75 מיליון דולר נגנבו בשבוע: מה השתבש בשוק הקריפטו ואיך אפשר להגן על נכסים דיגיטליים?
בתוך שבעה ימים בלבד נגנבו נכסים דיגיטליים בשווי של 74.8 מיליון דולר משלוש פלטפורמות קריפטו מרכזיות בעולם- CoinDCX, BigONE ו-Arcadia Finance, אירועים הממחישים עלייה מדאיגה בגל הפריצות למוסדות פיננסיים דיגיטליים. המתקפות האחרונות לא רק הסבו נזקים חמורים לחברות ולמשקיעים, אלא גם ממחישות עד כמה ניהול אבטחת נכסים דיגיטליים דורש כיום תשתית מתקדמת, נהלים מוקפדים ומודעות לאיומים המתוחכמים שצצים.
שלוש פריצות, שלושה תסריטים שונים, תוצאה אחת
ב-15 ביולי, Arcadia Finance, פלטפורמת DeFi לניהול והשקעות אוטומטיות באמצעות חוזים חכמים, נפגעה כאשר תוקף הצליח לנצל חולשה בחוזה ה-Rebalancer שלה. הפונקציה rebalance, שלא כללה מנגנוני אימות קלט מספקים, איפשרה להעביר מידע זדוני שהעניק גישה לא מורשית לכספי משתמשים. הנזק: 3.6 מיליון דולר, שנמשכו כטוקנים דיגיטליים והועברו דרך רשת Base ל-Ethereum mainnet (רשת ETH הראשית).
יום לאחר מכן, BigONE, בורסת קריפטו בינלאומית, דיווחה על גניבה בהיקף של 27 מיליון דולר, לאחר שגורם זדוני הצליח לבצע הנדסה חברתית (Social Engineering), שיטה בה תוקפים מנסים לנצל חולשות אנושיות ופסיכולוגיות של האדם כדי לחדור למערכות. במקום לפרוץ קוד או שרתים, ההאקרים מנסים לשכנע או להטעות אנשים למסור מידע רגיש, לחשוף סיסמאות, או לבצע פעולות המאפשרות חדירה לארגון. במקרה של BigONE, התוקף הצליח להשיג גישה לסביבת הפיתוח של מפתח. באמצעות החדירה בוצעה הטמעת קוד זדוני שאיפשרה לשנות את הלוגיקה של ניהול הארנקים הדיגיטליים ולמשוך כספים מארנק חם שמחובר לרשת.
ב-19 ביולי, CoinDCX, בורסת הקריפטו הגדולה בהודו, הצטרפה לרשימת הקורבנות כאשר דיווחה על אובדן של כ-44.2 מיליון דולר בעקבות מתקפה על אחד הארנקים החמים שלה, ששימש לניהול נזילות. לטענת מנכ״ל החברה, החשבון נפרץ כתוצאה ממתקפת שרת מתוחכמת, דבר שמעיד ככל הנראה על גניבת מפתחות פרטיים.
שלושת האירועים הללו מדגימים את נקודת התורפה המרכזית של השוק: השילוב הקטלני בין תשתית ארנקים חמים, הנגישים לרשת לסיכונים תפעוליים, החל מחולשות בקוד ועד טעויות אנוש.
האקרים משקיעים מיליונים כדי לגנוב מיליארדים
מה שמייחד את הגל הנוכחי של הפריצות הוא התחכום: התוקפים אינם מסתפקים במתקפות ישירות על תשתיות; הם משקיעים משאבים כדי להבין תהליכים פנימיים, לנצל חולשות בשרשרת האספקה ואף להונות עובדים בכירים. כל אלה הופכים את ניהול אבטחת הנכסים הדיגיטליים לאתגר מערכתי שדורש שיטות מתקדמות בהרבה מהמקובל בשוק.
איך בכל זאת אפשר להגן על נכסים דיגיטליים?
האירועים האחרונים מחייבים מוסדות פיננסיים ואחראי אבטחת מידע לאמץ סטנדרטים חדשים לניהול ה-custody של נכסים דיגיטליים:
1. אחסון רוב הנכסים במערכות בלתי חדירות: יש להחזיק את מרבית הנכסים בארנקים בלתי חדירים (Impenetrable) בעלי תשתיות שאינן מחוברות לאינטרנט בשום שלב. רק היקפים מצומצמים לתפעול יומיומי יישמרו בארנקים חמים המבוססים על טכנולוגיות Multi-Party Computation.
2. ניהול מפתחות רב-שכבתי: פתרונות כמו uMPC מאפשרים מספר בלתי מוגבל של חותמים, כך שגם אם אחד הגורמים נפרץ, עדיין נדרש שיתוף פעולה של מספר מערכות ואנשים כדי לאשר עסקה.
3. הקשחת סביבת הפיתוח: תוקפים רבים מחפשים נקודות תורפה דווקא בקרב צוותי הפיתוח. חיוני לבודד את סביבת הפיתוח ולמנוע כל חיבור ישיר לאינטרנט, גם במהלך הפיתוח.
4. בדיקות שוטפות של ספקי צד שלישי: כל רכיב חיצוני, בין אם מדובר בתשתית ארנקים ובין אם בשירותי backend, דורש בחינה תקופתית ואימות בקרות האבטחה של הספק.
5. הגברת המודעות הארגונית: גם ב-2025, שכבת האבטחה האנושית היא קריטית. הדרכות לעובדים, מפתחים והנהלה, יסייעו בזיהוי מוקדם של ניסיונות פישינג והנדסה חברתית. Social Engineering תופס תאוצה, במיוחד עם התפתחות טכנולוגיות AI, ומומלץ לייצר פרוטוקלים להתמודדות עם האקרים שלא בוחלים באמצעים.
6. זהירות יתרה בהתקשרויות עם חוזים חכמים: מומלץ להימנע מהפקדת כספים בחוזה חכם, אלא אם זה הכרחי, וגם אז- רק בהיקף מוגבל, כדי לצמצם חשיפה במקרה של ניצול חולשה.
גל הפריצות מהווה תזכורת כואבת לכך שתחום ניהול הנכסים הדיגיטליים לא יכול להרשות לעצמו להסתפק בפתרונות מסורתיים. המצב מחייב מעבר לתשתיות custody בלתי חדירות, ניהול רב-שכבתי של מפתחות, אכיפה קפדנית של נהלים פנימיים והבנה עמוקה של הסיכונים הפיננסיים והטכנולוגיים. לארגונים המחזיקים בנכסים דיגיטליים- חשוב לעצור, לבחון את תשתיות האבטחה הקיימות ולדאוג שהן מותאמות לאיומים של מחר.
ליאור לאמש הוא שותף-מייסד ומנכ״ל GK8 שנרכשה ע״י Galaxy האמריקאית, המפתחת פלטפורמה לניהול והגנה של נכסים דיגיטליים עבור מוסדות פיננסיים
