راهنمای آدرس کیف پول ارز دیجیتال: آدرس کیف پولم را با خیال راحت پیدا کنید

آدرس کیف پول، نزدیک‌ترین چیزی است که ارزهای دیجیتال به شماره خیابان دارند. این آدرس به شبکه می‌گوید که سکه‌های شما را کجا بیندازد و تنها اطلاعاتی است که هر بار کسی می‌خواهد به شما پولی پرداخت کند، باید آن را ارائه دهید. این موضوع، کار را از نظر تئوری ساده و از نظر عملی خطرناک می‌کند. یک کاراکتر را اشتباه تایپ کنید، به کلیپ‌بورد اشتباه اعتماد کنید، یا آدرسی را که یک بدافزار به تازگی در بافر شما پیست کرده است وارد کنید، پول از دست می‌رود. تراکنش‌های ارزهای دیجیتال قابل برگشت نیستند. بانک شما نمی‌تواند با طرف مقابل تماس بگیرد و درخواست بازپرداخت کند. یک آدرس کیف پول اشتباه تقریباً در هر مورد برگشت‌ناپذیر است، به همین دلیل است که راهنمای آدرس‌های کیف پول در فهرست مطالعات هر دارنده جدید ارز دیجیتال قرار دارد.

این راهنما برای کسی نوشته شده است که می‌خواهد بدون از دست دادن حقوق یک ماه خود به دلیل یک اشتباه قابل پیشگیری، ارز دیجیتال ارسال و دریافت کند. این راهنما شامل این موارد است: آدرس کیف پول چگونه یک شناسه منحصر به فرد در بلاکچین است، چه فرمت‌هایی وجود دارد، چگونه آدرس کیف پول خود را در رایج‌ترین برنامه‌های کیف پول پیدا کنم و عادات امنیتی خاصی که وجوه را در سال ۲۰۲۶ ایمن نگه می‌دارند. هر قانونی که در اینجا وجود دارد به این دلیل است که افراد واقعی با نادیده گرفتن آن پول واقعی خود را از دست داده‌اند. چینالیسیس سهم ارزش ارز دیجیتال سرقت شده ناشی از هک کیف پول‌های شخصی را در سال ۲۰۲۴، ۴۴ درصد اعلام کرد که نسبت به تنها ۷.۳ درصد در سال ۲۰۲۲ افزایش یافته است. مهاجمان اکنون کیف پول‌های معمولی را بسیار بیشتر از صرافی‌ها هدف قرار می‌دهند و اشتباهات آدرس کیف پول، دروازه ورود به این حملات هستند.

آدرس کیف پول چیست و چگونه کار می‌کند؟

اصطلاحات تخصصی را فراموش کنید. آدرس کیف پول ارز دیجیتال، رشته‌ای منحصر به فرد از حروف و اعداد است، انبوهی از کاراکترها که اساساً می‌گوید: دارایی‌های ارز دیجیتال من را اینجا بیندازید. تاریخچه طولانی کیف پول فقط به این معنی است که شما مدتی است که در آن دریافت می‌کنید. هر کسی در شبکه بلاکچین می‌تواند به آن وجه ارسال کند. فقط هر کسی که کلید خصوصی را داشته باشد می‌تواند دوباره آن سکه‌ها را خارج کند، آن شخص به موجودی خصوصی شما دسترسی دارد و هیچ کس دیگری این کار را نمی‌کند. خود آدرس یک رشته منحصر به فرد است، متفاوت از هر آدرس دیگری که تا به حال ایجاد شده است، و این منحصر به فرد بودن چیزی است که به شبکه اجازه می‌دهد پرداخت‌ها را به درستی هدایت کند.

آن را مانند یک حساب بانکی تصور کنید. شماره حساب شما بخش عمومی است و آدرس کیف پول تقریباً در هر زمینه‌ای که مهم باشد مانند شماره حساب بانکی عمل می‌کند. شما آن را آزادانه، در فاکتورها، در چک‌ها، در هر فرم پرداخت، ارائه می‌دهید. کاملاً اشکالی ندارد. حالا به پین خود فکر کنید. شما هرگز به کسی نمی‌گویید. این اساساً تفکیک کلیدهای عمومی و خصوصی است، فقط با محاسبات بیشتر. آدرس عمومی مانند شماره حساب است. کلید خصوصی مانند پین است. اولی را به اشتراک بگذارید. دومی را طوری محافظت کنید که انگار کل پس‌انداز شماست، چون در واقع همینطور است. وقتی کسی نیاز به پرداخت به شما دارد، آدرس کیف پول خود را به اشتراک بگذارید. هرگز کلیدهای خصوصی خود را به هیچ دلیلی با کسی به اشتراک نگذارید.

