بای‌بیت (Bybit)، یکی از بزرگترین بازیگران این صنعت، دچار چیزی شد که بسیاری همچنان آن را بزرگترین سرقت منفرد کریپتو در تاریخ می‌نامند.

هکرها حدود ۱.۵ میلیارد دلار از یک کیف پول سرد به سرقت بردند. جزئیات در ابتدا مبهم بودند؛ بدافزار، تاییدهای به خطر افتاده، و وجوهی که پیش از هر واکنشی به خارج منتقل شدند.

بازیگران مرتبط با کره شمالی به طور گسترده مقصر شناخته شدند. تنها یک حادثه، تقریباً نیمی از ضررهای مرتبط با صرافی در آن سال را تشکیل می‌داد.

ماجرا به همین جا ختم نشد، زیرا فمکس (Phemex) در ژانویه ده‌ها میلیون دلار از کیف پول‌های گرم خود از دست داد و نوبیتکس (Nobitex) ایران در ژوئن در یک حمله با انگیزه سیاسی ۹۰ میلیون دلار متحمل ضرر شد.

بی‌تی‌سی‌ترک (BtcTurk)، کوین‌دی‌سی‌اکس (CoinDCX)، بیگ‌وان (BigONE) و ووو ایکس (WOO X) همگی در طول تابستان مورد حمله قرار گرفتند که هر یک از این نفوذها به موجودی کاربران یا وجوه عملیاتی آسیب زد.

حتی پروتکل‌های غیرمتمرکز مانند سیتوس (Cetus) در شبکه سوئی (Sui) در یک سوءاستفاده واحد ۲۲۳ میلیون دلار را از دست داد. الگو کاملاً مشخص بود: چه هدف متمرکز بود و چه غیرمتمرکز، کنترل بر کلیدهای خصوصی به عنوان تک‌نقطه شکست (single point of failure) عمل می‌کرد.

اینها ضررهای انتزاعی نبودند؛ مردم واقعی ناپدید شدن پس‌اندازهای خود را یک شبه تماشا کردند. برخی از طریق بیمه یا اقدامات خیرخواهانه، وجوه جزئی خود را بازیابی کردند، اما بسیاری این شانس را نداشتند.

این بار پیام به گونه‌ای متفاوت دریافت شد، زیرا هک‌ها بزرگتر، اهداف معتبرتر و بهانه‌ها کمرنگ‌تر بودند.

کلیدهای شما نباشد، کوین‌های شما نیست—همچنان صحیح است

این عبارت از همان روزهای اولیه وجود داشته است، و اکنون تقریباً یک کلیشه است. اما کلیشه‌ها بی‌دلیل به این جایگاه نمی‌رسند.

هنگامی که دارایی‌های خود را در یک صرافی نگه می‌دارید، اساساً در حال صدور یک گواهی بدهی (IOU) به شرکتی هستید که وعده می‌دهد به موجودی شما عمل کند. بیشتر اوقات، آنها این کار را می‌کنند، تا زمانی که دیگر نتوانند.

این را مانند نگهداری طلا در گاوصندوق بانک در مقابل نگهداری آن در گاوصندوق خانگی در نظر بگیرید؛ بانک راحتی، بیمه‌نامه و آلارم‌های فانتزی ارائه می‌دهد، با این حال وقتی گاوصندوق مورد نفوذ قرار می‌گیرد، هر سپرده‌گذاری درد آن را حس می‌کند.

خودحضانتی ورق را برمی‌گرداند، جایی که استفاده از کیف پول خودحضانتی برای نگهداری کلیدهای خصوصی شما به معنای مسئولیت‌پذیری و در نهایت کنترل شماست.

هیچ واسطه‌ای نمی‌تواند آنچه را که تنها شما در اختیار دارید، مسدود کند، توقیف کند یا به طور تصادفی از دست بدهد.

البته، این آزادی با مسئولیت‌هایی همراه است، زیرا عبارات بازیابی (seed phrases) باید مانند میراث خانوادگی محافظت شوند، و کیف پول‌های سخت‌افزاری نیاز به راه‌اندازی دقیق دارند.

اشتباهات در اینجا دائمی هستند، اما با این حال، وقتی میلیاردها دلار از پلتفرم‌های به ظاهر امن ناپدید می‌شوند، این مبادله منصفانه به نظر می‌رسد.

آنچه نفوذهای امنیتی واقعاً آشکار کردند

بیشتر حوادث سال ۲۰۲۵ یک رشته مشترک داشتند: به خطر افتادن عملیاتی به جای باگ‌های قرارداد هوشمند پر زرق و برق.

