آیا افزونه مرورگر بدون کلید بایننس امن است؟ بررسی ریسک‌ها و نکات مهم حفاظت از دارایی‌های رمزارزی

بایننس (Binance) نسخه آزمایشی افزونه جدید کیف‌پول مرورگر خود را عرضه کرد. این قابلیت به کاربران امکان می‌دهد دارایی‌های رمزارزی خود را مستقیماً از طریق مرورگر کروم مدیریت و با برنامه‌های غیرمتمرکز (dApps) و سایر ویژگی‌های وب۳ تعامل برقرار کنند.

در این نسخه، فناوری «محاسبات چندطرفه بدون کلید» (keyless multi-party computation) به کار رفته است که نیاز به کلید خصوصی واحد و سنتی را برطرف می‌کند. به جای یک کلید خصوصی بلند و واحد، این فناوری آن را به چند بخش یا «سهام» تقسیم می‌کند که در دستگاه‌ها یا سرورهای مختلف نگهداری می‌شوند. در نتیجه، نقطه واحد نفوذ و دسترسی به کلید حذف می‌شود و امنیت افزایش می‌یابد.

کاربران با اسکن کردن کد QR ارائه‌شده توسط سیستم می‌توانند وارد حساب کاربری خود شوند و این ویژگی بدون کلید را فعال کنند. همچنین، امکان وارد کردن کیف‌پول‌های موجود با استفاده از عبارت بازیابی یا کلید خصوصی نیز فراهم است، که تمامی کیف‌پول‌ها در یک محل جمع‌آوری می‌شوند.

علاوه بر این، این افزونه امکان اتصال به برنامه‌های غیرمتمرکز، مدیریت دارایی‌ها در چند زنجیره مختلف و انجام تراکنش‌های متنوع را فراهم می‌کند. برای اولین بار، کاربران باید پسورد تعریف کنند تا افزونه در مرورگر فعال شود. در حال حاضر، این قابلیت تنها روی مرورگر کروم در دسترس است، اما بایننس اعلام کرده است که پشتیبانی از مرورگرهای دیگر در آینده اضافه خواهد شد.

بر اساس اطلاعیه، نشست‌های کاربری به طور خودکار پس از ۲۴ ساعت عدم فعالیت منقضی می‌شوند و حداکثر مدت زمان لاگین نیز ۴۸ ساعت است. این محدودیت‌ها ممکن است در آینده و پس از تکمیل نسخه آزمایشی تغییر یابند، زیرا بایننس در حال توسعه و بهبود این ویژگی است.

ریسک‌های امنیتی احتمالی افزونه مرورگر بدون کلید بایننس مبتنی بر فناوری MPC

در حالی که فناوری MPC بدون کلید (Keyless MPC) توانسته است با تقسیم کلید خصوصی به سه بخش، خطرات عمده را کاهش دهد، اما این روش در عین حال سطح جدیدی از آسیب‌پذیری‌ها را نیز ایجاد کرده است. عمده این آسیب‌پذیری‌ها مربوط به افزونه‌های مرورگر و روند ورود به حساب کاربری است.

در حال حاضر، هکرها با هوشمندی بیشتری عمل می‌کنند و تلاش می‌کنند راه‌هایی برای نفوذ به کیف پول‌های رمزارزی کاربران بیابند. بسیاری از حملات به صورت کمپین‌های گسترده طراحی شده است که با استفاده از بدافزارهای مخفی در وب‌سایت‌ها و افزونه‌های مرورگر، کاربران را فریب می‌دهند. این حملات عمدتاً با تظاهر به نمایندگی از صرافی‌های معتبر رمزارزی انجام می‌شود.

برای نمونه، بایننس (Binance) یکی از پلتفرم‌هایی است که هکرها از آن به عنوان پوششی برای فریب کاربران استفاده می‌کنند. مهاجمان با ساخت سایت‌های جعلی، کاربران را به سمت ثبت‌نام هدایت می‌کنند و در نهایت، اطلاعات حساب و داده‌های شخصی آن‌ها را سرقت می‌نمایند. در مواردی، کاربران با دانلود افزونه‌های جعلی کروم که ادعا می‌کنند ارائه‌دهنده QR برای ورود است، فریب می‌خورند، در حالی که این ابزارهای مخرب به هدف سرقت اطلاعات طراحی شده‌اند.

یکی دیگر از مسیرهای نفوذ، مربوط به hijack شدن خود افزونه است. اگر این افزونه‌ها مجوزهای گسترده‌ای مانند دسترسی به صفحات وب یا اسکریپت‌های محتوا داشته باشند، حمله‌کنندگان می‌توانند با بروزرسانی مخرب، صفحات را بخوانند، درخواست‌ها را وارد کنند یا کاربر را فریب دهند تا تراکنش‌هایی را تایید کند که در واقعیت، هدف آنها سرقت دارایی است.

در صورتی که سیستم عامل یا مرورگر کاربر به بدافزار آلوده باشد، مهاجمان به راحتی می‌توانند درخواست‌ها را رهگیری کرده و در صورت فعال بودن گزینه ذخیره‌سازی رمز عبور، به عبارت seed کیف پول دسترسی پیدا کنند. همچنین، در صورت وارد کردن کیف پول‌های موجود از طریق افزونه، هکرها ممکن است به تمامی کیف‌پول‌های کاربر در یک محل دسترسی یابند.

برای کاهش این خطرات، کاربران باید اطمینان حاصل کنند که افزونه کروم دانلود شده، نسخه رسمی و تایید شده توسط بایننس است. همچنین، پیش از اسکن QR و وارد کردن آدرس سایت، حتماً صحت منبع و اوریجین آن را بررسی کنند تا از حملات فیشینگ و نصب افزونه‌های مخرب جلوگیری شود.

منبع: کریپتو.نیوز