یک گریز سریع به محاسبات ریاضی می‌زنیم، چون به بقیه‌ی بحث کمک می‌کند تا منطقی‌تر به نظر برسند. کلید خصوصی شما فقط یک عدد تصادفی بزرگ به طول ۲۵۶ بیت است و اگر مجبور باشید آن را تایپ کنید، تمام بعد از ظهر آنجا خواهید بود. آن را در یک منحنی بیضوی (secp256k1 برای بیت‌کوین، Ed25519 برای سولانا، جزئیاتی که نیازی به آن ندارید) ضرب کنید و یک کلید عمومی به دست می‌آید. آن کلید عمومی را هش کنید، آن را خرد کنید، یک جمع کنترلی و یک پیشوند در جلوی آن بچسبانید و آدرس کیف پول خود را خواهید داشت. کل زنجیره فقط در یک جهت حرکت می‌کند. شما هرگز نمی‌توانید کلید خصوصی را از آدرس بازیابی کنید. کل ماجرا همین است.

و بلاکچین؟ راستش را بخواهید، اصلاً برایش مهم نبود که شما چه کسی هستید. هیچ فیلد نامی وجود ندارد. هیچ ستون ایمیلی وجود ندارد. هیچ شماره گذرنامه‌ای وجود ندارد. هر انتقال در بلاکچین به عنوان یک حرکت ساده بین دو آدرس، با یک مبلغ و یک مهر زمانی ثبت می‌شود. آدرس شما مستعار است، نه به معنای ناشناس بودن، زیرا هر حرکت دائمی و عمومی است، اما به نام واقعی شما نیز متصل نیست. ارتباط بین "آن رشته 0x" و "شما، آن شخص" معمولاً از کجا می‌آید؟ دو جا. فرم KYC که در کوین‌بیس یا بایننس پر کرده‌اید. یا آن زمانی که آدرس خود را برای یکی از دنبال‌کنندگانتان توییت کردید و فراموش کردید. خود بلاکچین هرگز به کسی چیزی نگفته است. مدیریت ایمن یک آدرس بلاکچین با درک این نکته آغاز می‌شود که آدرس‌های کیف پول اینگونه کار می‌کنند: عمومی از نظر طراحی، خصوصی فقط اگر مراقب باشید.

درک آدرس‌های کیف پول در بلاکچین‌های مختلف

هر زنجیره آدرس‌ها را به روش خودش می‌نویسد. و فرمت‌های مختلف آدرس کیف پول با هم ترکیب نمی‌شوند. حتی نزدیک هم نیستند. یک آدرس کیف پول اتریوم، بیت کوین را رد می‌کند. یک آدرس سولانا، USDT ارسال شده روی ترون را نادیده می‌گیرد. اگر به کیف پول دیگری روی زنجیره اشتباه ارسال کنید، معمولاً پول را از دست می‌دهید. هیچ دکمه لغو وجود ندارد. بهترین دوست شما در این آشفتگی، پیشوند است. به چند کاراکتر اول نگاه کنید تا بفهمید آدرس روی کدام زنجیره قرار دارد. `bc1`. `0x`. `T`. `r`. `L`. این پنج مورد را یاد بگیرید تا بیشتر اشتباهات زنجیره اشتباه را قبل از وقوع متوجه شوید. آدرس‌های بیت کوین خانواده 1/3/bc1 را پوشش می‌دهند. ETH هر زنجیره EVM را پوشش می‌دهد. بقیه هر کدام در گوشه خود قرار دارند.

پس چرا این همه نامرتب؟ پاسخ ساده: هیچ‌کس هماهنگ نبود. هر بلاکچین هر زمان که دلش می‌خواست، قوانین رمزگذاری خودش را انتخاب می‌کرد. بیت‌کوین با Base58Check شروع کرد، سپس Bech32 و سپس Bech32m را برای Taproot اضافه کرد. اتریوم هگز ساده را با یک جمع کنترلی با حروف مختلط که بعداً به آن چسبانده شد، انتخاب کرد. سولانا با Base58 رفت اما بایت جمع کنترلی را که بیت‌کوین در انتها اضافه می‌کند، حذف کرد. در اعماق وجود، رمزنگاری در همه جا بسیار شبیه به هم به نظر می‌رسد. منحنی‌های بیضوی، توابع هش، همان تعداد انگشت‌شمار بلوک‌های سازنده خسته‌کننده. اما بسته‌بندی اطراف آن بلوک‌ها جایی است که هر زنجیره تصمیم می‌گیرد کار خودش را انجام دهد. نرم‌افزار کیف پول سعی می‌کند همه اینها را از شما پنهان کند. تقریباً کار می‌کند. تا زمانی که دیگر کار نکند.

