در گفتوگو با مدیر تحقیق و توسعه نوبیتکس مطرح شد:
ضرورت تدوین استانداردهای امنیت دارایی در پلتفرمهای تبادل رمزارز
امنیت، یکی از مهمترین مسائل و دغدغهها در صنعت رمزارز و بلاکچین است و پلتفرمهای بزرگ تبادل رمزارز، بیشترین تمرکز و انرژی خود را صرف رعایت مولفههای امنیتی برای حفظ دارایی در برابر ریسکهای احتمالی میکنند. پلتفرمهای تبادل رمزارز باید چه استانداردهایی را برای امنیت داراییهای رمزارزی رعایت کنند؟
محمدعلی آقامیر، همبنیانگذار و مدیر تحقیق و توسعه پلتفرم تبادل رمزارز نوبیتکس، در گفتوگو با ویژهنامه رمزارز مجله کارنگ از چالشهای امنیتی در صنعت بلاکچین و همچنین پروتکلهای امنیتی نوبیتکس برای نگهداری داراییهای رمزارزی میگوید.
به عنوان سئوال اول مهمترین چالشهای امنیت در حوزه رمزارزها به شکل کلی چیست و وقتی در مورد کسبوکارهای تبادل یا صرافیها صحبت میکنیم، چه مسائلی در ارتباط با امنیت حائز اهمیت هستند؟
چالشهای امنیتی را اگر بهصورت کلی در حوزه رمزارزها بررسی کنیم، بسیار گسترده هستند. امنیت را از بحث نگهداری دارایی، نقلوانتقال و حریم خصوصی تا شاخصهای فاندامنتال مثل ایده، تیم و مسیر توسعه میتوانیم تعریف کنیم. بهعنوان یک سرمایهگذار یا شخص علاقهمند به فعالیت در حوزه رمزارزها دغدغه امنیتی افراد شامل تمام این مباحث میشود. برای مثال اگر اشخاص میخواهند روی یک پروژه سرمایهگذاری کنند باید دقت کنند که این پروژه پانزی نباشد و نقشه راه آن بهدرستی تعریف شده باشد.
امنیت در بحث نگهداری رمزارزها هم بسیار گسترده است. اینکه نگهداری در چه سامانه یا کیف پولی اعم از وب بیس، نرم افزاری یا سختافزاری و به شکل هات یا کلد باشد، هرکدام یک بار امنیتی ایجاد میکند.
علاوه بر این موارد، ممکن است شما در یک پروژه ارزشمند سرمایهگذاری کنید و نحوه درست نگهداری را هم به کار گرفته باشید، اما بهواسطه الگوریتمهای شناسایی و تحریمها، داراییهای شما امنیت نداشته باشد یا نقل و انتقالاتی که انجام میدهید به ریسکهای امنیتی منجر شود.
تمام این موارد در بحث امنیت رمزارزها میتوانند بهعنوان سرفصل تعریف شوند. در مورد صرافیها همه این موارد دررابطه با دارایی کاربران وجود دارند و بهعنوان پارامتر امنیتی تعریف میشوند. پارامترهایی که گاهی در تضاد همدیگر هم قرار میگیرند. به عنوان مثال، در برخی مواقع پروسهها و پروتکلهای امنیتی برای نگهداری امن دارایی، نسبت معکوس با مکانیسمهایی که برای حفظ پرایوسی دارایی در نظر میگیریم دارند. به طور کلی، تصمیماتی که در یک صرافی گرفته میشوند، یک ترید آف بین این دو مفهوم هستند.
برای صرافیهای متمرکز بحث نگهداری امن داراییها، بهعنوان پارامتر اصلی امنیتی تعریف میشود و سرفصلهای دیگر مثل حریم خصوصی و شاخصهای فاندامنتال هر پروژه برای لیست شدن در اکسچنج، بعد از آن قرار میگیرند.
بحث دیگر نحوه کارکرد بستر برای بازارگردانی و تعامل با صرافیهای خارجی است. سؤال مهم این خواهد بود که بستر به شکل صرافی و واسط عمل میکند و داراییها را با یک بسترخارجی تسویه میکند یا بازارگردانهای مستقل و متعدد به شکل سفارش گذاری در بازار عمل می کنند. آیا دارایی در سامانههای خود بستر نگهداری میشوند یا در صرافی خارجی؟
خارجازموضوع رمزارزها، بحث خود امنیت سامانه مثل امنیت سرور، دسترسیها و... هم سایر نکات امنیتی هستند که باید به آنها توجه داشت.
