کیف پول سرد چندامضایی چیست؟ بررسی امنیت و چالش‌های Multisig Cold Wallet

دارندگان ارزهای دیجیتال، به‌ویژه هولدرهای بزرگ مانند نهادهای مالی و صرافی‌ها، همواره دنبال امن‌ترین راهکارها برای نگهداری دارایی‌های خود هستند. یکی از این گزینه‌ها، کیف پول سرد چندامضایی (Multisig Cold Wallet) است که با تقسیم مسئولیت بین چندین کلید، امنیت دارایی‌ها را افزایش می‌دهد. اگرچه این روش مانع از دسترسی یک‌باره مهاجمان به سرمایه می‌شود و ریسک خطای انسانی را کاهش می‌دهد؛ اما هک صرافی بای‌بیت در فوریه 2025 نشان داد که حتی پیچیده‌ترین راهکارهای امنیتی هم ممکن است در برابر تهدیدهای خاص مصون نباشند. در این مطلب از میهن بلاکچین ابتدا بررسی می‌کنیم که کیف پول سرد چندامضایی چیست و چطور کار می‌کند و در نهایت راهکارهایی را برای تقویت امنیت کیف پول‌های مولتی سیگ ارائه می‌دهیم.

کیف پول سرد چیست؟

کیف پول ارز دیجیتال (Cryptocurrency Wallt) یک نرم‌افزار یا سخت‌افزار است که با اتصال به بلاکچین‌های مختلف، امکان مدیریت، ارسال، دریافت و نگهداری ارزهای دیجیتال را فراهم می‌کند. یک نوع از این ولت‌ها، کیف پول‌های سرد (Cold Wallet) هستند که فقط در زمان استفاده به اینترنت متصل می‌شوند و به همین دلیل دسترسی هکرها به دارایی‌ها را دشوار می‌کنند. معمولا از کیف پول‌های سرد برای نگهداری اصل سرمایه به‌ویژه برای بلندمدت استفاده می‌شود. نمونه‌هایی از کیف پول‌های سرد عبارتنداز:

• کیف پول‌های سخت‌افزاری مانند لجر (Ledger) و ترزور (Trezor)
• کیف پول‌های کاغذی
• رایانه‌های ایزوله یا ایرگپد (Air-gapped) که هرگز به اینترنت متصل نمی‌شوند.

کیف پول‌های سرد با مدیریت کلیدهای خصوصی به‌صورت آفلاین، خطر حملاتی مانند فیشینگ یا بدافزارها را کاهش می‌دهند. تا اینجا متوجه شدیم که کیف پول سرد چیست و چطور امنیت دارایی‌های دیجیتال را حفظ می‌کند؛ اما فناوری چندامضایی چیست؟

کیف پول سرد چندامضایی (Multisig) چیست؟

فناوری چندامضایی (Multisig) در کیف پول‌های ارز دیجیتال مکانیزمی برای تایید تراکنش است که به بیش از یک کلید خصوصی نیاز دارد. برخلاف کیف پول‌های تک‌امضایی که تنها یک کلید برای امضای تراکنش کافی است، در کیف پول‌های مولتی سیگ باید چندین امضا انجام شود. این روش را می‌توان مانند یک حساب بانکی مشترک در نظر گرفت که برای برداشت وجه، تایید چند نفر ضروری است.

رایج‌ترین مدل‌های چندامضایی عبارتنداز:

• چندامضایی 2 از 3: دو کلید از مجموع سه کلید باید تراکنش را تایید کنند.
• چندامضایی 3 از 5: برای تایید تراکنش سه کلید از مجموع پنج کلید موردنیاز است.
• چندامضایی 5 از 7: پنج کلید از مجموع هفت کلید باید تراکنش را امضا کنند.

این سیستم باعث افزایش امنیت کیف پول می‌شود؛ زیرا حتی در صورت افشای یکی از کلیدها، مهاجم نمی‌تواند وجوه را انتقال دهد.

