کیف پول های سرد مالتی‌سیگ(چند امضایی) تا چه حد ایمن هستند

کیف پول های سرد مالتی‌سیگ یا چند امضایی اغلب یکی از امن ترین روش ها برای ذخیره دارایی های دیجیتال در نظر گرفته می شوند و یک لایه امنیتی اضافی در برابر سرقت را فراهم می کنند. با این حال، هک صرافی بای‌بیت و سرقت 1.5 میلیارد دلار از آن نشان داد که این اقدامات امنیتی پیشرفته نیز بدون خطا نیستند.
آنچه باید در مورد کیف پول مالتی‌سیگ (چند امضایی) بدانید

کیف پول سرد چیست؟

کیف پول سرد روشی برای ذخیره ارزهای رمزنگاری است که آفلاین می ماند و به اینترنت متصل نیست. این ویژگی ها باعث سخت تر شدن دسترسی از راه دور هکرها به دارایی های کاربر می شوند. کیف پول های سخت افزاری (مانند لجر و ترزور)، کیف پول های کاغذی و کامپیوترهای ایزوله (ضد نفوذ یا Air-gapped)  از نمونه های کیف پول سرد هستند. Air-gapped اصطلاحی فنی است و به دستگاهی (معمولا کامپیوتر) اطلاق می شود که هیچ ارتباطی با شبکه، اینترنت یا دستگاه دیگر نداشته باشد.
کیف پول سرد چیست؟ بهترین کیف پول های سرد کدامند؟

کیف پول های سرد با آفلاین نگه داشتن کلیدهای خصوصی، خطر حملات آنلاین (مانند فیشینگ یا بدافزار) را کاهش می دهند.
کلید خصوصی(Private Key) چیست؟

مالتی سیگ یا چند امضایی چیست؟

مالتی‌سیگ ترکیبی از چند امضای منحصر به فرد است. این نوع امضای دیجیتال به دو یا چند نفر کمک می کند تا یک تراکنش را امضا کنند. از این امضا معمولا برای تقسیم مسئولیت و جلوگیری از ریسک افراد کلیدی در خصوص دارایی ها استفاده می شود. 

چند امضایی مفهوم جدیدی در بازار ارز رمزنگاری نیست. از این ایده نیز در سیستم بانکداری سنتی برای امنیت وجوه مشتریان استفاده می شود. یک صندوق امانت بانکی را تصور کنید که در آن کارمند بانک یک کلید برای صندوق دارد و مشتری کلید دیگر را نگه می دارد. قفل این صندوق در صورتی باز می شود که از هر دو کلید استفاده شود.

اکنون می توان فهمید که کیف پول های مالتی‌سیگ چگونه کار می کنند. تنها تفاوت این کیف پول ها با بانک این است که بانکدار برای باز کردن صندوق به بیش از یک کلید نیاز دارد و کلیدها فیزیکی هستند. اما کلیدها در کیف پول های مالتی‌سیگ، دیجیتالی هستند که در آن به چندین امضای دیجیتال برای مجاز کردن تراکنش بیت کوین لازم است.
بیت کوین چیست؟ آموزش کامل بیت کوین

شبکه بیت کوین همچنین امکان انجام تراکنش های پیچیده تر را فراهم می کند که قبل از انتقال کوین ها به امضای چند نفر نیاز دارد. اینها تراکنش های مالتی‌سیگ هستند که به آنها تراکنش های “M از N” نیز می گویند. در این نوع تراکنش M نشان دهنده تعداد امضای مورد نیاز و N تعداد کل امضاها در تراکنش است.

کاربری که کیف مالتی‌سیگ را راه اندازی می کند، تعداد کل کلیدها و تعداد امضاهای مورد نیاز برای انتقال کوین ها را تعیین می کند. ترکیبات متعددی وجود دارند: ا از 2، 2 از 2، 3 از 5، 3 از 6، 5 از 7، 5 از 8 و غیره. 

رایج ترین ترکیب مالتی‌سیگ 2 از 3 است که در آن برای انتقال ارز از کیف پول، حداقل به دو کلید از سه کلید نیاز است. اکثر صرافی ها و سرویس های خدمات امانی برای ایمن کردن کیف پول های سرد و گرم خود از فرمت 3 از 4 و 3 از 5 استفاده می کنند.

چه کسانی از کیف پول سرد مالتی‌سیگ استفاده می کنند؟

صرافی های متمرکز برای جلوگیری از کلاهبرداری توسط کارمندان خود و برداشت های غیرمجاز، از کیف پول های سرد مالتی‌سیگ استفاده می کنند.

نهادهای سرمایه گذاری: صندوق های سرمایه گذاری تامینی و تشکیلات خانوادگی که مقادیر زیادی ارز رمزنگاری را نگهداری می کنند.