مهمترین مزیتهایی که صرافیهای داخلی میتوانند برای کاربران ایرانی داشته باشند چه هستند؟ و در بحث امنیت چه ارمغانی برای کاربران ایرانی داشتهاند؟
بر اساس سرفصلهایی که ذکر شد، روشهای ذخیرهسازی در صرافیها اعم از خارجی و داخلی، متفاوت است. اگر بخواهم بهعنوان تاریخچه بگویم، قالب مکانیسم ذخیرهسازی صرافی بایننس در بازهای هات بود و بعد دچار یک هک بزرگ شد. سپس به سمت یک مکانیسم ذخیرهسازی کلد رفت. الان با پوشش ریسکهای مترتب، به حالت هات برگشته است. همانطور که گفته شد، ذخیرهسازی سرد از لحاظ امنیتی در اولویت یک اکسچنج است و در بالاترین استاندارد قرار دارد ولی مانع رشد و توسعه بستر محسوب میشود چون فرآیندهای اکسچنج را کند میکند. الان بایننس آدرس کاربران را در حالت هات قرار داده است. سیستم تجمیع این صرافی هم هات است.
در صرافیهای ایرانی استانداردهای پیادهشده متفاوت هستند. اولویت برخی بیزینسها، بالا بردن سرعت اضافهکردن کوین و توسعه طیف کوینهای پشتیبانیشده است. این صرافیها بهصورت هات در حال فعالیت هستند که مخاطراتی را متوجه آنها میکند، چون تجربه موضوع امنیتی که برای بایننس اتفاق افتاد ثابت میکند مکانیسم هات، ریسک بالایی برای مخاطب دارد.
ولی انتخاب نوبیتکس این نبوده است. اولویت نوبیتکس این بوده است که همیشه داراییهای کاربران بهصورت کاملاً سرد ذخیرهسازی شود. البته ذخیرهسازی سرد هم تعاریف مختلفی دارد. برخی، صرفاً تجمیع دارایی در یک لجر را سیستم ذخیرهسازی سرد مینامند اما چنین تعریفی درست نیست. نوبیتکس سامانه مخصوص به خود را در بحث ذخیرهسازی سرد دارد و با بالاترین استانداردهای جهانی حرکت میکند. همین دلیل هم باعث شده تا نوبیتکس نتواند محدوده پشتیبانی از کوینهایش را به سرعت توسعه دهد یا فرایندهای بازیابی توکنهایی که در نوبیتکس پشتیبانی نمی شوند بعضاً با کندی مواجه است.
در بحث حریم خصوصی، فعالیت بهعنوان یک ایرانی در صرافی خارجی، با ریسک همراه است. این ریسک هم، انتخاب کاربری بوده است که خواسته داراییاش را در یک صرافی خارجی نگه دارد که تحت قوانین بینالمللی عمل میکند یا مجبور میشود عمل کند. بر اساس تحریمهای فعلی این تصمیم کاربر، یعنی پذیرفتن ریسک بلوکه شدن دارایی، ازبینرفتن دارایی و.... .
صرافیهای ایرانی از این نظر برای کاربرانی که صرفاً میخواهند ترید کنند یا از فرصت سرمایهگذاری در این حوزه استفاده کنند، یک نقطه اطمینان است. ولی در عین حال، نقلوانتقال بدون واسطه و به شکل مستقیم از صرافیهای ایرانی به هر سامانه خارجی میتواند عاملی برای تهدید داراییهایشان باشد.
