האם קל לגנוב את הביטקוין שלכם? ממש קל

הקריפטו הוא השקעה מסוכנת, אבל הסיכוי בה הוא גם ענק. הביטקוין נסחר בשיא והתשואה שלו על פני השנים האחרונות מרשימה ועולה כמעט על כל אפיק אחר. אלא שבקריפטו יש סיכון נוסף שצריך לקחת בחשבון.  מטבעות קריפטו אומנם מבטיחים חופש כלכלי, אנונימיות ושליטה אישית על הכסף, אבל מאחורי החזית הנוצצת של המטבעות הוירטואלים מסתתרת אמת מטרידה: לגנוב את הביטקוין שלכם זה לא רק אפשרי, אלא לעיתים קל באופן מפחיד. פרצת האבטחה האחרונה בקוינבייס, בורסת הקריפטו הגדולה בעולם, שבה האקרים שיחדו עובדים במוקד תמיכה בהודו כדי לשאוב מידע של עשרות אלפי לקוחות, היא רק קצה הקרחון. 

הסיפור הזה חושף איך שיטות ישנות ובסיסיות כמו שוחד משתלבות עם טכנולוגיות חדשות, ואיך חולשות אנושיות וטכנולוגיות הופכות את עולם הקריפטו למגרש משחקים של פושעים.

כשקריפטו פוגש שוחד: המקרה של קוינבייס

קוינבייס, חשפה בשבועות האחרונים פרצת אבטחה שהרעידה את התעשייה. חשבונות של 69,461 לקוחות – פחות מאחוז ממשתמשיה הפעילים – נפרצו כשהאקרים הצליחו לשים יד על מידע רגיש: שמות, כתובות, תעודות זהות, היסטוריית עסקאות ויתרות חשבון. איך הם עשו את זה? לא עם קוד מתוחכם או פריצה טכנולוגית פורצת דרך, אלא דרך שוחד. האקרים גייסו עובדים במוקד התמיכה ההודי של קוינבייס, שמסרו להם גישה ישירה למערכות החברה תמורת תשלום. 

ההאקרים לא הסתפקו במידע – הם דרשו כופר של 20 מיליון דולר כדי לא לפרסם אותו ברשת בדרקנט (הרשת האפלה). קוינבייס, בנחישות, סירבה לשלם והציעה פרס זהה למי שיסייע בלכידת הפושעים. החברה מעריכה שהנזק הכספי ינוע בין 180 ל-400 מיליון דולר, כולל עלויות לשדרוג מערכות, פיצוי לקוחות וחיזוק האבטחה. מעבר לכסף, הפרשה פגעה בתדמית של קוינבייס, במיוחד כשזו התרחשה זמן קצר לאחר שהצטרפה למדד S&P 500 ורכשה את בורסת האופציות דריביט תמורת 2.9 מיליארד דולר. המסר ברור: גם הענקיות של עולם הקריפטו לא חסינות מפני חולשות אנושיות. מסר מהדהד יותר - הביטקוין שלכם ממש לא בטוח. 

• לעבור מהזהב והביטקוין למתכות ומטבעות אחרים או פשוט להסתכל מבחוץ?
• הביטקוין מתנהג כמו שווקי המניות? כדאי להפנות את העיניים דווקא לשוק האג"ח

איך פורצים לארנקי קריפטו?

גניבת מטבעות קריפטו לא תמיד דורשת גאונות טכנולוגית. לפעמים מספיקות כמה טעויות אנושיות או שוחד פשוט. הנה הדרכים המרכזיות שבהן פושעים שמים יד על המטבעות שלכם. הראשונה היא פישינג. זאת כנראה השיטה הנפוצה ביותר. האקרים שולחים מיילים או הודעות שמתחזות לפלטפורמות מוכרות כמו קוינבייס, בינאנס או קראקן, ומבקשים ממשתמשים להזין פרטי התחברות או את המפתח הפרטי של הארנק שלהם. ברגע שהמידע מוזן, הכסף נעלם. בשיטה דומה, האקרים עשויים להתחזות לנציגי תמיכה ולשכנע משתמשים למסור קודי אימות.

אפשרות נוספת היא כאמור שוחד, כמו במקרה של קוינבייס. עובדים עם גישה למערכות יכולים להפוך לשער כניסה להאקרים, במיוחד אם הם מוכנים לקבל תשלום תמורת בגידה באמון החברה. בסוף, יש מחיר כזה שיהיו עובדים לא מעטים שיסכימו. ולכן, להסתמך על עובדים יכול להיות סכנה גדולה. העובדה שלקויינבייס לא היתה מערכת שבודקת-מפקחת על העובדים היא כשל גדול. 