سازمان های مستقل غیرمتمرکز (دائو): گروهی که سرمایه های مشترک را از طریق قابلیت مالتی‌سیگ مدیریت می کنند.

نحوه کار کیف پول های سرد مالتی‌سیگ

کیف پول های سرد مالتی‌سیگ برای مجاز کردن و تایید تراکنش به چند کلید خصوصی از اشخاص مورد اعتماد نیاز دارند و با جلوگیری از نقطه آسیب پذیری مرکزی، امنیت را افزایش می دهند.

برای درک نحوه عملکرد کیف پول های سرد مالتی‌سیگ، صندوق امانت در بانک را تصور کنید که برای باز کردن آن به دو یا چند کلید نیاز است. هیچ شخصی به تنهایی نمی تواند به محتویات صندوق دسترسی داشته باشد. چندین شخص مورد اعتماد باید برای باز کردن آن حضور داشته باشند.

کیف پول های سرد مالتی‌سیگ نیز همین شیوه را برای دارایی های دیجیتال به کار می برند و با الزام امضای تراکنش با چندین کلید خصوصی، یک لایه امنیتی اضافی برای دارایی های داخل کیف پول ایجاد می کند.

در ادامه نحوه عملکرد کیف پول سرد مالتی‌سیگ شرح داده شده است:

تقسیم کلید خصوصی

صاحب کیف پول چندین کلید خصوصی تولید می کند و آنها را بین اشخاص یا دستگاه های مورد اعتماد تقسیم می کند. برای مثال، در کیف پول دارای ترکیب 3 از 5، کلیدها را می توان بین افراد مختلف تقسیم کرد تا امنیت و مسئولیت پذیری افزایش یابد. برای مثال، کلید اول می تواند به مدیرعامل (تصمیم گیرنده اصلی) اختصاص داده شود، در حالی که کلید دوم برای نظارت مالی به مدیر ارشد مالی داده می شود. مدیر ارشد حقوقی کلید سوم را برای اطمینان از انطباق با قوانین نزد خود نگه می دارد. نقش کلید چهارم پشتیبان آفلاین است که در مکانی امن و ایزوله نگه داشته می شود. در نهایت، کلید پنجم به مدیر ارشد امنیتی (مسئول پروتکل های امنیت سایبری) داده می شود.

درخواست تراکنش

اگر شخصی بخواهد وجوه را از کیف پول برداشت کند، ابتدا باید یک پیشنهاد تراکنش ارائه کند. مانند پر کردن چکی که قبل از پردازش به چندین امضا نیاز دارد.

فرایند تصویب پیشنهاد

پیشنهاد تراکنش سپس برای امضاکنندگان مجاز ارسال می شود. در ترکیب 3 از 5، حداقل سه نفر از پنج دارنده کلید باید درخواست را تایید کنند. این کار از انجام نقل و انتقالات غیرمجاز توسط یک شخص جلوگیری می کند، حتی اگر یک دارنده کلید هک شود یا سوء نیت داشته باشد.

ارسال تراکنش

هنگامی که تعداد افراد مورد نیاز تراکنش را امضا کردند، تراکنش به شبکه بلاک چین ارسال می شود. تنها پس از آن تراکنش نهایی شده و در دفتر کل ثبت می شود. اگر تعداد امضاها به حد نصاب نرسد، تراکنش ناقص باقی می ماند. درست مانند بانکی که از پردازش چک بدون امضای لازم امتناع می کند.

هکرها چگونه کیف پول های سرد را هک می کنند؟

کیف پول های مالتی‌سیگ با وجود مزیت امنیت بالا، از حملات هکرها مصون نیستند. هکرها می توانند از نقاط ضعف در راه اندازی نرم افزار، تعاملات انسانی یا خدمات شخص ثالث سوء استفاده می کنند.

در ادامه چند نمونه هک برای درک بهتر نحوه حمله هکرها به کیف پول های مالتی‌سیگ آمده است:

1. حملات زنجیره تامین (هک صرافی بای بیت در سال 2025)

هکرها در فوریه 2025 به فرایند امضای مالتی‌سیگ کیف پول صرافی بای‌بیت دسترسی غیرمجاز پیدا کردند و موفق شدند 1.5 میلیارد دلار از دارایی های این صرافی را سرقت کنند.

اما این حمله چگونه رخ داد:

صرافی بای‌بیت از کیف پول سرد مالتی‌سیگ با ترکیب 3 از 5 استفاده کرده بود؛ به این معنی که برای انتقال وجوه به سه امضا نیاز داشت.

هکرها به زیر ساخت یک ارائه دهنده کیف پول شخص ثالث (یعنی سیف‌والت) نفوذ کردند.

آنها به دستگاه یک توسعه دهنده در سیف‌والت دسترسی پیدا کردند و کد مخربی را در آن وارد کردند که فرایند چندامضایی را تغییر داد.