میتوان گفت در همه مسائل امنیتی، موضوع ترید آف مطرح است. به عنوان مثال لزوماً پشتیبانی از طیف وسیعی از رمزارزها از نظر امنیت سرمایه گذاری و امنیت نگهداری دارایی، مثبت تلقی نمیشود حال آنکه ممکن است کاربران عادی چنین برداشتی داشته باشند. کاربران رمزارزی باید در کنار خدماتی که از صرافیها دریافت میکنند، شاخص امنیتی لحاظ شده در بستر خدمات دهنده را هم در نظر داشته باشند. بهصورت کلی یک بستر خدماتدهنده تبادل رمزارز و نحوه عملکرد آن میتواند برای مخاطب، ارزشافزوده امنیتی ایجاد کند یا نکند. این مسئله کاملاً منوط به سیاستهای آن بستر یا پلتفرم است و کاربران هم میبایست با افزایش دانش خود در این زمینه، شاخصهای امنیتی را بررسی و مطالبه کنند.
قبل از ورود پلتفرمهای تبادل رمزارز به ایران، شکلهایی از تبادل رمزارزها وجود داشت که این روشها پس از رواج صرافیهای ایرانی کمرنگ شدند؛ مثل otcها. این مسئله را در ارتباط با مسائل امنیتی چقدر یک گام مثبت تلقی میکنید؟
قبلا معاملات رمزارزی فقط به صورت otc نبود و از طریق کانال تلگرامی هم انجام میشد. در واقع مکانیسم غالب مبادله، به صورت فردبهفرد بود و ماهیت آن هم بد نبود. مادامی که همه استانداردهای معاملات فردبهفرد رعایت شود، به خودی خود چنین روشی بد نیست.
نوبیتکس زمانی شروع به فعالیت کرد که اساس معاملات در کانالهای تلگرامی اتفاق میافتاد. آن زمان، تقریباً نود درصد بازار معاملاتی در اختیار افرادی بود که در فضای تلگرامی فعالیت میکردند. احراز هویت یا انجام نمیشد یا به شکل ناقص انجام میشد و مدارک هم دست به دست میچرخید و بعضاً مورد سوء استفاده قرار میگرفت. علاوه بر این، پولهای ناسالم به این بازار در حال سرازیر شدن بود و تبعات حقوقی و قضایی برای افراد داشت. از آنجایی که افراد هم آشنایی کافی با رمزارزها نداشتند، توکنهای بیارزش هم به جای توکن یا کوین مدنظر برای معامله، جابهجا میشد. همچنین در معاملات فردبهفرد از آنجا که باید پروسه معامله سکوئنشال باشد؛ یعنی یک نفر پول بدهد دیگری کوین بزند یا برعکس، کلاهبرداریهای زیادی هم اتفاق میافتد. این موضوعات، فلسفه حضور بسترهای واسطی شد که ضامن انجام معامله باشند. بدین شکل که در حالت متمرکز، دو طرف داراییهای خود را در یک بستر قرار دهند و بعد معامله در این بستر انجام شود. در این روش، تمام فرایندهای احراز هویت، بررسی صحت و سلامت دارایی رمزارزی و ریالی ردوبدل شده نیز به عهده بستر ضامن انجام معامله است.
نوبیتکس الان در جایگاهی است که مبالغ کلانی در ماه برای احراز هویت و پروتکشنهای امنیتی هزینه میکند. این هزینهها برای این است که مشکلات به حداقل برسند. اگر پلتفرمها نبودند، قطعاً مشکلاتی که قوه قضاییه هم به آن اشاره میکند، چندین برابر بود. اما برای برخی مشکلات مثل حسابهای اجارهای راهکاری از سمت بستر واسط وجود ندارد. در مواقعی، تمام اقدامات امنیتی و مسائلی مانند احراز هویت انجام میشود و تذکرات لازم هم به کاربران داده میشود اما باز هم بعضی افراد انتخاب میکنند که کار خلاف قانون انجام دهند. در حال حاضر با توجه به استانداردهای احراز هویتی به کار گرفته شده در بسترهای واسط، دیگر ریسک انجام معامله به طرف دوم معامله منتقل نمیشود، در صورتی که قبلاً این چنین نبود و دارایی از آخرین نفر زنجیره معامله گرفته میشد و به نفر اول بازگشت داده میشد. در واقع باید گفت، نبود بسترهای واسط میتوانست منجر به مشکلات لاینحل گستردهتر و بیشتری نسبت به فضای فعلی شود.