דרך נוספת לגנוב את הביטקוין שלכם היא דרך ארנקים חכמים, כאלה שמחוברים לאינטרנט. האקרים מחפשים חולשות בתוכנה או במערכות האבטחה של בורסות כדי לגנוב מפתחות פרטיים. כשהם מצליחים, הם יכולים לרוקן חשבונות תוך שניות.

• הביטקוין מעל 111 אלף דולר - מה הגורמים לראלי?
• הפינטק והקריפטו לאן? "רואים סימנים של התאוששות בפינטק"
• תוכן שיווקי "הקרנות הפאסיביות מהוות 60% מהענף"

האקרים גם שולחים תוכנות זדוניות, כמו תוכנות שמרגלות אחר הקשות או משנות כתובות של עסקאות. תוכנה כזו יכולה להשתלט על המחשב שלכם, לגנוב את הסיסמאות או להעביר את הביטקוין שלכם לכתובת של ההאקר. האנונימיות של החזקת המטבעות משרתת את הפורצים וההאקרים - אין שמות מאחורי הקוד, וברגע שהסכום עבר - הוא עבר, זה כבר אבוד. אתם לא יכולים לדעת כמו בחשבונות בנק שהכסף עבר לבנק הפועלים לחשבון של ישראל כהן. לפנות לבנק ולישראל כהן, אין לכם דרך להגיע לארנק אחר שלרוב גם משמש ככלי ראשון לפני מעבר לארנקים אחרים. הסכום כבר נעלם ברשת.  

מעבר לכך, מתקפות פיזיות הופכות נפוצות ככל שערך הקריפטו עולה. יש עלייה בתקיפות פיזיות, כולל חטיפות שבהן קורבנות נאלצו למסור סיסמאות תחת איומים או אפילו עינויים פיזיים. במקרים קיצוניים, היו קורבנות שאיבדו אצבעות.

דרך נוספת של פושעים והאקרים לגנוב קריפטו - הונאות DeFi שמנצלות את המורכבות של חוזים חכמים. האקרים מזהים חולשות בקוד של פרוטוקולים, שואבים מטבעות בשווי מיליונים ונעלמים לפני שמישהו מבין קרה.

הונאות קריפטו מפורסמות ולקחים מהעבר

ההיסטוריה של הקריפטו רצופה בפרשיות שזעזעו את השוק. כל אחת מהן חשפה חולשה אחרת – טכנולוגית, אנושית או מערכתית. הנה כמה מהמקרים הבולטים:

מט. גוקס (Mt. Gox, 2014) - מט. גוקס הייתה בורסת הביטקוין הגדולה בעולם בתחילת העשור הקודם, אבל ב-2014 היא קרסה בקול תרועה רמה. האקרים ניצלו חולשות בארנק החם של הבורסה וגנבו כ-850,000 ביטקוין, שהיו שווים אז כ-450 מיליון דולר (והיום כ-110 מיליארד דולר). הפרצה התאפשרה בגלל ניהול כושל ואבטחה רופפת, והלקוחות איבדו כמעט הכול. המשתמשים נאלצו להמתין שנים לפיצוי חלקי, והפרשה הפכה לסמל של הסיכונים בקריפטו המוקדם. הלקח? אבטחה לקויה עלולה להרוס אפילו את השמות הגדולים.

ביטפינקס (Bitfinex, 2016) - בורסת ביטפינקס איבדה 120,000 ביטקוין, בשווי של כ-72 מיליון דולר באותה תקופה, לאחר שהאקרים ניצלו חולשה במערכת הארנקים הרב-חתימות שלה. ההאקרים הצליחו לעקוף את שכבות האבטחה, והבורסה נאלצה להפסיק את המסחר באופן זמני. ביטפינקס פיצתה את הלקוחות על ידי הנפקת אסימונים (BFX), שהובטח כי יומרו לכסף בעתיד, אך האמון בחברה נפגע קשות. הפרשה הדגישה את הסיכונים שבארנקים חמים ואת הצורך במערכות אבטחה חזקות יותר. הלקוחות לא קיבלו סכום שמתקרב להפסדים שלהם. 

