בקריפטו הקוד הוא המלך / אילוסטרציה: טלי בוגדנובסקי
14 מיליארד דולר - זהו היקפן הכספי של ההונאות בקריפטו בשנת 2021. הקפיצה הגדולה בשוק הביאה איתה גם עלייה חדה במקרי ההונאה, שהפכו להיות יצירתיים יותר ויותר: מיצירת ארנקים דיגיטליים שאדם שלישי יכול למשוך את תכולתם, ועד לפריצות לבורסות עצמן. פרקטיקה בשם RUG PULL (ראו מילון מונחים) התפתחה בעולם ה-DEFI, וזאת לצד הונאות ופרקטיקות בעייתיות שמוכרות ואסורות בשוקי ההון המסורתיים. אך כאשר מדובר בעולם ללא רגולציה - הרי שכל מי שנכנס לפעול בו לוקח על עצמו את מלוא הסיכונים.
אנחנו נתמקד בכתבה זו במניפולציות בקוד של המטבע.
אחד הדברים הקוסמים בקריפטו הוא הכוח של הקוד, ובהתאם גם הביטוי "הקוד הוא המלך" נפוץ מאוד בקרב חסידי המטבעות הדיגיטליים. מה הכוונה? החזון של עולם הקריפטו הוא לייתר מתווכים והשפעה של החלטות אנושיות, באמצעות הגדרה מראש של חוזים חכמים שמתוכנתים לתוך קוד המטבע. כך למשל, אם יש לך מטבע שאמור להקנות לך זכות לקבל תמורה כלשהי בהתקיים תנאי מסוים, זה יקרה אוטומטית בהתקיים התנאי, ללא צורך בביורוקרטיה או באדם כלשהו שיאכוף את ההתחייבות. למשל אמן שכותב בתוך ה-NFT שהנפיק שעל כל מכירה משנית של היצירה הוא יקבל עמלה, זה יקרה באופן אוטומטי בכל פעם שתהיה טרנזקציה ב-NFT. כך, לפי התפיסה, מונעים ביורוקרטיה אבל גם מקבלים ודאות מראש, ונמנעים מהצורך להיות נתון להחלטה של גורם כזה או אחר במקרה של סכסוך.
למרות החזון האידאלי, הקוד, שרוב המשקיעים הפשוטים לא יודעים לקרוא אותו, משמש גם להונאות. מחקר חדש של חברת צ'ק פוינט התחקה אחר שיטות למניפולציות בקוד של מטבעות, וגילה כי קל להחביא הרבה דברים בתהליך התכנות.
למשל, חוזה חכם שמוטמע במטבע מבוסס על קוד מקור פתוח לחלוטין ואינו ניתן לשינוי, אך עדיין ניתן לראות את קוד המקור. כך אם מישהו רוצה לבצע פונקציה בחוזה חכם, הוא יכול לראות בדיוק מה יקרה בקוד. הקוד בחוזה החכם מבוצע על ידי ה-EVM (ר"ת Ethereum Virtual Machine) ומופעל על ידי כורים. בחוזה חכם ניתן לראות את הקוד שיבוצע, וכל פעולה תגרור עמלה כספית. האגרה תשולם על ידי מי שמבצע את הפונקציות, ולא על ידי בעל הקוד. לדוגמה, אם מבצעים פונקציית קנייה לרכישת מטבע/אסימון, משלמים עמלה עבור ביצוע פונקציה זו בבלוקצ'יין.
פונקציה קוראת לפונקציה קוראת לפונקציה, קוראת לגנב
"יש פער מאוד גדול בין הנראות של המטבע לבין מה שקורה מאחורי הקלעים, ואדם שהוא לא טכני או שלא יודע 'לחבר קצוות', לא יכול לעלות על זה", אומר עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט. "יש חוזים שהם בהגדרה תרמית.
"כאשר יוצרים מטבע, אני יכול לבחור לייצר חוזה באחת משלוש קטגוריות: להגדיר ערך קבוע בחוזה, למשל עמלה בגובה 5% במכירה, ומכאן זה סטטי ולא ניתן לשינוי", מוסיף ומסביר ואנונו. "אבל יש לא מעט חוזים שבהם את החלק של העמלות בונים עם פונקציות שקוראות לפונקציות אחרות, וקוראות לפונקציות אחרות - בהן ניתן אפילו באופן דינמי לשנות ערכים. קשה להבין מהפונקציות האלו מה יקרה בסוף כאשר אבצע את הטרנזקציה במטבע. זה יכול להוביל לטיוב המטבע ולשפר אותו תוך כדי תנועה, אבל גם יכול לשמש להונאה.
"התצורה השלישית של החוזה החכם היא פרוקסי - חוזה שיכול לקבל קוד ופונקציות מחוזה אחר. כלומר, החוזה של המטבע קורא לחוזה אחר שאותו משנים. גם כאן החוזה מאפשר למפתחים לשדרג את המערכת, אבל מאפשר גם ניצול לרעה".
חוזה שטומן 99% עמלה בקנייה או מכירה
אם כך, אילו חוזי תרמית עולים מהמחקר של צ'ק פוינט?
לדברי ואנונו, המקרים הקלים יותר הם מטבעות שמכילים בתוך החוזה עמלות של 99% שיקחו את הכסף המושקע כבר בשלב הקנייה. ישנם מטבעות שמכילים עמלת מכירה של 99%, שתעשה את אותה הפעולה בשלב המכירה. ישנם מטבעות שהחוזים לא מאפשרים למכור את המטבע לאחר רכישתו. באלו, הקוד מתוכנת כך שרק בעלי ארנקים מסוימים, יוצרי המטבע, יכולים למכור אותו. ישנם חוזים שמאפשרים ליוצר המטבע ליצור מטבעות נוספים בארנקו ולמכור אותם, כך שמשקיע שחשב שקנה מטבע שכמותו מוגבלת, יגלה שטעה.
בנוסף, בצ'ק פוינט גילו מטבעות שהחוזים החכמים שלהם כוללים פרצות אבטחה בקוד המקור, כך שגם אם ליוצר המטבע אין כוונה זדונית, האקרים מתוחכמים יכולים לנצל את הפגיעות הזו במטבע. ההמלצה של צ'ק פוינט לפיכך היא לסחור דרך בורסות ידועות ולהתמקד במטבעות שכבר עשו כברת דרך, עם מספר רב של עסקאות.