گام بعدی صرافیها در مسیر امنیت چیست؟
ازآنجاییکه سطح سیاستها و استانداردهای به کار گرفته شده در صرافیها در ایران همسان نیست، به نظر من در ابتدا باید یک استاندارد امنیتی در تمام سرفصلهای مورد اشاره شکل بگیرد و صرافیها خود را با این استانداردها همسان کنند و در قبال آن هم به کاربر پاسخگو باشند. چون در حال حاضر صرافیهایی داریم که یک صفحه وب واسط بر روی صرافیهای خارجی هستند. یعنی عملاً تمام ریسک نگهداری دارایی در صرافیهای خارجی را بدون اطلاعرسانی به کاربر به او تحمیل میکنند و در قبال چنین کاری بدون هیچ دانش فنی و بلاکچینی، از کاربر کارمزد دریافت میکنند. حتی موردهایی هستند که واریز با یک واسطه به آدرس بایننس انجام شده و برداشت هم از هات ولتهای بایینس اتفاق میافتد.
در واقع گام اول برای ارتقای شاخصهای امنیتی در صرافیهای مختلف، متفاوت است. برخی صرافیها برای رسیدن به یک نقطه قابل اتکا از حیث شاخصهای امنیتی در تمامی سرفصل های اشاره شده، راه زیادی پیش رو دارند. البته ما در نوبیتکس هم هنوز کار زیادی در پیش رو داریم و همواره راه برای توسعه استانداردهای به کار گرفته شده وجود دارد. برای مثال ما سال گذشته توانستیم به این قابلیت دست پیدا کنیم که قدرت دسترسی به داراییهای کاربران را توزیع کنیم. در حال حاضر هیچکس در نوبیتکس به داراییهای کاربران به تنهایی دسترسی ندارد و با پیادهسازی یک مکانیسم چند امضایی، فرایند انتقال داراییها بهصورت چند امضایی اتفاق میافتد.
بحثهای تضامنی که یک طرف سوم داراییهای کاربران را در برابر اتفاقات احتمالی مثل هک، گارانتی کند، چقدر در ایران قابل اجرا هستند؟ در حال حاضر در دنیا از چه روشهایی استفاده میشود؟
پاسخ این موضوع، همان بیمه است. موضوع بیمه در حوزه رمزارزی در سالهای اخیر بسیار گسترده و رو به جلو بوده و در حوزه دیفای نیز مطرح است. الان پروتکلهای بیمهای به شکل غیرمتمرکز داریم. اما شناسایی ریسکها در حوزه رمزارزها هنوز به بلوغ کافی نرسیده است و به نحوی بسیار پیچیده بوده چون هر روز شما با ریسک جدیدی در دنیای رمزارزها آشنا میشوید.
پایه و اساس شرکت واسطی که بخواهد این تضامن را ایجاد کند، شناسایی ریسک طراحی کل سیستم یا همان ارزیابی ریسک است که کار بسیار سختی است. الان اتفاقی که در بالاترین سطح در صرافیهای خارجی میافتد این است که صندوقی را بهعنوان بیمه مشکلات امنیتی از محل درآمدها طرح میکنند و این صندوق، تبدیل به محلی برای جبران خسارت اتفاقات ناگوار احتمالی میشود. برخی از صرافیها در شروط استفاده از خدمات خود بهوضوح قید کردهاند که اگر هک اتفاق بیفتد و دارایی کاربر از دست برود، پاسخگو نخواهند بود. سطوح پاسخگویی در این زمینه مختلف بوده و عالیترین شکل آن همان صندوقهای جبران خسارت است که در نوبیتکس هم تعریف شده است. اما مفهوم جبران خسارت از محل همین صندوقها نیز طیف گسترده ای از حیث تعریف و استاندارد را شامل میشود. به عنوان مثال ریسک هک در قالب فیشینگ یا ریسک بلوکه دارایی کاربر، مورد پذیرش هیچ صندوق یا نهاد ضامنی نیست چرا که عوامل مؤثر بر چنین ریسکی غالباً سمت کاربر است و تحت اختیار بستر نیست. همچنین این گونه نیست که یک صندوق بتواند در صورت بروز یک اتفاق امنیتی برای یک بستر مبادلاتی متمرکز، کلیه خسارات وارده را جبران کند از این رو، میزان و سطح جبران خسارت بنابر سطح درآمدی و سیاستهای آن بستر متفاوت خواهد بود.