چه کسانی از کیف پول‌های سرد چندامضایی استفاده می‌کنند؟

باتوجه به اینکه کیف پول‌های مولتی‌سیگ دارای چندین لایه امنیت اضافی هستند، معمولا توسط گروه‌های زیر مورد استفاده قرار می‌گیرند:

• صرافی‌های ارز دیجیتال: برای جلوگیری از کلاهبرداری‌های داخلی و برداشت‌های غیرمجاز
• سرمایه‌گذاران نهادی: صندوق‌های پوشش ریسک و دفاتر خانوادگی که حجم زیادی از دارایی‌ها را مدیریت می‌کنند.
• سازمان‌های مستقل غیرمتمرکز (DAO): گروه‌هایی که سرمایه‌های مشترک را از طریق مکانیزم‌های چندامضایی مدیریت می‌کنند.

کیف پول‌های سرد چندامضایی چطور کار می‌کنند؟

کیف پول‌های سرد چندامضایی برای تایید و انجام یک تراکنش به چندین کلید خصوصی از افراد مورد اعتماد نیاز دارند. این روش باعث افزایش امنیت می‌شود و از بروز مشکلات ناشی از نقطه تکی شکست (Single point of failure) و اختلال کلی سیستم جلوگیری می‌کند.

سازوکار کیف پول‌های سرد چندامضایی

کیف پول‌های سرد مولتی سیگ را می‌توانیم شبیه به صندوق امانات بانکی درنظر بگیریم که باز کردن آن‌ها به دو یا چند کلید نیاز دارد. هیچ فردی به‌تنهایی قادر به دسترسی به محتویات صندوق نیست و چندین شخص مورد اعتماد باید هم‌زمان حضور داشته باشند. در دنیای ارزهای دیجیتال نیز از همین مکانیزم برای امنیت بیشتر دارایی‌ها استفاده می‌شود که نحوه عملکرد آن‌ به شرح زیر است:

1. توزیع کلیدها: مالک کیف پول چندین کلید خصوصی را ایجاد و آن‌ها را بین افراد یا دستگاه‌های مورداعتماد توزیع می‌کند. به‌طور‌ مثال، در یک کیف پول سرد چندامضایی 3 از 5، پنج کلید خصوصی میان نقش‌های مختلف تقسیم می‌شود تا امنیت و کنترل افزایش یابد. به عنوان نمونه:

• کلید 1: مدیرعامل به‌عنوان تصمیم‌گیرنده اصلی
• کلید 2: مدیر مالی برای نظارت بر امور مالی
• کلید 3: مدیر حقوقی جهت رعایت قوانین
• کلید 4: نسخه پشتیبان ذخیره‌شده در یک کیف پول ایرگپد امن و آفلاین
• کلید 5: مدیر امنیت سایبری برای کنترل امنیت سیستم

2. درخواست تراکنش: زمانی‌که شخصی بخواهد وجوه خودش را از کیف پول برداشت کند، ابتدا باید یک درخواست تراکنش ایجاد شود. این درخواست شبیه به چکی است که به چندین امضا نیاز دارد.

3. فرآیند تایید: درخواست برداشت به امضاکنندگان مجاز ارسال می‌شود. در کیف پول 3 از 5، حداقل سه نفر از پنج دارنده کلید باید درخواست را تایید کنند، درست مانند اینکه سه کارمند بانک باید برای بازکردن صندوق امانات حضور داشته باشند. این مکانیزم از انتقال‌های غیرمجاز توسط یک فرد خاص جلوگیری می‌کند. به‌عبارت دیگر، حتی اگر یکی از کلیدها سرقت شود یا اگر یکی از دارندگان کلیدها مرتکب رفتار مخرب شود، بازهم امنیت دارایی‌ها به‌خطر نمی‌افتد.

