کلیدهایی که نباید جایی دیده شوند؛ جدال بر سر معماری نهاد امین

به‌گزارش پیوست، یکی از حساس‌ترین موضوعات مرتبط با مفهوم «نهاد امین» مسئولیت‌پذیری این نهاد در صورت هک، تحریم یا ورشکستگی است. امیرحسین مردانی، هم‌بنیان‌گذار و رئیس هیات‌مدیره بیت‌پین در این باره به استانداردهای جهانی اشاره کرد که طبق این استانداردها نهاد امین مسئول مستقیم حفظ دارایی کاربران و در هر یک از شرایط نام‌برده متعهد به جبران خسارت و پاسخگویی حقوقی است.

او در ادامه به این نکته تاکید کرد که در ایران به دلیل نبود قانون جامع برای امانت‌داری دارایی دیجیتال، حدود مسئولیت صرافی، نهاد امین و کابر شفاف نیست. این خلا قانونی باعث می‌شود در سناریو بحرانی، تعیین مسئولیت دشوار و روند رسیدگی مبهم شود.

حامد صالحی، پژوهشگر حوزه رمزارز در پاسخ به این سوال به سند منتشر شده از سمت بانک مرکزی اشاره کرد و گفت: طبق پیش‌نویس ضوابط، ماده ۲۸ و ۳۳ و مقدمه سند سیاست‌گذاری، «هیچ‌کس» مسئولیتی در این خصوص ندارد. بانک مرکزی در تمامی این اسناد، با ادبیاتی هوشمندانه خود را از هرگونه مسئولیت مبری کرده و صراحتا اعلام می‌کند که ریسک با کاربر است. مدیران شرکت هم طبق قانون تجارت نهایتا اعلام ورشکستگی می‌کنند.

صالحی در رابطه با این موضوع به دو خلاء قانونی بزرگ نبود «بیمه اتکایی بین‌المللی» و «صندوق تضمین جبران خسارت» واقعی اشاره کرد. او همچنین تعریف نشدن جرم‌انگارانه برای «سهل‌انگاری امنیتی» را از دیگر خلاء‌های مرتبط برشمرد.

عرفان میری، کارشناس حوزه کریپتو معتقد است نهاد امین مشخصاً به‌وجود آمده تا از دارایی کاربران نگهداری کند از همین رو اگر هک شود باید ضمانت خود را انجام دهد چون این اصلی‌ترین وظیفه این نهاد است. از نظر او در صورت متوجه شدن چالش‌های ناشی از تحریم‌ها باز هم نهاد امین باید مسئولیت‌پذیر و پاسخگو باشد مگر آنکه نهاد بالادستی مواردی را برای نهاد امین تامین یا ریسک‌ها را کم کند. او علت این رویکرد را چنین توضیح داد: نهاد امین در شرایط بروز هک یا تبعات ناشی از تحریم باید پاسخگو باشد، نمی‌شود که مزیت‌های یک نهاد را برداشت و ریسک‌های آن را به بازیگران دیگر داد. درباره ورشکستگی هم باید گفت که کارکرد این نهاد، نگهداری از دارایی است و نباید با دارایی تحت اختیار کار دیگری انجام دهند.

به گفته او با نگاهی به ساختار پیشنهاد داده شده از سمت بانک مرکزی، صرافی‌ها تضامنی هستند و کماکان کل ریسک متوجه آنهاست و مزیت خاصی شاملشان نمی‌شود.

یک لحظه برای سقوط

از منظر مردانی، هم‌بنیان‌گذار و رئیس هیات‌مدیره بیت‌پین، استانداردسازی امنیت و نگهداری دارایی‌ها مزیت اصلی سپردن دارایی کاربران به یک نهاد امین متمرکز است. او معتقدست که یک نهاد امین متمرکز می‌تواند سطح امنیتی ذخیره‌سازی را برای تمام صرافی‌ها یکنواخت و حرفه‌ای کند و همچنین در کاهش ریسک‌های عملیاتی ناشی از تفاوت‌ سطح فنی بازیگران موثر باشد.

از دیدگاه صالحی، پژوهشگر حوزه رمزارز تنها مزیت ظاهری برای صرافی‌ها «شانه خالی کردن از بار مسئولیت» است. در این حالت صرافی‌ها (کارگزاران) دیگر نگران نگهداری کیف‌پول‌های سرد و گرم نیستند و هزینه‌های امنیت را برون‌سپاری می‌کنند.

