עולם הקריפטו מתפתח ומשתכלל, אך גם המוטיבציה של האקרים למצוא בו פרצות

הכותב הוא יזם ושותף־מייסד בקרן ההון־סיכון קוליידר וונצ'רס

בעשר שנות קיומה של הטכנולוגיה הביזורית, נגנבו יותר מ-25 מיליארד דולר של מטבעות קריפטוגרפיים בשלל פריצות והונאות. בעוד שהמתקפות הולכות ומשתכללות והסכומים הנגנבים בכל פריצה נאמדים במאות מיליוני דולרים, גם הפתרונות להגנת המשקיעים והמשתמשים צוברים תאוצה. טכנולוגיות חדשות נבנות בימים אלו על מנת לצמצם את החששות שמונעים מרבים מלהיכנס לדור השלישי של האינטרנט, ולהסדיר את המערב הפרוע של העולם הדיגיטלי.

תעשיית הקריפטו מגיבה לפריצות בדאגה שמהולה באדישות, ומכירה בכך שזו תופעת לוואי שלילית וזמנית המתרחשת כחלק ממהפכה כלכלית מבורכת. אלא שמנגד, גופי התקשורת המסורתיים עטים על כל ידיעה שנוגעת לנושא, וככל הנראה גם בצדק. מכאן הדרך לתדמית שוק מפוקפקת, קצרה ביותר.

כפי שמשתקף בסדרות טלוויזיה, ולעיתים גם במציאות עצמה, שוד מוצלח בעולם המסורתי מצריך תכנון רב על מנת לנצל את ההזדמנות היחידה, ולא להיתפס. לשדוד בנק מחייב את הגנב להצטייד בכלי נשק, מסיכה, נתיב מילוט ודרך להפוך את ההון הנשדד לכסף זמין ללא עקבות. אם כן, לא פלא שעולמות הקריפטו מושכים אליהם האקרים, בראש ובראשונה בשל הסיכון הפיזי הנמוך להיתפס בשעת מעשה, זריקת המסיכה הפרימיטיבית לטובת ארנק נטול זהות, וזניחת נתיב המילוט המאתגר לטובת אנונימיות דיגיטלית.

על מנת להבין איך מתכנת אנונימי מצליח לשדוד מהמרתף בביתו סכומי עתק, יש לצלול אל שלל סוגי הפריצות וההונאות בתעשייה. כל זאת, בזמן שחברות רבות רוצות להגן על המשתמשים, ושואפות לבנות את חברות הסייבר של העתיד.

את ההונאות בעולם הקריפטו ניתן לחלק למספר קטגוריות. הראשונה, יחסית פשוטה להבנה וכוללת הונאות משקיעים קלאסיות, שמגייסות כסף לטובת מיזמים שקריים כמו הונאת פירמידה או פונזי מבעלי ההון והציבור. השנייה, כוללת פריצות לבורסות המסחר, וגניבה ישירה מהארנק הדיגיטלי של משתמש הקצה (פישינג). לבסוף, השלישית כוללת פריצות שמבוססות על הקוד הפתוח, כמו "משיכת השטיח" (Rug Pull) על ידי היזמים, והלוואות בזק.

הונאות פונזי ופירמידה

הונאות פונזי מוכרת גם בעולמות המסורתיים, בה היזם הנוכל משכנע את המשקיעים התמימים לתת לו את כספם בהבטחה לתשואה גבוהה משמעותית מיתר השוק. בתחילת הדרך, המשקיעים מקבלים את התשואות מהכסף של המשקיעים הבאים אחריהם, עד שבשלב מסוים זרם המשקיעים החדשים פוסק, התשואות קטנות, בקשות המשיכה גדלות - והמשקיעים מאבדים את כספם.

בעולם הקריפטו תיזכר לדראון עולם חברת OneCoin, שיצאה במסר דרמטי שהיא "הביטקוין קילר", והפסידה למשקיעים למעלה מ-4 מיליארד דולר. מקרה זכור נוסף שייך לחברת PlusToken הסינית, שגנבה למעלה מ-5 מיליארד דולר בהבטחה לתשואה גבוהה על נכסים דיגיטליים שיופקדו אצלה.

מודל דומה להונאות הפונזי, החביב על נוכלים בישראל ומוכר גם מעולמות השיווק, מכונה הונאת פירמידה. על פי המודל, ישנו מוצר הנמכר על ידי הסוכנים המשווקים בשיטת "חבר מביא חבר". במילים אחרות, ככל שמשתמש נמצא במיקום גבוה יותר בפירמידה ומביא עוד משתמשים תחתיו, כך גדל הנתח שלו מהכנסות החברה.