مسئله امنیت در نوبیتکس از روز اول برای فاندرها چقدر اهمیت داشته است؟ نوبیتکس در مسائل امنیتی چند تغییر فاز را تجربه کرده است؟
میتوانم بهجرات بگویم که نوبیتکس در نقطه شروع و قبل از هرکاری اقدام به پیادهسازی مکانیسم ذخیرهسازی سرد کرد. مبنای حضور نوبیتکس در بازار، سامانه کلد بود یعنی اول سامانه کلد را ایجاد کردیم و بعد فرانت اکسچنج را نوشتیم. یکی از شواهد درجه اهمیت امنیت در نگاه فاندرهای نوبیتکس همین است. مورد دیگر این است که ما همیشه اولویتهای بیزینسی را فدای اولویتهای امنیتی کردیم. یعنی ما در بازار روبه رشدی که میتوانستیم صرفاً با تعریف ذخیرهسازی هات از مبادلات طیف وسیعی از کوینها درآمدهای زیادی داشته باشیم، اضافه شدن کوینها را به همان پیاده سازی آفلاین ترنزاکشن و ذخیرهسازی سرد منوط و محدود کردیم.
در گام ابتدایی، نقل و انتقال از سامانه ذخیرهسازی سرد به شکل تک امضایی بود. یعنی کسی که تجمیع داراییها را انجام میداد به دارایی دسترسی داشت. همچنین دانش ایجاد سامانه ذخیرهسازی به شکل سرد در ابتدا برروی یک سری کوین خاص مثل بیتکوین محدود شده بود، اما کمکم آن را به شبکههای دیگری توسعه دادیم و به همان نسبت هم کوینهای دیگری به سیستم اضافه کردیم، نهایتاً به سامانه ذخیرهسازی نوبیتکس رسیدیم که وایت پیپر این سامانه هم منتشر شده است. این سامانه ذخیرهسازی را روی تمام بیتکوینلایکها و اتریوملایکها توسعه دادیم. سپس سامانه را چند امضایی و دسترسی فردی را از داخل سیستم حذف کردیم؛ این مراحل توسعه سامانه ذخیرهسازی ما بوده است.
روی امنیت بستر هم مرتباً توسط تیم متخصص مخصوص به خود کار میشود. تستهای امنیتی مختلفی روی سامانه انجام میشود و مواضع مختلف تحت رصد است. سعی کردهایم که مانیتورینگ لایو بستر را تا حد امکان توسعه داده و در حقیقت زمان شناسایی هر مشکلی داخل بستر را به حداقل برسانیم. در حوزه حریم شخصی یک پروژه دو ساله داشتیم و به نقطهای رسیدهایم که ادامه مسیر برای ما مشخص است و میدانیم که هر راهکار چه نتایجی دارد و چه دغدغههای امنیتی برای ما ایجاد میکند. هرچند بهشخصه معتقدم که در بحث حریم شخصی برای کاربری که درون سیستمی در ایران کار میکند و فقط روی سرمایهگذاری متمرکز است و نه نقلوانتقال دارایی، صرافیهای ایرانی یک نقطه قوت محسوب میشوند. البته نقل و انتقال امن به بیرون از جامعه کریپتویی ایران مقولهای متفاوت است و میتواند موضوع کار کسب و کار دیگری باشد.
یک موضوع مهم دیگر در بحث امینت رمزارزها این است که پروژهها یعنی توکن و کوینهایی که شناختهشده هم هستند، گهگاهی دچار مشکلات امینتی میشوند؛ مثل هک کیف پولها یا اتفاقات دیگر که برای کاربران مشکلاتی را ایجاد میکنند. برای اینکه کاربران ایرانی کمترین خسارت را ببینند چه توصیههایی میتوان به آنها در این ماجرا کرد؟
من به مواردی که گفتید نکتهای را اضافه کنم. ممکن است که کاربر تمام پروتکلهای امنیتی را رعایت کند اما موضوع پروژه تحت ریسک باشد. برای مثال اتفاقی که برای لونا افتاد؛ با این که آن پروژه نسبتاً خلاقانه بود و در دانشگاه هاروارد روی آن استرس تست انجام شده بود، اما طراحی سیستم آن فی نفسه ریسکزا بود. کاربران روی آن سرمایهگذاری کردند و یک شبه دارایی آنها از دست رفت بدون اینکه خودشان در چنین ریسکی دخیل باشد.