קוודריגה סי.אקס (QuadrigaCX, 2019) - בורסת קוודריגה הקנדית התמוטטה לאחר מותו המסתורי של מנכ"ל החברה, ג'רלד קוטן, שהיה לכאורה היחיד שהחזיק במפתחות לארנקים הקרים של הבורסה. כ-190 מיליון דולר של לקוחות נעלמו, והחשדות כי מדובר בהונאה מתוכננת עלו במהירות. חקירות גילו שקוטן ניהל את הכספים בצורה רשלנית, ואולי אף השתמש בהם לצרכים אישיים. הלקוחות נותרו ללא פיצוי, והפרשה הפכה לדוגמה קלאסית לחוסר השקיפות של בורסות לא מפוקחות.

פולי נטוורק (Poly Network, 2021) - באחת ההונאות הגדולות בתחום ה-DeFi, האקרים גנבו 600 מיליון דולר מפרוטוקול פולי נטוורק על ידי ניצול חולשה בחוזה חכם. המפתיע הוא שההאקר, שכונה "האקר לבן", החזיר את רוב הכספים לאחר משא ומתן עם החברה, וטען כי פעל כדי לחשוף את הפרצה.

אנוביס דאו (AnubisDAO, 2021) - פרויקט ה-DeFi אנוביס דאו גייס 60 מיליון דולר ממשקיעים תוך הבטחות לרווחים מהירים, אך המפתחים נעלמו עם הכספים תוך ימים. הונאה זו, מסוג "Rug Pull", הפכה לסמל של הסיכונים בפרויקטים לא מפוקחים.

וורמסהול (Wormhole, 2022) - פלטפורמת וורמסהול, גשר בין בלוקצ'יינים שונים, ספגה פרצה שבה נגנבו 325 מיליון דולר על ידי ניצול חולשה בחוזה חכם. ההאקרים הצליחו ליצור מטבעות מזויפים ולהעבירם לרשתות אחרות.

רונין נטוורק (Ronin Network, 2022) - רונין נטוורק, הפלטפורמה שמאחורי משחק ה-NFT הפופולרי Axie Infinity, איבדה 620 מיליון דולר בהאק שכוון לגשר הבלוקצ'יין שלה. האקרים השתלטו על מפתחות פרטיים של צמתים ברשת והעבירו את הכספים לכתובות שלהם. החקירה הצביעה על קבוצת האקרים מצפון קוריאה, הידועה בשם Lazarus Group, כחשודה במעשה.

שאלות ותשובות: על פריצות וגניבות קריפטו והאם אפשר להגן?  

האם קוינבייס אחראית לפרצה?

משרד המשפטים האמריקאי מתמקד בחקירת הפושעים, ולא בקוינבייס עצמה, שדיווחה על הפרצה מיוזמתה. עם זאת, המקרה מעלה שאלות על ההסתמכות של החברה על מוקדי תמיכה חיצוניים ועל רמת ההכשרה של עובדיה. קוינבייס השקיעה מאות מיליונים בתיקון המערכות, אבל הנזק התדמיתי כבר נעשה. האם היא יכלה למנוע את הפרצה? אולי, עם בקרות פנימיות מחמירות יותר.

האם המידע שנגנב כבר הופץ בדרקנט (הרשת האפלה)?

עד כה, אין עדויות לכך שהמידע הופץ בדארקנט, אבל קוינבייס לא שוללת את האפשרות. החברה ממליצה ללקוחות לעקוב אחר חשבונותיהם, לשנות סיסמאות ולהפעיל אמצעי אבטחה נוספים. הסכנה שמידע ידלוף נותרת ממשית, במיוחד אם ההאקרים יחליטו למכור אותו.

מה יכולים לעשות לקוחות שנפגעו?

קוינבייס הודיעה על פיצויים והחזרים כספיים במקרים מסוימים, והיא משדרגת את מערכות הזיהוי וההונאה שלה. הלקוחות מתבקשים להפעיל אימות דו-שלבי, להשתמש בסיסמאות ייחודיות ולהימנע משיתוף פרטים רגישים. בנוסף, כדאי לעקוב אחר דוחות אשראי ולבדוק פעילות חשודה בחשבונות בנקאיים.

האם השוחד בהודו הוא הגורם המרכזי?

מנכ"ל קוינבייס, בריאן ארמסטרונג, טען שהבעיה אינה ייחודית להודו וששוחד יכול להתרחש בכל מקום שבו יש תמריץ כספי. עם זאת, המקרה מדגיש את הסיכונים בהעסקת עובדים חיצוניים עם גישה למידע רגיש. הפתרון, לדברי מומחים, הוא לא רק הכשרה מחמירה, אלא גם מערכות שמפחיתות את התלות בעובדים אנושיים.