افراد خودی (داخلی)، کمپین‌های فیشینگ، کلیدهای API دزدیده شده و بدافزارهایی که سیستم‌ها را فریب می‌دادند تا برداشت‌های عظیم را تایید کنند. نقض کیف پول سرد بای‌بیت نشان داد که حتی ذخیره‌سازی آفلاین نیز تنها به اندازه فرآیندهای محافظت‌کننده از آن امن است.

کیف پول‌های گرم (hot wallets)، بخش‌های کوچکتر که برای نقدینگی روزانه آنلاین نگهداری می‌شوند، به ویژه آسیب‌پذیر بودند. چندین صرافی ده‌ها میلیون دلار از دست دادند دقیقاً به این دلیل که این کیف پول‌های عملیاتی به اندازه‌ای وجوه نگه می‌داشتند که ارزش هدف قرار گرفتن را داشته باشند؛ در همین حال، آموزش کاربران عقب مانده بود.

بسیاری از قربانیان احراز هویت دو مرحله‌ای را فعال کرده بودند، اما همچنان قربانی حملات مهندسی اجتماعی پیچیده‌ای شدند که آن را دور می‌زدند.

عنصر انسانی همچنان ما را شگفت‌زده می‌کند. هیچ میزان رمزنگاری نمی‌تواند کسی را از کلیک کردن روی لینک اشتباه یا اعتماد به پیام پشتیبانی نادرست بازدارد.

و هنگامی که کلیدها به خطر بیفتند، سرعت همه چیز است. وجوه در عرض چند ثانیه در سراسر بلاک‌چین‌ها منتقل می‌شوند، از طریق میکسرها (mixers) یا مبادلات فوری (instant swaps) پولشویی می‌شوند قبل از اینکه کسی بتواند آنها را مسدود کند.

یافتن تعادل، نه همه یا هیچ

خودحضانتی به معنای به طور کامل از صرافی‌ها روی برگرداندن نیست، زیرا این امر برای ترید، نقدینگی یا حتی مسیرهای ورودی ساده (on-ramps) غیرعملی خواهد بود. انتقال به کیف پول‌های خودحضانتی می‌تواند برای شما مفید باشد زمانی که قصد معامله ندارید.

مسیر هوشمندانه‌تر هیبریدی (ترکیبی) است. آنچه را برای فعالیت روزانه نیاز دارید در یک پلتفرم معتبر نگه دارید و بخش عمده، یعنی دارایی‌های بلندمدت خود را به ذخیره‌سازی سرد منتقل کنید.

پلتفرم‌هایی مانند ال‌بانک (LBank) این تعادل را به خوبی نشان می‌دهند؛ آنها اقدامات امنیتی قوی را حفظ می‌کنند، از جمله ذخیره‌سازی سرد قابل توجه برای وجوه کاربران و ویژگی‌های حفاظتی استاندارد مانند لیست سفید برداشت (withdrawal whitelists) و کدهای ضد فیشینگ.

کوچک شروع کنید، یک مبلغ آزمایشی را به کیف پول سخت‌افزاری منتقل کنید، بازیابی را تمرین کنید و تنظیمات چندامضایی (multisig) را بیاموزید اگر دارایی‌های شما توجیه کننده لایه اضافی باشد.

ابزارها به طرز چشمگیری بهبود یافته‌اند، و آنچه زمانی ترسناک به نظر می‌رسید اکنون با رابط‌های کاربری واضح در جیب شما جای می‌گیرد.

با نگاهی روشن‌تر به آینده

صنعت به تکامل خود ادامه خواهد داد، رگولاتورها استانداردهای بهتری را طلب خواهند کرد و صرافی‌ها پول زیادی را صرف حسابرسی و صندوق‌های بیمه خواهند کرد. هیچ یک از اینها خطر اصلی اعتماد به اشخاص ثالث با کلیدهای شما را از بین نمی‌برد.

خودحضانتی به معنای بی‌اعتمادی به هر پلتفرم نیست، بلکه به معنای بلوغ است. این به معنای درک این است که حاکمیت مالی واقعی کمی تلاش می‌طلبد.

حوادث اخیر کریپتو را نشکست، بلکه به ما یادآوری کردند که چرا اصلاً وارد این فضا شدیم: برای خارج شدن از سیستم‌هایی که می‌توانند بدون هشدار از کار بیفتند.

دفعه بعد که تیترهای مربوط به نقض امنیتی دیگری را دیدید، قبل از فروکش کردن خشم مکث کنید. از خود بپرسید دارایی‌های شما واقعاً کجا قرار دارند، پاسخ ممکن است مهمتر از آن چیزی باشد که نمودار قیمت نشان می‌دهد.

در دنیایی از هک‌های رو به رشد و تهدیدات پیچیده، نگهداری کلیدهای خودتان پارانویا نیست. احتیاط است، و در کریپتو، احتیاط همچنان بهترین بازدهی را دارد.