اما راهکار مواردی که شما گفتید، دانشافزایی است. قبل از اینکه در هر حوزهای بهویژه حوزههای مالی ورود کنید، باید خود به دنبال فرایند کسب دانش باشید. در حال حاضر کیف پولها دستهبندیهای مختلف دارند. نگهداری کلد شاید از حد توان یک کاربر معمولی فراتر باشد. اما استفاده از همان لجر یا تراست ولت نیازمند داشتن دانش است. کوچکترین اشتباهی در این حوزه از نحوه ذخیرهسازی کلمات بازیابی یا کلید خصوصی تا ارسال توکن اشتباه یا روی شبکه اشتباه یا به آدرس اشتباه میتواند امنیت دارایی را تحتتأثیر قرار دهد.
به نظر من معضل فعلی در کشور و کامیونیتی فعال در حوزه رمزارزها، بحث دانش است. داشتن دانش عمومی تا نود درصد مشکلات را میتواند برطرف کند. 10 درصد مشکلات باقیمانده دیگر هم ممکن است به راهکاری پیچیدهتر و حرفهایتر نیاز داشته باشد.
در سالهای گذشته اکوسیستم رمزارزی در حوزه تبادل خیلی رشد کرده است. تعداد زیادی از کسبوکارهای این حوزه در اکسچنچها فعالیت میکنند. مهمترین نقاط ضعف این کسبوکارها چیست؟ هم در طراحی کسبوکار و هم در نوع خدماتی که ارائه میدهند، چه مواردی کمتر موردتوجه قرار گرفته است؟ فکر میکنید اگر صرافیهای داخلی بخواهند در تراز صرافیهای خارجی ظاهر شوند چه مواردی را باید در نظر بگیرند؟
در حال حاضر صرافیهای ایرانی نقاط ضعفی دارند و متاسفانه استاندارد مشخصی برای آنها تعریف نشده است که از جمله دلایل این موضوع، برخی سیاستها و دانش رگولاتور ما در این زمینه است. حتی سندباکسی هم در این حوزه تعریف نشده است که صرافیها تحت یک سری شاخص عمل کنند، هیچ ارزیابی عملکردی هم وجود ندارد. بعضاً حتی شاخصهای غلط بهجای شاخصهای درست در نظر گرفته میشود.
در حال حاضر 70 درصد انرژی صرافیها در ایران صرف پوشش ریسکهایی میشود که ربطی به حوزه رمزارزها ندارد. برای مثال سیستمهای مانیتورینگ و رصد بانکی در ایران مشکل دارد و هر کسب و کاری که تراکنش مالی دارد مجبور به پوشش شخصی ریسک های مرتبط با نقل و انتقال مالی میشود. ما بهخاطر پوشش این جور ریسکها مجبوریم قسمت زیادی از انرژی خود را صرف سالمسازی فضای مالی کنیم. در حالیکه در خارج از ایران چنین مشکلی بر عهده بستر مبادلاتی نیست و صرفاً تمرکز بستر بر کار اصلی خود است. حتی فراتر از آن در نگاه مقام قضایی و نظارتی، ما بدون وجود هیچگونه قانونی مسئول شناخته میشویم و تمامی فشار به جای اینکه بر روی سامانه مانیتورینگ بانکی آورده شود به کسب و کارهای خصوصی با دسترسیهای محدود و حوزه عملکرد محدودتر آورده میشود.
میخواهم بگویم بحث رگولاتوری و نبود شفافیت و یکسری نکات خارج از فضای رمزارزها، هفتاد درصد انرژی بسترهای ایرانی را گرفته است و اجازه نمیدهد نسبت به اتفاقات جدیدی که در حوزه رمزارزها در سراسر دنیا میافتد، نگاه توسعهای داشته باشند. ریلگذاری درستی هم برای توسعه وجود ندارد. این ریلگذاری هم باید تحت یک کار تحقیقاتی و توسط یک تیم متخصص اتفاق بیفتد و این استانداردها و شاخصها تعریف شود.
