איך מקפיאים בטעות 150 מיליון דולר? - קופסה שחורה - הבלוג של לביא לזרוביץ - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

איך מקפיאים בטעות 150 מיליון דולר?

המשקיעים במטבעות הדיגיטליים לוקחים סיכונים רבים - אז איך בכל זאת אפשר להתגונן מפני גניבות מהארנקים הממוחשבים, ולמה USB סטיק הוא עדיין הכלי הבטוח לשמירה על מידע פיננסי?

ביטקוין, דוגמה למטבע דיגיטלי
בלומברג

העלייה המטאורית של שער הביטקוין ומטבעות קריפטוגרפיים בכלל בתקופה האחרונה, הביאה עמה ברכה לאלה מאיתנו שהשקיעו מאות דולרים (או קצת יותר) לפני כמה שנים והיום הם "אלפיונרים" (או קצת יותר). עליית השער הביאה איתה גם עלייה פחות ברוכה של פריצות לבורסות ועסקים המבוססים על מסחר או כרייה של מטבעות וירטואליים. רק במהלך 2017 נגנבו כ-109 מיליון דולר בארבע פריצות משמעותיות שונות שבכל אחת מהן נגנבו מטבעות בשווי מוערך של מעל למיליון דולר.

CoinDash - שבעה מיליון דולר

ביולי 2017 הנפיקה CoinDesh, חברת סטארט-אפ ישראלית קטנה העוסקת בהשקעה במטבעות קריפטוגרפים, מטבע (Token) חדש, כחלק מתהליך לגיוס כסף (ICO – Initial Coin Offering). באתר האינטרנט של החברה פורסמה כתובת ether שהפורצים הצליחו לשנות, וכך לגייס בעצמם כשבעה מיליון דולר. 42 אלף יחידות Etherium נגנבו, ושוויון כיום הוא 22 מיליון דולר.

Pairity – שלושים מיליון דולר (ו-150 מיליון דולר שהוקפאו)

כמה ימים לאחר האירוע של CoinDash, מיליון דולר נגנבו מ-3 ארנקי Etherium שהיו מבוססים על Pairity Multisigniture Wallets או בקיצור - multisigs. סוג הארנק הזה מאפשר למספר אנשים שליטה בו זמנית על הארנק. כך ניתן למשל למנוע גניבת מטבעות במידה שאחד המפתחות הפרטיים המשויכים לארנק, נגנב. לאור יתרון האבטחה הזה, ארגונים המבוססים על מטבעות קריפטוגרפיים עושים שימוש נרחב בארנק, וכך מגנים על המטבעות מפני תוקף חיצוני או עובד חברה עם גישה לארנק.

במהלך 2017, נמצאו שתי נקודות תורפה בקוד הפתוח של הארנק:

ב-20 ביולי 2017, תוקפים מצאו שניתן לנצל באג בקוד של כל ארנק ולהחליף את בעלי הארנק בבעלים אחרים. באמצעות הבאג, התוקפים שינו את רשימת הבעלים של שלושה ארנקים שהכילו 30 מיליון דולר, ומיד אחר כך העבירו את הכסף לארנק שנמצא בשליטתם.

מיד כאשר נודע בקהילת ה-Etherium על גניבת המטבעות, קבוצה של פעילים בקהילה פעלו לפרוץ לכל הארנקים שהיו עדיין פגיעים ולהעביר את המטבעות לגרסה חדשה יותר ללא הבאג. זאת במטרה למנוע מהתוקפים לרוקן גם את הארנקים האלו. לאחר מכן, הקבוצה פירסמה את רשימת כל הארנקים שרוקנו על ידם, הסכומים שהועברו וכתובות הארנקים החדשים ללא הבאג.

אלף יחידות Etherium נגנבו ושוויין כיום הוא 96 מיליון דולר.