האם שוק הקריפטו בטוח יותר היום מאשר בעבר?

השוק התקדם מאז הפרשות הגדולות של שנות ה-2010, עם שיפורים באבטחת ארנקים, רגולציה מחמירה יותר ומודעות גבוהה יותר של משתמשים. עם זאת, הסיכונים לא נעלמו. האקרים ממשיכים לפתח שיטות חדשות, והחולשות האנושיות – כמו רשלנות או תאוות בצע – נותרות קבועות. השילוב של טכנולוגיה מורכבת וחוסר ניסיון של משתמשים הופך את הקריפטו ליעד אטרקטיבי לפושעים.

מה הסכנות שמעבר לגניבה דיגיטלית?

מעבר לגניבת כספים, קיימת סכנה ממשית של אלימות פיזית. התקפות על בעלי קריפטו, כולל חטיפות ואיומים, הופכות נפוצות יותר. המידע שנגנב מפרצות כמו זו של קוינבייס יכול לשמש פושעים לזהות מטרות עשירות ולתכנן התקפות ממוקדות.

איך ניתן להגן על מטבעות הקריפטו שלכם בצורה הטובה ביותר?

הגנה על קריפטו דורשת שילוב של כלים טכנולוגיים, משמעת אישית ומודעות. הנה הצעדים המומלצים:  

השתמשו בארנק קר (Cold Wallet): ארנקים כמו לדג'ר (Ledger) או טרזור (Trezor), שאינם מחוברים לאינטרנט, הם דרך שנחשבת טובה לאחסן מטבעות. הם מונעים מהאקרים לגשת לכספים גם אם המחשב שלכם נפרץ. עם זאת, חשוב להדגיש כי אין ביטחון מלא. 

כמו כן הפעילו אימות דו-שלבי (2FA): הפעילו 2FA באמצעות אפליקציות כמו גוגל אוטנטיקייטור (Google Authenticator) או אוטי (Authy). הימנעו משימוש ב-SMS, שפגיע להתקפות SIM Swapping.  

פעולות נוספות שיעלו את ההגנה: גיבוי מאובטח של מפתח פרטי. שמרו את ה-Seed Phrase (ביטוי הזרע) של הארנק שלכם במקום פיזי מאובטח, כמו כספת עמידה בפני אש. לעולם אל תשמרו אותו דיגיטלית או בענן.  הימנעו מפישינג - בדקו היטב כל מייל, הודעה או קישור לפני שאתם מקליקים. ודאו שהכתובת של האתר מתחילה ב-https ושהדומיין תואם את האתר הרשמי.   וגם - עדכנו תוכנות והשתמשו באנטי-וירוס: ודאו שהמכשירים שלכם מעודכנים ומוגנים מפני תוכנות זדוניות. השתמשו בתוכנות אבטחה אמינות כמו מלווירבייטס (Malwarebytes).  

פעולה חשובה נוספת היא הפרדת חשבונות. שתמשו בכתובות דוא"ל וסיסמאות נפרדות עבור חשבונות הקריפטו שלכם. זה מפחית את הסיכון שפריצה לחשבון אחד תוביל לאובדן הכספים.  

חוץ מזה, המומחים ממליצים להשתמש בכתובות חדשות לעסקאות חדשות.הביטקוין מאפשר ליצור כתובת חדשה לכל עסקה, מה שמקשה על מעקב אחר הכספים שלכם.  וגם - אל תשתפו מידע על החזקות הקריפטו שלכם ברשתות החברתיות או בפורומים ציבוריים, כדי לא למשוך תשומת לב של פושעים.

למה אין הגנה מלאה?

גם עם כל הצעדים האלה, אין הגנה מוחלטת. הסיבה המרכזית היא שקריפטו מבוסס על אחריות אישית: אין בנק או ממשלה שיכולים להחזיר כספים שנגנבו. אם המפתח הפרטי שלכם נחשף, הכסף אבוד לנצח. בנוסף, האקרים ממשיכים לפתח שיטות חדשות, וחולשות אנושיות – כמו טעות בהקלדה או נפילה בפיתוי – תמיד יהיו חלק מהמשוואה. אפילו ארנקים קרים אינם חסינים לחלוטין; אם מישהו משיג גישה פיזית למכשיר או ל-Seed Phrase שלכם, הוא יכול לגנוב את הכספים. לבסוף, הסיכון של מתקפות פיזיות או כפייה מוסיף שכבה של סכנה שאי אפשר להתגונן מפניה באמצעים טכנולוגיים בלבד.