صالحی معتقدست بزرگ‌ترین نگرانی، خلق «تک‌نقطه شکست» است. او در این باره توضیح داد: بزرگ‌ترین نگرانی خلق «تک‌نقطه شکست» یا Single Point of Failure است. بزرگترین کابوس یک صرافی، «ریسک نقدینگی» ناشی از ناکارآمدی نهاد امین است. بازار کریپتو ۲۴/۷ و پرنوسان است. اگر نهاد امین (که احتمالاً با بروکراسی اداری و رفتاری مانند کارمندان دولتی اداره می‌شود) در لحظه بحران یا نوسان شدید، خروجی‌ها را به بهانه «به‌روزرسانی امنیتی» یا «دستور قضایی» ببندد، صرافی نابود می‌شود.

مردانی نیز ایجاد «نقطه شکست واحد» را بزرگ‌ترین نگرانی همین ماجرا عنوان کرد. او در این باره توضیح داد: اگر این نهاد دچار اختلال، هک، سوءمدیریت یا تحریم شود،‌کل اکوسیستم تحت تاثیر قرار می‌گیرد و ریسک سیستمی ایجاد می‌شود. در مدل فعلی، اگر یک صرافی دچار حادثه شود بازار همچنان پابرجاست اما در مدل متمرکز کل بازار آسیب‌پذیر می‌شود.

صالحی، پژوهشگر حوزه رمزارز همچنین اشاره کرد که بحث «رانت اطلاعاتی و فرانت‌رانینگ» نگرانی پنهان‌تر است. نهاد امینی که می‌داند فلان صرافی چه حجمی از دارایی را می‌خواهد جابه‌جا کند، می‌تواند علیه موقعیت‌‌های کاربران صرافی، بازی کند. همچنین، صرافی‌ها می‌دانند که تجمیع دارایی در یک نهاد، یعنی ساختن بزرگ‌ترین «هانی‌پات» برای هکرها و نفوذی‌هاست.

تمرکز نهاد غیرمتمرکز

طراحی یک نهاد امین با نگاهی به تجربه‌های جهانی مستلزم استانداردسازی و منطبق کردن آن براساس شرایط و ساختار اداری و حقوقی کشور است. به‌عبارتی نگاه صرف یا پیاده‌سازی عینا یک مدل مسیر موفقیت‌آمیزی برای یک نهاد امین به‌شمار نمی‌آید. میری، کارشناس حوزه کرپیتو گفت که در طراحی نهاد امین باید در نظر داشت که آن حالت‌های متداول و استاندارد بین‌المللی برای اثبات ذخیره و داخل پرانتز (PoR)در ایران نتیجه‌بخش نخواهد بود. همچنین متاثر از تحریم‌ها صرافی‌ها نمی‌توانند به‌ راحتی تمامی آدرس‌ها را منتشر کنند و بنابراین باید تفاوت‌های اصلی در انتشار این دارایی‌ها و نوع گزارش‌های رمزنگاری شده لحاظ شود.

میری پیرو این موضوع افزود: اگر نشتی اطلاعاتی از سمت نهاد ناظر به وجود بیاد که باعث نشود که این دارایی‌ها هک شود حتما باید به تفاوت شرایط ایران و شرایط بین‌الملل و مدل‌های استاندارد توجه شود.

از نظر صالحی، پژوهشگر حوزه رمزارز ملاحظات متعدد و مفصلی درخصوص طراحی نهاد امین وجود دارد اما مهم‌ترین آنها این است که یک نهاد امین نباید به‌مانند «استخر واحد» باشد. یعنی اینکه نهاد امین باید از معماری‌های Non-Custodial یا از تکنولوژی MPC  استفاده شود که کلیدها خُرد شده و هیچ‌گاه در یک سرور واحد تجمیع نشوند. او همچنین اشاره کرد که نهاد امین نباید از آدرس‌های ثابت و قابل شناسایی استفاده کند. همچنین نهاد امین به‌هیچ وجه نباید استیبل‌کوین‌های متمرکز مانند USDT و USDC را در کیف‌پول‌های تجمیعی نگهداری کند. چون این خودکشی اقتصادی و امنیتی است.

از دیدگاه مردانی، رئیس‌ هیات‌مدیره بیت‌پین استقلال کامل فناوری و زیرساخت، معماری غیرمتمرکز در تولید و نگهداری کلید خصوصی و استقلال زیرساخت میزبانی، پایداری نهاد امین را در فضای تحریمی ایران تضمین می‌کند.

کلیدهای همیشه خصوصی

معماری و طراحی نهاد امین مشمول الزامات، بایدها و نبایدهایی است که قوت و شدت هر یک می‌تواند در جلب و سرد شدن اعتماد کاربران تاثیر به‌سزایی دارد. مردانی، رئیس‌ هیات‌مدیره بیت‌پین حذف کامل Single Point Of Failure در کلیدها و دسترسی‌ها، کنترل دسترسی چندلایه و ممیزی امنیتی مداوم، بیمه‌گذاری دارایی‌ها را ملزومات امنیت سایبری و معماری کیف‌پول نهاد امین خواند.

