נחשפה פרצת אבטחה נוספת בארנקים דיגיטליים; איך זה קרה וכיצד להתגונן?
צוות המחקר של חברת אבטחת הסייבר פיירבלוקס (Fireblocks), חשף בשבוע שעבר חולשה בשורה של חברות קריפטו המציעות פלטפורמות מסחר וארנקים דיגיטליים, ביניהן גם קווינבייס (Coinbase), ביינאנס (Binance) וזנגו (ZenGo) הישראלית. ממצאי המחקר שהוצגו בוועידת Black Hat, שנערכה בלאס וגאס, הביאו את החברות לתקן את הפרצה ולפתור את הבעיות שזוהו.
על אף שהחולשות, עליהן הצביעו החוקרים של חברת אבטחת הסייבר הישראלית, תוקנו פוטנציאל הנזק שלהם מוערך על פי החברה במיליוני ואף מיליארדי דולרים. זאת היות והפלטפורמות בהן נתגלו החולשות, מנהלות ארנקים דיגיטליים של מיליוני לקוחות אשר היו חשופים במידה רבה לאפשרות שתוקפים זדוניים יקבלו גישה לנכסים שנמצאים בארנקים הללו.
מעצם טבעו, עולם הבלוקצ'יין מעניק למשתמש רמת ביטחון גבוהה בכל מה שקשור לאבטחה, שכן הוא מעניק למשתמשים בעלות מוחלטת על נכסיהם, כנגזרת מהחזקתם במפתחות המאפשרים להם לפעול על גבי הבלוקצ'יין. בשל כך, מרגע שהמשתמש יצר העברה של נכס דיגיטלי או ביצע תשלום, ברוב המקרים מדובר בתהליך בלתי הפיך. לכן, הנגישות למפתחות הופכת לקריטית בכל הקשור לאבטחה של הנכסים בעולמות הקריפטו. בתוך המרחב הזה, פעולות חברות כמו פיירבלוקס, אשר מספקות שכבות הגנה שונות שנועדו לדאוג שהפעולות שיבוצעו יתאמו אך ורק את רצונו של המשתמש והבעלים של הנכסים. זאת באמצעות שורה של שכבות הגנה שונות, אשר בין היתר מאמתות את הפעולות ודואגות לביזורן.
"החולשות שצוות המחקר שלנו חשף הם כאלה שנוגעות לאופן שבו שאנשים מנהלים ומייצרים מפתחות או חתימות", מסביר שחר מדר, ראש מוצרי האבטחה בפיירבלוקס. "התהליך הקריפטוגרפי של ייצור ארנק חדש, מערב כמה גורמים, משתמש הקצה וה-Vendor [הספק - א"ג]. אחרי יצירת המפתח כאשר המשתמש רוצה לבצע פעולות שונות (מכירה, תשלום יצירת NFT וכו'), הוא שב ומערב את כל אותם הגורמים. החולשות שגילינו הם כאלו שמאפשרות לאחד הגורמים להוציא את החלקים האחרים של המפתח משאר הגורמים, כאשר בעיקרון אף אחד מהצדדים לא אמור לבצע פעולות לבד. אך החולשות שחשפנו מאפשרות לתוקף לחלץ את החלקים של המפתח מהגורמים האחרים, ובכך להשיג שליטה טוטאלית בארנק".
- האם הטיסה שלכם בטוחה? לא ממש לפי מומחי אבטחת מידע
- Zenity מגייסת 38 מיליון דולר בסבב ב׳ כדי לשפר את האבטחה עבור עזרי AI ארגוניים ופיתוח באמצעות Low-Code
- המלצת המערכת: כל הכותרות 24/7
שחר מדר, ראש מוצרי האבטחה בפיירבלוקס
"משום שמדובר בתהליך כמעט בלתי הפיך, הוא מחזיק באפשרות לנצח, הוא יכול להחליט שהוא מרוקן את הארנק או שהוא ממתין להצטברות של נכסים נוספים. בכדי לעשות זאת, הוא היה צריך להשיג גישה לתוך המערכת שחותמת על העברות ומייצרת את המפתח הפרטי. על כן, התוקף היה צריך להשיג גישה לאחד הצדדים, או לספק או ללקוח שלו, וכן למערכת החתימה".
משום שמדובר על תהליך שהוא בחלקו בלתי הפיך איך מתקנים את הפרצה?
"החלק הראשון הוא למנוע מהתוקף להשיג את הנגישות הראשונית, באמצעות הגנה על מכונות של חתימה. החלק השני, מהרגע שהתגלתה החולשה הוא שהספקים יתקנו אותה כדי לוודא שלא יהיה אפשר לתקוף בעתיד דרכה. לאחר מכן, צריך לבצע חקירת רטרו שבוחנת האם מישהו כבר ניצל את החולשה. דבר שרק הספקים מסוגלים לעשות, מכיוון שאי אפשר לבחון את הבלוקצ'יין מבחוץ, שכן כל עוד התוקף מחזיק במפתחות הפעולות נראות כלפי חוץ כלגיטימיות. עם זאת, אפשר לייצר שכבות הגנה שמוודאת שהפעולות שנעשות בפלטפורמה הן לא חריגות. מה שיאפשר להציל את הנכסים אם התוקף עוד לא השלים את התקיפה".