4. ارسال تراکنش: در نهایت، بعد از جمع‌آوری امضاهای لازم، تراکنش در شبکه بلاکچین منتشر می‌شود و پس از ثبت در دفتر کل، نهایی می‌شود. در‌صورتی‌که تعداد امضاها به حدنصاب نرسد، مشابه چک بدون امضایی که بانک از پرداخت آن امتناع می‌کند، تراکنش هم در بلاکچین انجام نمی‌شود.

کیف پول‌های سرد چندامضایی چطور هک می‌شوند؟

احتمالا حالا سوال شما این است که با وجود امنیت بالا، چرا کیف پول‌های چندامضایی هک می‌شوند و به کرات شاهد سرقت ارزهای دیجیتال بوده‌ایم؟ واقعیت این است که ولت‌های مولتی‌سیگ هم به‌طور صد در صد مصون از خطر نیستند. هکرها معمولا از ضعف‌های موجود در پیاده‌سازی، خطای انسانی یا سرویس‌های شخص ثالث سوءاستفاده می‌کنند. در ادامه چند نمونه را با هم بررسی می‌کنیم تا ببینیم چطور امنیت دارایی در کیف پول‌های سرد چندامضایی به‌خطر می‌افتد:

1. حملات زنجیره تامین

هک صرافی بای بیت در فوریه 2025 نمونه‌ای از حمله زنجیره تامین بود که طی آن هکرها با دستکاری فرآیند امضا حدود 1.5 میلیارد دلار اتریوم را سرقت کردند. مراحل حمله به شرح زیر بوده است:

• صرافی بای بیت از یک کیف پول سرد چندامضایی 3 از 5 استفاده می‌کرد، به این معنا که برای انجام تراکنش، تایید حداقل سه امضا لازم بود.
• مهاجمان به زیرساخت یک ارائه‌دهنده کیف پول شخص ثالث به نام سیف ولت (SafeWallet) نفوذ کردند.
• هکرها با آلوده کردن دستگاه یکی از توسعه‌دهندگان سیف ولت، کدهای مخربی را به فرآیند چندامضایی تزریق کردند.
• در نهایت، تیم امنیتی بای بیت تراکنش‌هایی را تایید کرد که در ظاهر معتبر بودند؛ اما در واقعیت وجوه را به آدرس‌های تحت کنترل هکرها منتقل می‌کرد.

این حمله نشان داد که حتی اگر کلیدهای خصوصی امن باشند، وابستگی به سرویس‌های شخص ثالث ممکن است دارایی‌ها را در معرض خطر قرار دهد. طبق گزارش FBI، این هک یکی از بزرگ‌ترین سرقت‌های تاریخ ارزهای دیجیتال بوده و به گروه‌های هکری کره شمالی نسبت داده شده است.

2. حملات مهندسی اجتماعی

حملات مهندسی اجتماعی ، ترفندی برای بهره‌گیری از روانشناسی انسانی برای فریب و دسترسی به اطلاعات محرمانه افراد اسنت. از آنجایی‌که کیف پول‌های چندامضایی به تایید انسانی دارند، هکرها برای دور زدن لایه‌های امنیت کیف پول، خود افراد را هدف قرار می‌دهند.

به‌عنوان مثال، در سال 2022، مهاجمان با ارسال ایمیل‌های فیشینگ به مدیران رده بالای یک صندوق سرمایه‌گذاری ارز دیجیتال، به دستگاه‌های کاری آن‌ها نفوذ کردند. سپس با استفاده از بدافزار، ورودی‌های کلید خصوصی را ثبت کردند و از آنجایی‌که این کیف پول فقط به 2 امضا از 3 نیاز داشت، موفق به سرقت دارایی‌ها شدند.

3. همدستی افراد داخلی

امنیت کیف پول‌های چندامضایی به اعتبار امضاکنندگان آن وابسته است. اگر در یک کیف پول 2 از 3 یا 3 از 5 یکی از اعضا با هکرها همکاری کند، امکان امضای تراکنش‌های مخرب فراهم می‌شود.