چیزی که مردم را شگفت‌زده می‌کند این است که یک عبارت بازیابی می‌تواند ده‌ها کیف پول را به طور همزمان در ده‌ها زنجیره اجرا کند. کیف پول‌های رمزنگاری مدرن برای هر نوع ارز رمزنگاری شده‌ای که دارید، یک آدرس کیف پول منحصر به فرد جدید ایجاد می‌کنند و همه آنها به همان ۱۲ یا ۲۴ کلمه‌ای که در هنگام راه‌اندازی نوشتید، برمی‌گردند. یک کیف پول چند زنجیره‌ای که از BTC، ETH و SOL پشتیبانی می‌کند را باز کنید، سه رشته کاملاً متفاوت خواهید دید. هر کدام در دفتر کل خود. جابجایی سکه‌ها روی یکی مطلقاً هیچ کاری با بقیه نمی‌کند. چطور این ممکن است؟ تعداد کمی از استانداردها این کار را انجام می‌دهند: BIP32، BIP39، BIP44. از بین آنها، BIP44 همانی است که مسیر استخراج را تعریف می‌کند، بنابراین یک عبارت واحد به طور واضح به یک آدرس کیف پول بیت‌کوین در اینجا، یک آدرس کیف پول اتریوم در آنجا، یک آدرس کیف پول سولانا در آنجا نگاشت می‌شود. واقعاً راحت است. همچنین یک نقطه شکست واحد وحشتناک. عبارت را گم کنید و همه چیز در پایین دست با آن ناپدید می‌شود.

انواع فرمت‌های آدرس کیف پول ارز دیجیتال در سال ۲۰۲۶

در اینجا قالب‌های اصلی آدرس کیف پول که واقعاً با آنها مواجه خواهید شد، آورده شده است. یاد بگیرید که پیشوند را با یک نگاه تشخیص دهید و تعداد شگفت‌آوری از اشتباهات را قبل از وقوع آنها متوجه خواهید شد.

بیت کوین آشفته است. چهار نوع آدرس کیف پول بیت کوین، زیرا شبکه بدون از بین بردن فرمت‌های قدیمی، فرمت‌های جدیدی را اضافه می‌کرد. آدرس‌های قدیمی که با ۱ شروع می‌شوند، فرمت هش پرداخت به کلید عمومی اصلی از سال ۲۰۰۹ هستند. هنوز معتبر هستند. هنوز کار می‌کنند. هنوز کندترین و گران‌ترین برای خرج کردن از آنها هستند. آدرس‌هایی که با ۳ شروع می‌شوند، هش پرداخت به اسکریپت هستند که در سال ۲۰۱۲ برای پشتیبانی از چندامضایی و سایر ترفندهای سنگین اسکریپت اضافه شدند. آدرس‌های SegWit Bech32 که با bc1q شروع می‌شوند در سال ۲۰۱۷ از طریق BIP 173 وارد شدند. آدرس‌های Taproot Bech32m که با bc1p شروع می‌شوند در سال ۲۰۲۱ تحت BIP 350 دنبال شدند. چرا BIP 350 اصلاً وجود داشت؟ زیرا Bech32 یک ویژگی داشت: کاراکترهای p در انتهای آدرس به مهاجمان اجازه می‌دادند کاراکترهای q را بدون شناسایی شدن وارد یا خارج کنند. این نوع اشکالی نیست که شما در قالب آدرس برای یک ارز می‌خواهید. هر چهار نوع امروزه معتبر هستند، هزینه‌های متفاوتی دریافت می‌کنند و چند سرویس قدیمی هنوز نمی‌توانند به سرویس‌های جدیدتر ارسال کنند. که این خود نوعی خطر است.

اتریوم مسیر آسان‌تری را در پیش گرفت. فقط یک قالب. 0x و به دنبال آن 40 کاراکتر هگز. همین. همان رشته 0x روی اتریوم، Polygon، Arbitrum، Base، Optimism، یا هر چیزی که با EVM صحبت می‌کند، کار می‌کند. علاوه بر آن، اتریوم یک چک‌سام مختلط تعریف شده در EIP-55 را لایه‌بندی می‌کند که حروف خاصی را بر اساس هش keccak-256 آدرس کوچک، بزرگ می‌کند. یک کاراکتر را اشتباه تایپ می‌کنید؟ چک‌سام معمولاً آن را تشخیص می‌دهد. مشخصات آن را تقریباً 99.9753٪ از اشتباهات تایپی تک کاراکتری تصادفی اعلام می‌کند، که عدد خوبی است و بله، مجبور شدم آن را جستجو کنم. اما تله اینجاست. از آنجا که همان آدرس 0x در هر زنجیره EVM معتبر است، ارسال USDC در شبکه اصلی اتریوم به آن آدرس 0x و انتظار نمایش آن در Polygon به طرز خطرناکی آسان است. اینطور نخواهد شد. هر زنجیره دفتر کل مخصوص به خود را دارد. هر کدام نسخه مخصوص به خود از قرارداد USDC را دارند. آنها با یکدیگر صحبت نمی‌کنند. این اشتباه در مقایسه‌ی BEP20 و ERC20 یکی از رایج‌ترین سناریوهای ضرر و زیان در تیکت‌های پشتیبانی صرافی است. اصلاً و ابداً.