- הארגנטינאים עוברים לקריפטו כדי להגן על החסכונות
- הדימום בקריפטו לא נעצר - מה יסמן תחתית?
- תוכן שיווקי שוק הסקנדרי בישראל: הציבור יכול כעת להשקיע ב-SpaceX של אילון מאסק
- המסיבה נגמרה? מטבעות הקריפטו ממשיכים לאבד גובה
אמנם הבחירה של הארנק והפלטפורמה היא קריטית בכל הקשור לחשיפה לאיומי סייבר, אך לדברי מדר משתמשי הקצה יכולים לעשות שורה של פעולות בכדי להקטין את החשיפה שלהם לאיומים מסוג זה. לצורך כך, פרסמו היום שורה של נציגים מחברות סייבר הפועלות בתחום, וביניהם מדר, מסמך שנועד להציע דגשים עבור אנשים וארגונים, אשר יסייעו להם לשמור על הנכסים הקריפטוגרפיים שלהם. כותבי המסמך מציעים למעשה מבחן קצר, תחת השם "Rekt Test", המבוסס על 12 שאלות פשוטות, באמצעותן יכול המשתמש או הארגון להבין את רמת האבטחה שלו ולהשתפר בהתאם.
- 3.חברה בלי QA (כן, כן) היא לא חברה שהייתי סומך על מוצריה (ל"ת)CTO 15/08/2023 09:28הגב לתגובה זו
- למה אתה חושב שאין לה qa? (ל"ת)מנהל qs 15/08/2023 12:22הגב לתגובה זו
- 2.Fireblocks היא לא חברת אבטחת סייבר (ל"ת)כתב אוויל 15/08/2023 09:27הגב לתגובה זו
- 1.פריירים לא מתים רק מתחלפים - כסף שלא קיים בלי אבא (ל"ת)משה ראשל"צ 15/08/2023 07:12הגב לתגובה זו
- כל הכסף בעולם לא קיים. רק מספרים במחשב. (ל"ת)המגיב 15/08/2023 09:07הגב לתגובה זו
הארגנטינאים עוברים לקריפטו כדי להגן על החסכונות
משבר הפזו מייצר גל חדש שלביקוש לקריפטו; זה קרה כבר בעבר - משברים מחזקים את הקריפטו
בארגנטינה מתרחשת לאחרונה תופעה מעניינת - אזרחים רבים שפעם הסתמכו על הפזו, המטבע המקומי, בוחרים לפנות למטבעות קריפטוגרפיים, ובמיוחד ל-stablecoins (מטבעות דיגיטליים שמקובעים לערך הדולר) כדי לשמור על ערך הכסף. הסיבה: אינפלציה גבוהה, איבוד אמון במטבע המקומי ומגבלות שיעורה של המדינה על רכישת דולרים.
תופעה זו אינה חדשה לחלוטין; היא מזכירה משברים כלכליים קודמים בארגנטינה, אם כי אז היתה בריחה לדולר. בשנת 2001-2002, הופסקו הפקדות בבנקים והפזו איבד יותר מ-70% מערכו תוך חודשים ספורים. באותה תקופה, רבים רכשו דולרים פיזיים כמקלט בטוח, אך כיום, בעידן הדיגיטלי, stablecoins כמו USDT (Tether) ו-USDC (Circle) מציעים אלטרנטיבה נוחה יותר - נגישה דרך אפליקציות סמארטפון, ללא צורך בהעברת מזומנים.
אמריקה הלטינית כולה רשמה אימוץ קריפטו בשווי 1.5 טריליון דולר, כאשר ארגנטינה מובילה את הדירוג עם שיעור אימוץ גבוה במיוחד בשל האינפלציה שחצתה את רף ה-200% בשנה הקודמת. פלטפורמות כמו Binance ו-LocalBitcoins מדווחות על זינוק של עשרות אחוזים במסחר יומיומי, מה שמעיד על כך שהתופעה אינה מוגבלת למשקיעים מקצועיים, אלא חודרת לכל שכבות האוכלוסייה.
מה גורם לציבור לבחור בקריפטו בשעה קשה?
הפזו הארגנטינאי מאבד ערך בקצב מהיר מאוד - שיעורי אינפלציה שנתית עוברים מאה אחוזים, והמטבע נחלש בתנאים של חוסר יציבות כלכלית. המשבר הנוכחי הוא חלק ממחזור היסטורי של משברים בארגנטינה, שכלל היפר-אינפלציה בשנות ה-80 (עד 5,000% בשנה) ומשבר החוב של 1989, שבו נקטעו תשלומי חוב חיצוני והכלכלה קרסה. לאור מצב זה, הארגנטינאים מחפשים חלופה שתשמור על הערך.