ב-7 בנובמבר 2017, בחור הקורא לעצמו @devops199, מצא חולשה נוספת בארנקי Pairity, הקשורה לדרך שבה ארנקי Pairity ממומשים. ארנקי Pairity עושים שימוש בספריות קוד המוטמעות ברשת ה-Etherium כחוזים חכמים ומאפשרים לארנקי Pairity לחסוך קוד וכך גם לחסוך כסף. @devops מצא שניתן לאתחל את ספריות הקוד האלו כארנקים וכך בעצם לקחת בעלות עליהן, באופן הדומה לפירצה שהתגלתה כמה חודשים לפני כן. עד נקודה הזו, מטבעות ה-Etherium נשארו ללא שינוי. אבל @devops199, מסיבה לא כל כך ברורה (ובטעות, לטענתו), בחר להפעיל פונקציית kill על החוזה – וכך בעצם לנעול את כל ארנקי multisig של Parity. הפעולה האחרונה של @devops199 הקפיאה לא פחות מ-150 מיליון דולר - כסף השייך ללא מעט אנשים וככל הנראה יישאר קפוא לעולם.

Veritaseum - שמונה מיליון דולר

ב-23 ביולי 2017 נפרץ ארנק עם מטבעות Veri שבבעלות בחור בשם רג'י מידלטון (המקים והמנפיק של מטבעות מסוג Veritaseum). הארנק הכיל כ-36 אלף מטבעות בשווי של 8 מיליון דולר (בזמן הפריצה) שנאספו שבוע לפני כן בהנפקה רשמית של המטבע המשמש לסחר במטבעות בין משתמשים ללא מתווכים. הפרטים היחידים אודות הפריצה הגיעו מרג'י עצמו, שטען שהתוקפים הצליחו להתגבר על אימות כפול (second factor authentication) ואמצעי אבטחה אחרים שהגנו על הארנק. 36,687 יחידות Veri נגנבו, ושוויין כיום הוא 8 מיליון דולר.

NiceHash –  שישים וארבעה מיליון דולר

ב-6 בדצמבר 2017 חברת NiceHash נפרצה וכ-4,736 מטבעות Bitcoin נגנבו. החברה עוסקת בתיווך בין אנשים המעוניינים למכור כוח חישובי (כלומר להשכיר את כוח העיבוד של המחשבים שברשותם) לבין כורים (crypto-miners) שמשתמשים בכוח החישובי לכרות מטבעות קריפטוגרפיים. לטענת החברה, שעידכנה את משתמשיה לאחר הפריצה בשידור חי בפייסבוק, התוקפים הצליחו לחדור לרשת החברה ולהעביר כספים שנוהלו על ידי מערכת התשלומים. 64 מיליון דולר נגנבו מעשרות בעלי ארנקים המנוהלים על ידי NiceHash. שווי ה- Bitcoin שנגנב כיום הוא 80 מיליון דולר.

הפריצות וגניבת המטבעות בשנה האחרונה מדגישות את הסיכון הקיים במערכת הפיננסית המבוזרת שעליה מתבססים מטבעות קריפטוגרפיים. מצד אחד, עצם העובדה שבנקים וממשלות לא עומדים מאחורי המטבעות האלו, מייצרת שוק חדש ופוטנציאל עסקי אדיר; ומצד שני, קיימים סיכון רב ואי ודאות. אף על פי שהעסקות (transactions – Tx) והסחר במטבעות מפורסם וזמין, כפי שניתן לראות ברשימת הפריצות לעיל, ישנו גם לא מעט ערפל: אי ודאות הנוגעת לרמת האבטחה של החברה בה אנו משקיעים; האם החברה עומדת בתקני אבטחת מידע; או אפילו מי עומד מאחורי החברה או הנפקת מטבע מחדש.