از نظر او نهاد امین باید از معماری‌هایی استفاد کند که در آن هیچ کلید خصوصی به‌صورت کامل در اختیار یک سیستم یا فرد قرار نگیرد. همچنین هر یک از اقدامات در این نهاد مانند برداشت یا انتقال باید با حداقل دو یا چند تایید انسانی یا سیستمی صورت بپذیرد. همچنین برگزاری دوره‌ای تست نفوذ، ممیزی سالانه توسط نهادهای معتبر، اجرای Bug Bounty و داشتن بیمه امنیت سایبری باید الزامی باشد تا ریسک نهایی برای کاربران کاهش یابد.

از نظر صالحی، پژوهشگر حوزه رمزارز معماری نهاد امین باید برمبنای «Trustless» باشد. او تکنولوژی MPC توزیع شده، اثبات ذخایر یا Proof of Reserves زنده و رمزنگاری شده، مکانیزم Time-Lock و چندلایه برای برداشت‌های کلان و استفاده ازHSM های سطح بانکی را شاخصه‌هایی برشمرد که باید به آنها توجه کرد. او در رابطه با ویژگی چهارم گفت: کلیدها یا شاردها هرگز نباید روی RAM سرورهای معمولی یا هارد دیسک قرار بگیرد. کل چرخه حیات کلید خصوصی باید درون HSM  باشد که در صورت دستکاری فیزیکی، خود را نابود می‌کنند.

تحت سیاست بهتر از سایه مدیریت

کار و فعالیت نهاد امین در بستر اقتصادی و فرهنگی ایران، مستلزم برخورداری از مشخصه‌های معتبر و همچنین جلب اعتماد کاربران است. در مواجهه با این نکته باید دید که تشکیل نهاد امین کاملا حاکمیتی انتخاب بهتری است یا نهاد امین خصوصی که رگوله شده است. مردانی، رئیس هیات‌مدیره بیت‌پین میان این دو گزینه، نهاد امین خصوصی اما تحت رگولیشن سخت‌گیرانه و شفاف را به‌عنوان الگوی بهینه انتخاب کرد. از نظر او این مدل، هم چابکی لازم برای نوآوری را دارد و هم قابلیت رقابت در سطح استانداردهای بین‌المللی را حفظ می‌کند.

از نظر مردانی، ایجاد چند ساز و کار برای جلب عمومی در این زمینه ضرورت دارد. نخست نظارت کاملا شفاف و لحظه‌ای نهاد ناظر از طریق داشبوردهای نظارتی، گزارش ذخایر و الزام به Proof Of Reserves مبتنی بر رمزنگاری است. بیمه‌گذاری اجباری دارایی‌ها مورد بعدی است که به‌منظور کاهش ریسک کاربران و ایجاد پشتوانه در سناریوی هک یا خطای فنی مهم است. ساختار مالکیت تنوع و چندبازیگری هم اهمیت دارد. حضور صرافی‌های بزرگ، نهادهای مالی معتبر و یک ناظر مستقل در ساختار مالکیت نهاد امین، از تمرکز قدرت جلوگیری کرده و اعتماد عمومی را تقویت می‌کند.

از نگاه میری، کارشناس حوزه کریپتو، الزامات امنیتی و فنی بخش خصوصی بسیار سریع‌تر و بیشتر می‌تواند اجرا شود. همچنین رقابت میان شرکت‌های خصوصی و بخش‌های خصوصی باعث می‌شود که امنیت و کیفیت ارتقا یافته و خدمات‌دهی بهتر شود. در صورتی که تماما دولتی شدن این نهاد می‌تواند منجر به انحصاری شدن و تحمل ریسک زیادی شود.

او همچنین گفت که نهاد امین خصوصی رگوله شده برای ایجاد اعتماد عمومی می‌تواند با گزارش‌دهی‌های شفاف و پیوسته و همچنین ورود بیمه‌ها اعتماد لازم را جلب کند.

صالحی، پژوهشگر حوزه رمزارز میان نهاد امین دولتی و خصوصی تحت رگولیشن، کنسرسیومی از نهادهای خصوصی رگوله‌شده را ترجیح می‌دهد. او علت این انتخاب را چنین عنوان کرد: چون بخش خصوصی برای بقا می‌جنگد، تخصص روز دنیا را وارد می‌کند و اگر خطا کند، با قانون تجارت و اعتبارش طرف است.