در سال 2019، یکی از مدیران یک صرافی ارز دیجیتال با هکرها تبانی کرد و برداشت غیرمجاز 200 میلیون دلاری را تایید کرد. این اتفاق باعث شد بسیاری از شرکت‌ها به روش‌های امضای غیرمتمرکز روی بیاورند.

4. آسیب‌پذیری‌های قرارداد هوشمند

برخی کیف پول‌های چندامضایی برای اجرای خودکار تراکنش‌ها از قراردادهای هوشمند استفاده می‌کنند. اگر این قرارداد باگ داشته باشد، هکرها می‌توانند از آن سوءاستفاده کنند.

به عنوان مثال، در سال 2017، یک باگ در کیف پول چندامضایی Parity باعث شد هکرها بیش از 150 میلیون دلار اتریوم را مسدود و وجوه را غیرقابل‌دسترسی کنند.

چطور امنیت کیف پول‌های سرد چندامضایی را افزایش دهیم؟

اگرچه کیف پول‌های چندامضایی یکی از بهترین راهکارهای امنیتی هستند، بااین‌حال با رعایت اقدامات زیر می‌توانیم امنیت آن‌ها را تقویت کنیم و ریسک‌های احتمالی را کاهش دهیم:

.custom-box { padding: 15px; border-radius: 8px; margin: 10px 0; font-size: 18px; text-align: center; font-weight: bold;
} /* Box types */
.custom-box.info { background-color: #d9edf7; color: #31708f; border: 1px solid #bce8f1;
} .custom-box.warn { background-color: #fcf8e3; color: #8a6d3b; border: 1px solid #faebcc;
} .custom-box.success { background-color: #dff0d8; color: #3c763d; border: 1px solid #d6e9c6;
} /* Text alignment */
.text-left { text-align: left;
}
.text-center { text-align: center;
}
.text-right { text-align: right;
} /* Link styling */
.custom-box a { display: block; margin-top: 10px; font-size: 18px; color: inherit; text-decoration: underline;
}

• افزایش تعداد امضاهای موردنیاز: استفاده از کیف‌پول‌های سرد چندامضایی 4 از 7 به جای 2 از 3 برای سخت‌تر شدن هک.
• احراز هویت چندلایه‌ای: استفاده از ترکیبی از رمز عبور، حسگرهای بیومتریک و ماژول‌های امنیتی سخت‌افزاری (HSM) برای کنترل دسترسی به کلیدها.
• تقسیم رمز شمیر: در روش تقسیم رمز شمیر (Shamir’s Secret Sharing) کلید خصوصی به چندین بخش تقسیم می‌شود و تنها با ترکیب تعداد مشخصی از آن‌ها، کلید اصلی بازسازی می‌شود.
• دستگاه‌های امضای ایرگپد: استفاده از دستگاه‌های بدون اتصال به اینترنت برای امضای تراکنش‌ها و جلوگیری از هک شدن از راه دور.
• نگهداری کلیدها در مکان‌های مختلف: توزیع جغرافیایی کلیدها یا سپردن آن‌ها به متولیان جداگانه برای جلوگیری از نقطه تکی شکست.
• سیاست چرخش کلیدها: تغییر دوره‌ای امضاکنندگان و تولید مجدد کلیدها برای کاهش احتمال دسترسی‌های غیرمجاز.
• آدیت‌های امنیتی منظم: استخدام کارشناسان مستقل برای بررسی امنیت کیف پول و شناسایی آسیب‌پذیری‌ها.
• امضاکنندگان مستقل: استفاده از شرکت‌های امنیتی یا اشخاص ثالث معتبر به عنوان یکی از امضاکنندگان برای کاهش خطر تبانی داخلی.
• نظارت بر دسترسی: استفاده از سیستم‌های مدیریت لاگ و هشدار برای شناسایی فعالیت‌های مشکوک.
• محاسبات چندجانبه: استفاده از پروتکل‌های رمزنگاری مانند محاسبات چندجانبه (MPC) برای جلوگیری از جمع‌آوری کامل کلیدهای خصوصی.