אחת מהונאות הפירמידה הגדולות בהיסטוריית עולם הקריפטו, הייתה של חברת BitConnect, הידועה לשמצה בעקבות הפומפוזיות והמוחצנות של מייסדיה בכנסי החברה לסוכנים תמימים. החברה הבטיחה תשואה של 40% למצטרפים, אלא שהפעילות התגלתה לבסוף כמעילה שהגיעה לסכום של למעלה משני מיליארד דולר.

פריצות דרך קוד פתוח

בעוד שרוב המטבעות המייצגים בלוקצ’יינים, כגון ביטקוין ואתריום, מעולם לא נפרצו, דווקא בנקודות החיבור בין העולם המבוזר לריכוזי ישנן נקודות תורפה המנוצלות היטב על ידי האקרים מסביב לעולם. הפרצה המוכרת והגדולה ביותר התרחשה ב־2014, בה נפרצה הבורסה היפנית Mt. Gox, ונגנבו מאות אלפי ביטקויינים, ששווים כ-600 מיליון דולר. מהרגע שהמשתמש מעביר את המטבע הדיגיטלי מארנקו הפרטי אל חשבונו בבורסה ריכוזית, הוא מאבד שליטה על הכסף, ונתון לחסדיו של הקוד המאבטח את האתר, והארנקים של הבורסה.

ככל שהתפתחה הטכנולוגיה, כך גברו השימושים בחוזים חכמים שבבלוקצ'יין, המהווים מעין קוד שיכול לתכנת קופה משותפת עם טוקנים. מכיוון שהקוד הינו פתוח וזמין לכולם ברשת, ההאקר יכול למצוא נתיב פריצה ולנצל חולשות בו על מנת לגנוב את המטבעות הדיגיטליים בקופה המשותפת. אחד המקומות הרגישים ביותר הוא בחיבור בין הבלוקצ’יינים השונים, המצריך פתרון מורכב על מנת להיות מבוזר ובטיחותי. ואכן, שלושת הפריצות הגדולות בקטגוריה היו באותם "גשרים" בין הרשתות השונות, בסך כולל של למעלה ממיליארד דולר.

לעיתים, היזם עצמו הוא זה שכותב את הקוד עם "דלת אחורית פרוצה", המאפשרת לו למשוך את השטיח מתחת למשתמשים שהצטרפו לפלטפורמה שלו. דוגמה לכך היא המטבע הפופולרי על שם הלהיט של נטפליקס, "משחקי הדיונון", שזינק לשווי אסטרונומי. לאחר שלא היה ניתן למכור את המטבע, ברחו היזמים עם מיליוני דולרים והותירו את המשקיעים בידיים ריקות.

כיצד מונעים פריצות?

מכיוון ששוק הקריפטו הולך ומשתכלל בכל רגע נתון, כך גם היצירתיות והתיאבון של ההאקרים גדלים. כל זאת בשילוב קלות הדעת היחסית של לא מעט מהמשקיעים, שלעיתים נוטים להתייחס אל המטבעות כמשהו וירטואלי, ושמים את כספם בפרויקטים ללא יזמים ברורים. על אף שנדמה שחלק נכבד ממניעת הגניבות תלוי בחינוך שוק לשיקול דעת, עדיין מוצרים רבים נשענים על טכנולוגיה המפצלת את המפתח הפרטי ומצפינה אותו, כמו אלו שמפתחות חברת Fireblocks וחברת ZenGo הישראליות.

כמו כן, ישנן חברות רבות נוספות ששואפות לנטר את הפעילות שעל גבי הבלוקצ’יין, למצוא פעולות חשודות, ולהתריע בפני היזמים והמשתמשים.

על אף שנדמה לאחרונה שידם של הרשויות מתחילה להגיע אל השודדים, עדיין שוק האפשרויות הבלתי מוגבלות מהווה סיכון למשתמש שאינו בקיא ברזי הקוד או המודלים הכלכליים של הטוקנים. ככל שמוצרי הסייבר, המעקב והארנקים המאובטחים אמונים להגן על הלקוח הפשוט - כך יפחתו אירועי הפריצות, ההדהוד התקשורתי ידעך, התדמית תשתפר ותיסלל הדרך לאימוץ הטכנולוגיה המהפכנית בידי משתמשי הקצה.