تیم امنیتی صرافی بای‌بیت تراکنش هایی را تایید کرد که صحیح به نظر می رسند، اما در واقع وجوه به آدرس های تحت کنترل هکرها منتقل شدند.

این حمله ریسک اتکا به ارائه دهندگان شخص ثالث برای امنیت کیف پول را برجسته کرد. حتی اگر کلیدهای خصوصی امن باشند، دسترسی غیرمجاز هکرها به یک سرویس می تواند وجوه را در معرض سرقت قرار دهد.

2. حملات مهندسی اجتماعی

کیف پول های مالتی‌سیگ نیاز به تایید انسان دارند و هکرها می توانند افراد را فریب دهند تا اطلاعات شخصی خود را فاش کنند. حمله مهندسی اجتماعی در واقع نوعی حمله به کاربر یا تکنیکی برای فریب کاربر است که از ترفندهای روانشناختی انسان و روابط اجتماعی وی استفاده می کند. هدف از این حمله دسترسی به سیستم ها و سرقت اطلاعات شخصی و مالی است.

برای مثال، هکرها در سال 2022 با استفاده از ایمیل های فیشینگ، کارمندان رده بالای یک صندوق ارز رمزنگاری را هدف قرار دادند. هنگامی که هکرها به دستگاه های کاری این کارمندان دسترسی پیدا کردند، از بدافزار برای ضبط داده های کلید خصوصی استفاده کردند. از آنجایی که کیف پول مالتی‌سیگ این صندوق به تایید 2 از 3 نیاز داشت، هکرها سیستم امنیتی را دور زدند.

3. کارمندان دارای دسترسی محرمانه و تبانی آنها با هکرها

امنیت کیف پول مالتی‌سیگ به دارندگان حق امضای آن بستگی دارد. اگر یک کارمند شیاد یکی از امضا کنندگان ترکیب 2 از 3 یا 3 از 5 باشد، ممکن است با هکرها برای امضای تراکنش های جعلی تبانی کند.

برای مثال، مدیر یک صرافی ارز رمزنگاری در سال 2019 با مهاجمان همکاری کرد تا تراکنش برداشت غیرمجاز 200 میلیون دلاری را تایید کند. این هک منجر به چرخش به سمت روش های غیرمتمرکز تر شد.

4. آسیب پذیری های قرارداد هوشمند

برخی از کیف پول های مالتی‌سیگ از قراردادهای هوشمند برای خودکارسازی تراکنش ها استفاده می کنند. اما اگر قرارداد هوشمند حاوی یک باگ کدگذاری باشد، هکرها می توانند از آن به نفع خود استفاده کنند.
قرارداد هوشمند چیست؟

برای مثال، باگ کیف پول مالتی‌سیگ پریتی (Parity) در سال 2017 به هکرها این امکان را داد تا بیش از 150 میلیون دلار اتریوم را مسدود کرده و آنها را غیرقابل دسترس کنند.

چگونه می توان کیف پول های سرد مالتی‌سیگ را ایمن تر کرد؟

برای ایمن تر کردن کیف پول های سرد مالتی‌سیگ، از ترکیب امضای بالاتری استفاده کنید، احراز هویت چند لایه را اجرا کنید و کلیدها را در مکان های امن و جدا از هم ذخیره کنید.

همانطور که در بالا گفته شد، کیف پول سرد مالتی‌سیگ امنیت بالایی دارد، اما باید اقدامات احتیاطی بیشتری را برای به حداقل رساندن ریسک ها انجام داد که در ادامه به برخی از آنها اشاره خواهیم کرد:

افزایش ترکیب تعداد امضا ها (برای مثال به جای ترکیب 2 از 3 از ترکیب 4 از 7 استفاده کنید): افزایش تعداد امضاهای مورد نیاز برای تایید تراکنش، دسترسی غیرمجاز هکر به کلیدهای خصوصی را سخت تر می کند.

1. اجرای احراز هویت چند لایه: رمزهای عبور، بیومتریک (مانند اثر انگشت) و ماژول های امنیتی سخت افزاری (HSM) را برای دسترسی به کلید ترکیب کنید.

2. الگوریتم “Shamir’s Secret Sharing” یا تسهیم راز شمیر: کلیدهای خصوصی را به چند بخش تقسیم کنید که برای استفاده از کلید اصلی باید بازسازی شوند.

نکته: الگوریتم “Shamir’s Secret Sharing “یک روش رمزنگاری برای تقسیم یک راز (مانند کدهای امنیتی یا اطلاعات بیومتریک) به چندین بخش است. این روش تضمین می‌کند که تنها با جمع‌آوری تعداد مشخصی از این بخش‌ها می‌توان راز اصلی را بازسازی کرد.