- ארגנטינה במערבולת: הכלכלה מקרטעת, הפסו בצניחה ומיליי נאבק על אמון הציבור
- תבוסת מיליי בבחירות בבואנוס איירס מאיימת על התוכנית הכלכלית שלו
- המלצת המערכת: כל הכותרות 24/7
הבחירה במטבעות דיגיטליים יציבים מאפשרת גישה פיננסית מהירה וזולה יותר, במיוחד עבור עובדים מרוחקים שמקבלים שכר בדולרים דיגיטליים מחברות גלובליות. ארגנטינה מדורגת בין חמש המדינות המובילות באימוץ stablecoins, לצד הודו ובברזיל.
הדימום בקריפטו לא נעצר - מה יסמן תחתית?
הירידות במטבעות המובילים נמשכות וזולגות גם לחברות הכריה, האוצר, בורסות המסחר ועוד; אנליסט של בנק סטנדרד סבור שירידה ל-100 אלף דולר למטבע ביטקוין היא בלתי נמנעת, אך תהווה הזדמנות שאינה חוזרת; מה עוד התרחש השבוע בשוק הקריפטו?
שוק הקריפטו מתקשה להתאושש מטראומת יום שישי השחור מלפני שבועיים (ה-10 לאוקטובר), וכל ניסיון לייצר מגמת עליה נבלם באיבו. ענני המאקרו הם בעיקר אלו שמאפילים וחוסמים את שוורי הקריפטו. בין השאר, התחממות מלחמת הסחר מול סין, אי הוודאות בנוגע לכלכלת ארצות הברית והחשש שהשבתת הממשל תתרום לפגיעה נוספת בכלכלה שנמצאת גם כך במצב רגיש. מי שנפגע לא פחות ממחזיקי המטבעות עצמם הם מחזיקי מניות החברות הקשורות לתעשייה שסופגות ירידות חדות, גם כשהקריפטו עצמו מחזיק מעמד בסביבות אזור התמיכה של 107 – 108 אלף דולר למטבע לביטקוין, ואזור ה-3700 – 3800 לאת'ריום.
מניות הכרייה סובלות מירדות חדות במיוחד בימים האחרונים. ביטפארם ירדה בכ-40% בחמשת ימי המסחר האחרונים, האט 8 בכ-28%, ומארה הולדינגס בכ-16% באותה תקופת זמן. מניות חברות האוצר (סטרטג'י), בורסות הקריפטו (קוינבייס, רוביהוד, בוליש), המטבעות היציבים (סירקל) ואחרות – לא ירדו כל כך הרבה, אך כולן סובלות מהטרנד השלילי בשוק הקריפטו. יחד עם זאת, כמעט כל החברות הללו עדיין עם תשואה חיובית מרשימה אם בודקים ששה חודשים או שנה אחורה. האם מדובר רק במהמורה בדרך או שינוי מגמה ארוך טווח?
יש מי שלא מאבד תקווה ורואה בירידות האחרונות הזדמנות. ה"שור הנצחי", בנק סטנדרד מנבא שהביטקוין אמנם יצנח אל מתחת ל-100 אלף דולר בקרוב "באופן בלתי נמנע", אך זוהי תהיה ההזדמנות האחרונה לרכוש את המטבע במחיר כזה. נציין שהמטבע נוטה להשיג "מספרים עגולים" שהוא נע לקראתם, כך שההערכה שהמחיר ימשיך לרדת לכיוון ה-100 אלף נראית סבירה מאד, יחד עם זאת ספק אם זו תהיה הפעם האחרונה, גם אם נראה התאוששות משמעותית במחיר. הביטקוין נוטה להתרסק בעשרות אחוזים מדי כמה שנים.
חשוב לזכור שהבנק ידוע בתחזיות שורות במיוחד ביחס לביטקוין, שבדרך כלל רחוקות מלהתגשם. רק לפני שלושה שבועות צפו בבנק מחיר של 135 אלף דולר למטבע בטווח הקצר, ואף צפו שהעליה הזו תהיה "קבועה" עם מחיר יעד של 200 אלף דולר בסוף השנה הנוכחית, אך הקריסה של ה-10 לאוקטובר שינתה מעט את התחזית לטווח קצר, וכעת צופים שם המשך ירידה בטווח הקרוב. יחד עם זאת, הירידות יהיו זמניות, לדברי אנליסט הבנק ג'פרי קנדריק, שמסרב לשנות את מחיר היעד לסוף השנה. כלומר, המטבע צפוי לזנק לדעתו בקרוב ל-100% במעט מעל חודשיים שנותרו עד סוף השנה. כנראה שניתן יהיה לצרף את התחזית הזו לשאר התחזיות של סטנדרד שלא התממשו.
- לאחר מאסר של ארבעה חודשים - טראמפ חנן את מייסד בייננס
- הארגנטינאים עוברים לקריפטו כדי להגן על החסכונות
- המלצת המערכת: כל הכותרות 24/7
מה יסמן את התחתית? קנדריק מצביע של שלושה אינדיקטורים. ראשית, זרימה של כסף מהזהב חזרה לביטקוין. במהלך השבוע נרשמה ירידה חדה במחיר הזהב, יחד עם התאוששות קלה בביטקוין. שתי המגמות היו קצרות טווח, אבל נראה שהקורלציה ביניהן עשויה להימשך, ויציאה של הון מהזהב וכניסה לביטקוין עשוי להיות סמן חיובי.