اما با این اوصاف همین جوانان متخصص توانستهاند بسیاری از موارد مثل موتورهای مچینگ در بازارهای مبادلاتی که تا سالیان سال به عنوان محصولات وارداتی در سازمانهایی نظیر سازمان بورس به کار گرفته میشد را در زمان بسیار اندکی به شکل بومی پیاده کنند و چه بسا عملکرد بسیار بهتری از سامانههای وارداتی داشته است.
بهطورکلی نقش رگولاتور در حوزه رمزارز در کشوری مثل ایران چقدر مهم است؟ اگر برای رگولاتور توصیهای داشته باشید، به نظر شما مهمترین اولویتی که الان رگولاتور باید به آن توجه کند و در آن مورد اقدام عملیاتی داشته باشد و قانون یا آییننامهای را تصویب کند، چیست؟
حوزه رمزارزها حوزه متفاوتی است. رگولاتوری در این زمینه میتواند برای طیف وسیعی از موضوعات از مفهوم رمزارزها و ایجاد آنها تا مباحثی مثل ماینینگ و بسترهای تبادل تعریف شود. من بحثم را روی سکوهای تبادل یا صرافیها متمرکز میکنم. نقشی که باید رگولاتور ایفا کند، تعریف استاندارد و نظارت بر آن استانداردهاست. ممکن است تضاد منافع در موضوع تعاریف استانداردها و نظارت با سیستمهای سنتی و موجود اتفاق بیفتد. چون چه بخواهیم و چه نه، این یک تغییر پارادایم اقتصادی است و در یکسری از جایگاهها تعارض پیش میآید. برای مثال رمزارزها با برخی از منافع بانکهای مرکزی تعارض دارد. با این وجود اگر بانک مرکزی بهعنوان رگولاتور یا حتی کارشناس انحصاری انتخاب شود، آیا در نگاه کلان تصمیم درستی است؟ به نظر من نیست. پس باید رگولاتوری به شکل دیگر و از کانال دیگری باشد.
تصمیم حاکمیت هر چه باشد به نظر من تعریف و نظارت بر استانداردها وظیفه حاکمیت است. آیا تعریف استانداردها خارج از نیروهای متخصص این کامیونیتی میتواند اتفاق بیفتد؟ به نظر من خیر. به نظر من تا کنون، تیم های تخصصی برای هر حوزه متفاوت رمزارز در راستای تدوین سند رگولاتوری به کار گرفته نشده است. برای مثال باید تعریف استانداردهای حوزه سکوی تبادل رمزارزی را به کسی سپرد که در این حوزه فعالیت و تخصص داشته نه حتی افراد متخصص در حوزه رمزارزها.
چند صدایی در حاکمیت در موضوع رمزارزها و تصمیمات لحظه ای و خارج از حیطه تخصص، مشکلات جدی امروز جامعه رمزارزی در کشور است که باعث شده طیف وسیعی از نیروهای متخصص که قابلیت ظرفیتسازیهای روزافزون برای کشور در این حوزه را دارند یا اصلاً به این حوزه ورود نکنند یا اگر هم ورود داشتند و دانشی کسب کردند، آن را به خارج از کشور منتقل کنند.
نتیجه عدم مدیریت صحیح در تعریف استانداردها و نظارت بر آن، منجر به این فضای سردرگمی میشود که در صرافیها وجود دارد و این اختلاف استانداردهایی که در صرافیها در حال پیادهسازی است. نتیجه این موارد را زمانی میبینیم که تست کیسهای جدی در سیستم رمزارزی ایران اتفاق بیفتد. من معتقدم که بسیاری از بسترهای داخلی ما تحتفشار نفوذهای امنیتی نبودهاند و اگر باشند ممکن است مشکلات جدی در برخی از بسترها به وجود بیاید.
حاکمیت با تعریف استانداردها به توسعه کمک میکند و منجر به ریلگذاری میشود. به این ترتیب خیال بسترها راحت میشود که پس از پیادهسازی استانداردها میتوانند به توسعه فکر کنند. حاکمیت باید نگاه دلسوزانه داشته باشد تا بتواند ارزشافزوده ایجاد کند.