آیا کیف پول‌های سرد چندامضایی ارزش استفاده دارند؟

در پاسخ به این سوال باید گفت کیف پول‌های سرد چندامضایی سرد یکی از بهترین گزینه‌ها برای حفاظت مقادیر زیاد دارایی‌های دیجیتال در برابر سرقت و کلاهبرداری هستند؛ اما مسئله این است که پیچیدگی‌ها و آسیب‌پذیری‌های احتمالی آن‌ها، به‌ویژه در برابر حملات زنجیره تامین، نباید نادیده گرفته شود.

هک اخیر صرافی بای بیت نشان داد که حتی کیف پول‌های چندامضایی پیچیده نیز ممکن است از طریق این حملات مورد نفوذ قرار گیرند. در این حملات زنجیره تامین، مهاجمان از نقاط ضعف موجود در سیستم‌ها یا سخت‌افزارها برای تولید یا ذخیره کلیدهای خصوصی سوءاستفاده می‌کنند. این اتفاق نشان داد که امنیت کلی اکوسیستم، از حفاظت فیزیکی دستگاه‌ها گرفته تا یکپارچگی فرآیندهای مدیریت کلیدها مهم هستند.

کیف پول‌های چندامضایی با وجود امنیت بالا، بدون ایراد هم نیستند.چالش‌هایی همچون پیچیدگی راه‌اندازی و مدیریت سیستم‌های چندامضایی، خطر از دست دادن کلیدها و آسیب‌پذیری‌های احتمالی در برابر تهدیدهای فیزیکی ممکن است مشکلاتی را به‌ویژه برای کاربران کم‌تجربه به‌وجود بیاورند. همچنین، فرآیند کند تایید تراکنش‌ها در شرایط حساس یک نقطه‌ضعف محسوب می‌شود.

در جدول زیر خلاصه‌ای از مزایا و معایب کیف پول‌های سرد چندامضایی را مشاهده می‌کنید:

جمع‌بندی

کیف پول سرد چندامضایی (Multisig Cold Wallet) یک روش امنیتی پیشرفته برای ذخیره ارزهای دیجیتال به‌صورت آفلاین است که برای تایید تراکنش‌ها به بیش از یک کلید خصوصی نیاز دارد. انتخاب کیف پول چندامضایی به میزان دارایی، توانایی مدیریت کلیدها و میزان آمادگی شما برای پیاده‌سازی زیرساخت‌های امنیتی بستگی دارد. اگر دارایی‌های دیجیتال قابل‌توجهی دارید و می‌توانید با پیچیدگی‌ها کنار بیایید، این نوع کیف پول‌ها سطح بالایی از امنیت را ارائه می‌دهند که ولت‌های معمولی قادر به تامین آن نیستند. اما اگر امکان مدیریت چندین کلید را ندارید یا نمی‌خواهید در زیرساخت‌های امنیتی سرمایه‌گذاری کنید،کیف پول‌های ساده‌تر گزینه‌ مناسب‌تری هستند.

در نهایت، به‌یاد داشته باشید که هیچ راهکار امنیتی کاملا بدون ریسک نیست. هک اخیر صرافی بای بیت نشان داد که امنیت کلی سیستم و شیوه‌های مدیریت کلید به اندازه خود کیف پول اهمیت دارند. برای اثرگذاری واقعی کیف پول‌های چندامضایی، دارندگان کلیدها باید هوشیار باشند، اصول امنیت سایبری را رعایت کنند و به‌طور مداوم تهدیدهای احتمالی را بررسی کنند.

سوالات متداول (FAQ)

منبع: میهن بلاکچین