چگونه آدرس کیف پول خود را در هر برنامه کیف پولی پیدا کنیم

این کار سخت‌تر از چیزی که هست به نظر می‌رسد. راستش را بخواهید. این دکمه در هر برنامه‌ای با برچسب متفاوتی نمایش داده می‌شود، اما فرآیند دریافت آدرس کیف پول ارز دیجیتال در سال ۲۰۲۶ در همه جا چهار مرحله یکسان دارد.

۱. کیف پول خود را باز کنید. سکه مورد نظر خود را انتخاب کنید، فرقی نمی‌کند که می‌خواهید ارز دیجیتال خود را به چه ارزی (بیت کوین، اتریوم یا سول) دریافت کنید.

۲. دکمه دریافت (Receive) را پیدا کنید. بعضی از برنامه‌ها آن را درخواست (Request) می‌نامند. بعضی دیگر آن را واریز (Deposit) می‌نامند. هر دو.

۳. صفحه‌ای ظاهر می‌شود که آدرس شما به صورت رشته‌ای از حروف و اعداد نوشته شده است، به علاوه یک کد QR در زیر آن.

۴. رشته را کپی کنید، یا فقط کد QR را به شخصی که به شما پرداخت می‌کند نشان دهید. تمام. به این ترتیب می‌توانید آدرس کیف پول خود را پیدا کنید و در هر کیف پول مدرنی وجه دریافت کنید.

اکثر برنامه‌های کیف پول در سال ۲۰۲۶، چه روی تلفن همراه، چه روی دسکتاپ یا افزونه مرورگر، از همین چهار مرحله پیروی می‌کنند.

کیف پول‌های سخت‌افزاری کمی متفاوت عمل می‌کنند و صادقانه بگویم، امنیت واقعی در اینجا وجود دارد. اجرای یک لجر یا ترزور؟ شما در لجر لایو یا ترزور سوئیت روی رایانه خود از همان جریان عبور می‌کنید، اما خود دستگاه نیز آدرس گیرنده را روی صفحه کوچک خود نشان می‌دهد. همیشه به آن صفحه نگاه کنید. همیشه. آن را با آنچه رایانه شما نشان می‌دهد مطابقت دهید. اگر حتی یک کاراکتر با هم اختلاف داشتند، کار خود را متوقف کنید. رایانه شما بدافزار دارد. اغراق نمی‌کنم، این عدم تطابق دقیقاً همان چیزی است که یک رباینده کلیپ‌بورد ایجاد می‌کند و تنها دلیلی که شما آن را تشخیص دادید این است که صفحه نمایش کیف پول سخت‌افزاری روی تراشه کوچک خود قرار دارد که مرورگر آلوده شما نمی‌تواند به آن دسترسی پیدا کند.

کیف پول‌های نرم‌افزاری مانند متامسک، تراست والت، فانتوم؟ آدرس درست در بالای صفحه اصلی یا با یک لمس در زیر بخش دریافت (Receive) قرار دارد. کپی و پیست کنید، مشکلی نیست. برای صرافی‌ها، کوین‌بیس، بایننس، کراکن، همه آنها، آدرس را در منوی واریز (Deposit) خواهید یافت. نکته جالب در اکثر صرافی‌ها: آنها هر بار که درخواست آدرس جدید می‌کنید، یک آدرس منحصر به فرد جدید به شما می‌دهند. این ویژگی را فعال بگذارید. این یک مزیت کوچک برای حفظ حریم خصوصی بدون هیچ تلاشی است و با سخت‌تر کردن تجزیه و تحلیل زنجیره، از موجودی دارایی دیجیتال شما محافظت می‌کند.