צריך עוד לומר שהאירועים בשנה האחרונה, משמעותיים ככל שיהיו, הם אבני דרך קטנות בהיסטוריה של פריצות וגניבות מטבעות קריפטוגרפיים; אחד האירועים המכוננים בהיסטוריה הזו היא הפריצה לאחד ממוסדות הסחר במטבעות הגדולים שהיו – MT. Gox. ברצף פריצות למערכת זו, החל מ-2011 ועד 2014, הצליחו הפורצים לגנוב לא פחות מ-450 מיליון דולר (על פי שער הביטקוין בזמן הפריצה) על ידי השתלטות על מערכות החברה. 850 אלף יחידות ביטקוין, שמוערכות היום בסכום אסטרונומי של 14.5 מיליארד דולר, נגנבו מחשבונות החברה ומלקוחותיה, וגרמו לקריסתה בפשיטת רגל ב-2014.

אירועי הפריצה והגניבה שהוזכרו כאן מוכיחים שהמערכת הפיננסית המבוזרת שעליה מתבססים מטבעות קריפטוגרפיים, אינה מבזרת את האחריות על אותם מטבעות. בכל אחת מהפריצות האלו, למשקיעים לא היו ועדיין אין שום ערובות לביטחון הכסף שהושקע – האחריות המלאה לגורל הכסף תלויה רק, ואך ורק, במשקיע. זאת, גם במידה שהארנק שלו, המנוהל על ידי החברה או החברה עצמה, נפרץ.

מעבר לכך, הפריצות האלו משפיעות באופן ישיר ודי אכזרי גם על מי שמאבטח את הארנק הדיגיטלי שלו ואינו משאיר את המטבעות בארנק "חם" המנוהל על ידי מנפיק או בורסה. כאשר סכומים אדירים של מטבעות נודדים או מומרים, או כאשר הנפקת מטבע חדש נקטעת על ידי השתלטות של פורצים (דוגמת CoinDash), ערך המטבע עלול לרדת בחדות ואף להיעלם.

חוסר היציבות ותנודתיות חדה במטבעות הקריפטוגרפיים תשפיע על כל מי שמשקיע במטבעות האלו. במידה שחברות מסוג זה ייסחרו בבורסות לניירות ערך, קיימת אפשרות שהתנודתיות של המטבעות הקריפטוגרפיים תשפיע גם על המערכת הפיננסית הקונבנציונלית ובעצם על כולנו, בין אם יש לנו מטבעות או לא.

אחד הלקחים המרכזיים שלמדו כל אותם אנשים שאיבדו את ממונם הדיגיטלי הוא לא להחזיק סכומים גדולים בארנק "חם". ארנק "חם" הוא ארנק המנוהל על ידי חברה, כמו Bittrex, CoinBase או MT. Gox, שמאפשרת ללקוחותיה ממשק נוח לניהול, המרה, העברה ומשיכה של הכספים. כדי לנהל את הכספים, לחברה יש גישה מלאה לארנק או למטבעות, וכך תהיה גם לפורצים שיצליחו להשתלט על מערכות החברה.

לכן, את הכסף הגדול רצוי לשמור בארנקים "קרים" כמו Trezor, KeepKey או Ledger. הארנקים ה"קרים" מאפשרים בידוד של המפתח הפרטי, דבר המספק גישה לארנק על ידי שמירת המפתח (בין היתר) על חומרה נפרדת – USB Sticks. השימוש בארנק נעשה כאשר ה-stick מחובר למחשב ובעצם חושף את הארנק לפרק זמן קצר ובאופן מקומי בלבד; פריצה ל-exchange שבו נמיר את הכספים לא תשפיע על המטבעות בארנק, באופן ישיר לפחות. כאמור, "היעלמות" המטבע או ירידת ערך חדה תשפיע על כולנו. גם על אלה שמעדיפים להשקיע באג"ח ממשלתי.

הכותב הוא חוקר סייבר בכיר במעבדות סייברארק; סייברארק היא חברה גלובלית לאבטחת חשבונות פריווילגיים - שכבה קריטית באבטחת ה-IT המגינה על תשתיות ונכסי מידע של הארגון.

הרשמה לניוזלטר

כל הסקירות בזירת הניתוחים של TheMarker - בתיבת המייל שלכם

ברצוני לקבל ניוזלטרים, מידע שיווקי והטבות


תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות שאולי פיספסתם

*#