3.دستگاه های ایزوله یا آفلاین: از دستگاه های آفلاین برای امضای تراکنش ها استفاده کنید. از آنجایی که این دستگاه ها به اینترنت متصل نیستند، هکرها نمی توانند از راه دور به آنها نفوذ کنند.

4. ذخیره کلیدها در مکان های مختلف: کلیدها را در مکان های مختلف ذخیره کنید یا بین متصدیان مختلف توزیع کنید تا از دسترسی هکرها به آنها جلوگیری کنید.

5. خط مشی چرخش کلید: به طور مرتب متصدیان کلیدها را تغییر دهید و کلیدها را دوباره تولید کنید تا احتمال دسترسی غیرمجاز هکرها کاهش یابد.

6. بررسی های امنیتی منظم: برای بررسی تنظیمات و امنیت کیف پول و شناسایی نقاط آسیب پذیر، کارشناسان شخص ثالث را استخدام کنید.

7. امضاکنندگان مستقل: یکی از امضاکنندگان را از بین شرکت‌های امنیتی مستقل یا اشخاص ثالث قابل اعتماد انتخاب کنید تا از تبانی کارمند دارای دسترسی محرمانه جلوگیری کنید.

8. دسترسی به گزارش ها و هشدارها: از سیستم های ثبت گزارش برای نظارت بر استفاده از کلید و دریافت هشدار برای فعالیت های مشکوک استفاده کنید.

9. محاسبات چند جانبه (MPC): از پروتکل های رمزنگاری استفاده کنید که در آن کلیدهای خصوصی هرگز به طور کامل ایجاد نمی شوند و یک لایه امنیتی بیشتر اضافه می کنند.

آیا کیف پول های سرد مالتی‌سیگ هنوز ارزش استفاده دارند؟

کیف پول سرد مالتی‌سیگ هنوز هم یکی از بهترین گزینه های ایمن برای کسانی است که به دنبال محافظت از دارایی های ارز رمزنگاری خود در برابر سرقت و کلاهبرداری هستند. اما پیچیدگی و احتمال آسیب پذیری آنها (به وِیژه در مورد حملات زنجیره تامین) را نباید نادیده گرفت.

هک صرافی بای‌بیت در فوریه 2025 یک هشدار بود. هکرها می توانند حتی کیف پول های سرد مالتی‌سیگ پیشرفته را از طریق حملات زنجیره تامین هک کنند. در این نوع حمله، هکرها از نقاط آسیب پذیر در سیستم ها یا سخت افزار مورد استفاده برای تولید یا ذخیره کلیدهای خصوصی سوء استفاده کند.

این حمله نشان داد که نباید صرفا به تنظیمات فنی کیف پول های مالتی‌سیگ متکی بود. بلکه باید به امنیت کل سیستم های دخیل  (از جمله امنیت فیزیکی دستگاه ها و بی نقص بودن فرایندهای مدیریت کلید) توجه کرد.

در حالی که کیف پول های سرد مالتی‌سیگ امنیت بالایی دارند، آنها با مجموعه ای از چالش ها نیز همراه هستند. پیچیدگی راه اندازی و مدیریت یک سیستم مالتی سیگ، خطر از دست دادن کلیدها و نقاط آسیب پذیری احتمالی در برابر حملات می تواند مشکلاتی را به ویژه برای کاربران کم تجربه ایجاد کند. علاوه بر این، روند بسیار کند تایید تراکنش می تواند در مواقع حساس به زمان موجب نارضایتی کاربر شود.

در نهایت، تصمیم گیری در مورد این که آیا کیف پول های سرد مالتی‌سیگ گزینه مناسبی برای امنیت دارایی های دیجیتال شما هستند یا خیر، به بهبود مزایای آنها در برابر محدودیت هایشان بستگی دارد. اگر در حال مدیریت دارایی های ارز رمزنگاری زیادی هستید، کیف پول های مالت‌ سیگ سطح بالایی از امنیت را ارائه می دهند و می توانید از آنها برای این کار استفاده کنید. از سوی دیگر، اگر آمادگی سرمایه گذاری در زیرساخت های لازم را ندارید یا نمی توانید چندین کلید را به طور امن مدیریت کنید، کیف پول های ساده تر ممکن است برای شما مناسب تر باشند.

همچنین به خاطر داشته باشید که هیچ اقدام امنیتی کاملا بدون ریسک نیست. همانطور که در هک های اخیر مشاهده شد، چشم انداز امنیتی جامع تر نقش مهمی در محافظت از دارایی های شما ایفا می کند. برای این که کیف پول های سرد مالتی‌سیگ واقعا مثمر ثمر باشند، دارندگان کلید باید مراقب باشند، شیوه های امنیتی سایبری قوی را به کار گیرند و به طور منظم ریسک های احتمالی را ارزیابی کنند.