نحوه استفاده از کیف پول‌های ارز دیجیتال و ارسال تراکنش

روند استفاده از کیف پول‌های ارز دیجیتال برای ارسال ارز دیجیتال تقریباً جهانی است. شما روی گزینه ارسال (Send) ضربه می‌زنید، آدرس کیف پول گیرنده را کپی یا اسکن می‌کنید، مبلغ را انتخاب می‌کنید، کارمزد را بررسی می‌کنید و تأیید می‌کنید. سپس بلاکچین تراکنش را منتشر می‌کند، ماینرها یا اعتبارسنج‌ها آن را در یک بلوک قرار می‌دهند و ظرف چند دقیقه یا چند ساعت گیرنده دریافت وجه را مشاهده می‌کند. ارسال و دریافت ارزهای دیجیتال از نظر مکانیکی ساده است. ریسک کاملاً در مراحل میانی است و هر ضرری که در اثر ارسال ارز دیجیتال به آدرس اشتباه ایجاد می‌شود، به این دلیل است که کسی یکی از آنها را با عجله ارسال کرده است.

قبل از اینکه دکمه تأیید را بزنید، سه نکته مهم است. اول، مطمئن شوید که آدرس کیف پول صحیح دقیقاً با آنچه گیرنده به شما داده است مطابقت دارد. دوم، مطمئن شوید که زنجیره مطابقت دارد. ارسال USDT روی اتریوم به یک آدرس USDT ترون، روش کلاسیک از دست دادن پول به دلیل یک عدم تطابق جزئی است و صرافی‌ها اغلب از قالب‌های آدرس مختلف برای یک توکن در شبکه‌های مختلف استفاده می‌کنند. سوم، کارمزد را بررسی کنید. پرداخت بیش از حد، اسراف است. پرداخت کمتر از حد می‌تواند یک تراکنش کریپتو را برای چند روز متوقف کند.

یک عادت خوب برای انتقال‌های بزرگتر، یک تراکنش آزمایشی است. ابتدا مبلغ بسیار کمی ارسال کنید، منتظر بمانید تا برسد و تنها پس از آن کل مبلغ را ارسال کنید. چند سنت کارمزد شبکه‌ای که خرج می‌کنید، یک بیمه ارزان است و بهترین دفاع در برابر اشتباهات تایپی، خطاهای کپی-پیست و حملات مسمومیت با آدرس است که بعداً در این راهنما توضیح داده خواهد شد.

اشتراک‌گذاری ایمن آدرس کیف پول بدون ریسک

آدرس عمومی است. کاملاً و بدون ابهام. به اشتراک گذاشتن آن با هر کسی که نیاز به پرداخت به شما دارد، ایمن است، می‌توانید آن را در وب‌سایت خود منتشر کنید، می‌توانید آن را روی فاکتور خود چاپ کنید. آدرس کیف پول را نمی‌توان برای سرقت وجوه شما استفاده کرد، فقط کلید خصوصی می‌تواند این کار را انجام دهد، و کل نکته رمزنگاری نامتقارن این است که یک طرف این جفت برای فریاد زدن از پشت بام‌ها و طرف دیگر برای حمل به گور است.

خب، نکته چیست؟ نکته اصلی، حریم خصوصی و فیشینگ است، نه از دست دادن موجودی. آدرس اتریوم خود را به صورت عمومی منتشر کنید و هر کسی که یک مرورگر بلاک دارد می‌تواند موجودی شما، تاریخچه کامل تراکنش‌های شما، هر NFT که تا به حال لمس کرده‌اید، هر پروتکل مشکوک DeFi که یک بار امتحان کرده‌اید و از آن پشیمان شده‌اید را جستجو کند. آن را در یک گروه تلگرامی به اشتراک بگذارید و هر شرکت‌کننده‌ای آن را می‌بیند. تجزیه و تحلیل درون زنجیره‌ای در سال ۲۰۲۶ یک صنعت بالغ با ابزارهای خوب و افراد تیزبین است. برای یک کیف پول با سابقه طولانی، استفاده مجدد از آدرس به منزله انتشار یک دفترچه خاطرات مالی با نام شما روی جلد است.

و بعد قانون طلایی وجود دارد که با تکرار، از اعتبارش کاسته نمی‌شود: هرگز کلیدهای خصوصی، عبارت بازیابی یا کلمات بازیابی خود را به اشتراک نگذارید. نه با یک نماینده پشتیبانی. نه با یک ربات ایردراپ. نه با یک "نماینده لجر" که در مورد به‌روزرسانی سیستم عامل به شما ایمیل زده است. نه با بهترین دوستتان. به معنای واقعی کلمه هیچ کس به آنها نیاز ندارد. من افرادی را دیده‌ام که موجودی پنج رقمی خود را از دست داده‌اند، فقط به این دلیل که یک پیام مستقیم از "خدمات مشتریان" مفید و رسمی به نظر می‌رسید. اینطور نبود. هرگز اینطور نیست. هرگز کلیدهای خصوصی خود را به هیچ دلیلی با کسی به اشتراک نگذارید.

مشکل آدرس کیف پول اشتباه: جلوگیری از گم شدن سرمایه

اگر ارز دیجیتال را به آدرس کیف پول اشتباه ارسال کنید، تقریباً همیشه پول از دست می‌رود. هیچ بخش خدمات مشتری برای بلاکچین وجود ندارد. هیچ بازپرداخت وجهی، هیچ محافظتی در برابر کلاهبرداری، هیچ کارمند خوش‌برخوردی که بتواند تراکنش را معکوس کند. دفتر کل کاری را که به آن گفته‌اید انجام می‌دهد، حتی اگر چیزی که به آن گفته‌اید اشتباه تایپی باشد.

روش‌هایی که مردم واقعاً سرمایه خود را از دست می‌دهند، به طرز عجیبی کسل‌کننده است. تایپ دستی یک آدرس قبلاً شرور اصلی بود، اما هیچ‌کس عاقل دیگر ۴۲ کاراکتر هگز تایپ نمی‌کند، بنابراین این اتفاق به ندرت در سال ۲۰۲۶ رخ می‌دهد. ربودن کلیپ‌بورد این کار را می‌کند. یک خانواده کامل از تروجان‌های ویندوز به نام "کلیپرها" که Laplas Clipper معروف‌ترین آنهاست و به عنوان بدافزار به عنوان سرویس با قیمتی حدود ۵۴۹ دلار در سال فروخته می‌شود، بی‌سروصدا کلیپ‌بورد شما را زیر نظر دارند و هر آدرس کریپتویی را که کپی می‌کنید با آدرس مشابه یک مهاجم جایگزین می‌کنند. شما پیست می‌کنید، دکمه ارسال را می‌زنید و کاملاً عادی به نظر می‌رسد. مایکروسافت اصطلاح "کرای‌ور" را برای کل این دسته ابداع کرد و آنها سالانه صدها هزار آلودگی را ردیابی می‌کنند.

سپس نوبت به مسمومیت آدرس می‌رسد که جدیدتر و واقعاً بی‌رحمانه است. مهاجم یک آدرس خیالی مطابق با چهار کاراکتر اول و چهار کاراکتر آخر آدرسی که اغلب با آن تراکنش انجام می‌دهید، ایجاد می‌کند. آنها یک تراکنش داست (یا یک تراکنش با مقدار صفر) برای شما ارسال می‌کنند تا آدرس جعلی آنها در تاریخچه کیف پول شما ظاهر شود. دفعه بعد که به آن آدرس نیاز دارید، با تنبلی از تاریخچه کپی می‌کنید و به جای آن، نسخه مهاجم را می‌گیرید. یک مطالعه CyLab دانشگاه کارنگی ملون که در اوایل سال ۲۰۲۵ منتشر شد، حدود ۲۷۰ میلیون تلاش برای مسمومیت درون زنجیره‌ای را ثبت کرد که بین ژوئیه ۲۰۲۲ تا ژوئن ۲۰۲۴ به ۱۷ میلیون قربانی منجر شد و حداقل ۸۳.۸ میلیون دلار ضرر تأیید شده داشت. این دیگر یک تهدید حاشیه‌ای نیست. این فیشینگ در مقیاس صنعتی است.

بدنام‌ترین مورد در ۳ مه ۲۰۲۴ اتفاق افتاد. یک نهنگ ۱۱۵۵ WBTC، تقریباً ۶۸ میلیون دلار در آن زمان، را به یک فرد مسموم که در هر دو طرف با مقصد معمول آنها مطابقت داشت، از دست داد. مهاجم بخش عمده‌ای از وجوه را یک هفته بعد به دلایلی که هنوز در جامعه مورد بحث است، بازگرداند، اما حتی کاربران خبره که باید بهتر می‌دانستند، فریب ترفند کپی کردن تاریخچه را خوردند. در دسامبر ۲۰۲۴، یک معامله‌گر دیگر به همین روش گرفتار شد و نزدیک به ۵۰ میلیون دلار USDT از دست داد. افراد مختلف، بلاکچین‌های مختلف، همان عادت تنبلانه: اعتماد به تاریخچه تراکنش‌ها به عنوان منبع آدرس‌ها.

از تک تک این اشتباهات با یک عادت اصلی جلوگیری می‌شود: همیشه قبل از ارسال، آدرس را دوباره بررسی کنید و آن را روی دستگاهی که بدافزار نمی‌تواند به آن دست بزند، تأیید کنید. آدرس را کپی، پیست کنید و سپس دقیقاً کاراکتر به کاراکتر، حداقل شش مورد اول و شش مورد آخر، با منبع اصلی مقایسه کنید. آدرس نادرستی که برنامه کیف پول مناسب به آن ارسال کرده است، پس از انتشار امضا، بازیابی آن غیرممکن است. برای تراکنش‌های با ارزش بالا، یک کیف پول سخت‌افزاری کیف پول مناسب است، زیرا صفحه نمایش آن از رایانه جدا شده است و نمی‌توان آن را توسط نرم‌افزار دستکاری کرد.

بیت‌کوین و اتریوم هر دو با استفاده از چک‌سام‌های داخلی، در برابر اشتباهات تایپی ساده محافظت می‌کنند. بیت‌کوین از Base58Check استفاده می‌کند، بنابراین یک کاراکتر اشتباه در یک آدرس قدیمی معمولاً چک‌سام را رد می‌کند و از ارسال خودداری می‌کند. اتریوم چک‌سام‌های ترکیبی EIP-55 را برای شناسایی همین نوع خطا در آدرس‌های 0x اضافه می‌کند. این چک‌سام‌ها در برابر سواپ‌های مخرب کمکی نمی‌کنند، زیرا آدرس مهاجم نیز یک آدرس صحیح و معتبر است. آن‌ها فقط در برابر اشتباهات تایپی ساده کمک می‌کنند.

مدیریت آدرس‌های کیف پول و حریم خصوصی در زنجیره

مدیریت آدرس‌های کیف پول از نظر مکانیکی آسان و از نظر خصوصی پیچیده است. در زنجیره‌ای مانند بیت‌کوین، بهترین روش، ایجاد یک آدرس جدید برای هر پرداخت ورودی است. انجام این کار، ارتباط بین پرداخت‌ها را قطع می‌کند و ردیابی میزان رمزارز نگهداری شده توسط شما را برای ناظر خارجی دشوارتر می‌کند. استفاده مجدد از همان آدرس، هر پرداخت را به طور مکرر به همان هویت بلاکچین مرتبط می‌کند و به هر کسی که یک کاوشگر بلوک دارد، نمای کاملی از فعالیت شما می‌دهد.

اتریوم متفاوت است. از آنجا که هر آدرس اتریوم، یک حساب کاربری با یک نانس و موجودی نیز هست، اکثر افراد و اکثر برنامه‌ها از یک آدرس برای همه چیز استفاده می‌کنند. این راحت است، اما به همین دلیل است که تجزیه و تحلیل زنجیره در اتریوم بسیار مؤثر است. اگر حریم خصوصی می‌خواهید، حداقل یک آدرس جدید برای هر پروژه کافی است. میکسرها و ابزارهای حریم خصوصی، محافظت بیشتری ایجاد می‌کنند، اما در بسیاری از صرافی‌ها، پرچم‌های انطباق را بالا می‌برند.

لیست سفید اهرم بزرگ دیگری است. اکثر صرافی‌ها و بسیاری از جریان‌های کیف پول سخت‌افزاری به شما اجازه می‌دهند آدرس‌های مورد اعتماد را در لیست سفید قرار دهید تا وجوه فقط به یک مقصد از پیش تأیید شده ارسال شوند. لیست سفید، همراه با یک دوره انتظار برای ورودی‌های جدید، یکی از پاک‌ترین راه‌ها برای جلوگیری از بدافزار کلیپ‌بورد و تصاحب حساب است، زیرا مهاجم نمی‌تواند به سادگی یک آدرس جدید را جایگزین کند.

دفترچه‌های آدرس، مخاطبین و سرویس‌های نام کیف پول مانند ENS با جایگزینی یک رشته هگز ۴۲ کاراکتری با یک برچسب به یاد ماندنی مانند `alice.eth`، زندگی روزمره را آسان‌تر می‌کنند. این برچسب‌ها راحت اما قابل فیشینگ هستند. حملات هموگراف یونیکد، دامنه‌ای را ثبت می‌کنند که حروف آن با یک نام معتبر یکسان به نظر می‌رسند اما از کاراکترهای سیریلیک یا یونانی استفاده می‌کنند و قربانی بدون توجه، آدرسی را که از نام جعلی استخراج شده است، کپی می‌کند. این نوع حمله به مدت دو دهه در وب مستند شده است و کیف پول‌های رمزنگاری که ENS، SNS یا دامنه‌های غیرقابل توقف را به طور خودکار استخراج می‌کنند، همین خطر را به ارث می‌برند. همیشه نام ENS را برای اولین بار از طریق یک رابط قابل اعتماد استخراج کنید، تأیید کنید که آدرس اصلی با شخصی که انتظار دارید مطابقت دارد و پس از تأیید، آن را در دفترچه آدرس خود ذخیره کنید.

حملات داست (Dust attacks) یک ترفند مرتبط است که اغلب قبل از مسمومیت (Poisoning) انجام می‌شود. یک مهاجم تراکنش‌های کوچک را به هزاران آدرس ارسال می‌کند تا وقتی قربانی بعداً خروجی‌های خرج نشده خود را تجمیع می‌کند، داست با او همراه شود و خوشه آدرس‌های متعلق به یک مالک را آشکار کند. قربانی WBTC ماه مه ۲۰۲۴، هفته‌ها قبل از وقوع حمله واقعی، از طریق داست تحت نظر بود. کیف پول‌هایی مانند Wasabi، Samourai و Sparrow اکنون به شما اجازه می‌دهند داست را به عنوان "خرج نکنید" علامت‌گذاری کنید تا ارتباط قطع شود.

مدیریت آدرس‌های کیف پول: قوانین امنیتی برای سال ۲۰۲۶

دفاع در برابر سه تهدید بزرگ، بدافزار کلیپ‌بورد، مسمومیت آدرس، و انتقال‌های زنجیره‌ای اشتباه، به چند عادت محدود می‌شود که یا انجام می‌دهید یا نمی‌دهید. در اینجا به آنها اشاره می‌کنیم، البته عمداً.

برای هر چیزی که نمی‌توانید از دست بدهید، از یک کیف پول سخت‌افزاری استفاده کنید. نه اختیاری، نه یک کالای لوکس، نه یک پارانویا. یک لجر یا ترزور یک صفحه فیزیکی کوچک به شما می‌دهد که بدافزارهای روی رایانه شما به معنای واقعی کلمه نمی‌توانند به آن دسترسی پیدا کنند و تأیید آدرس گیرنده روی آن صفحه قبل از امضا، اکثر حملات کلیپ‌بورد را مسدود می‌کند. از فروشگاه رسمی خرید کنید، نه eBay. در نوامبر 2024، لجر دانجون یک افشاگری در مورد نقص ولتاژ علیه میکروکنترلر ترزور سیف 3 منتشر کرد که فقط در صورتی اهمیت دارد که کسی به دستگاه شما دسترسی فیزیکی داشته باشد، اما این دقیقاً همان چیزی است که یک دستگاه دست دوم دستکاری شده به آنها می‌دهد.

هر جا که صرافی شما از لیست سفید آدرس‌ها پشتیبانی می‌کند، آن را فعال کنید. مقاصد مورد اعتماد را یک بار تنظیم کنید، مدت زمان انتظار را افزایش دهید و از دردسرهای آن خلاص شوید. اکثر حملات تصاحب حساب شامل تغییر آدرس برداشت توسط مهاجم است و لیست سفید مسیر حمله را به طور کامل مسدود می‌کند. هزینه کم، سود زیاد.

هر بار که چیز جدیدی ارسال می‌کنید، یک تراکنش آزمایشی اجرا کنید. چند سنت کارمزد در مقابل از دست دادن کل پرداخت به دلیل اشتباه در BEP20/ERC20، حساب کنید. مبلغ کمی ارسال کنید، منتظر تأیید آن باشید، بررسی کنید که رسیده است، سپس انتقال اصلی را ارسال کنید. این عادت غلط‌های املایی، بدافزار کلیپر، انتخاب شبکه اشتباه و باگ عجیب صرافی را به طور همزمان تشخیص می‌دهد.

برنامه‌های کیف پول و افزونه‌های مرورگر خود را به‌روز نگه دارید. نسخه‌های قدیمی جایی هستند که اکثر سوءاستفاده‌های عمومی هنوز در آنها کار می‌کنند و به‌روزرسانی جعلی MetaMask یکی از روش‌های کلاسیک برای جایگزینی یک کیف پول قانونی با یک کلون آسیب‌دیده است. در صورت درخواست، وصله را نصب کنید. کسل‌کننده است. هنوز هم سهم بزرگی از ضررهای دنیای واقعی را مسدود می‌کند.

و یک بار دیگر، چون تکرار تنها چیزی است که ماندگار است: آدرس کیف پول عمومی خود را آزادانه به اشتراک بگذارید، هرگز کلیدهای خصوصی، عبارت بازیابی یا کلمات بازیابی خود را به اشتراک نگذارید. هیچ استثنایی وجود ندارد. روزی که کسی از شما عبارت بازیابی‌تان را بخواهد، روزی است که مورد کلاهبرداری قرار گرفته‌اید، حتی اگر مودب باشند.

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.