לא רק נפילות ערך: קריפטו בשווי 34 מיליון דולר נגנב מ-Crypto.com

בימים האחרונים ירד שער הביטקוין לשפל של כ-35 אלף דולר בלבד, בעקבות חשש המשקיעים מרגולציה כבדה יותר על השוק בארצות הברית ומאיסור השימוש במטבעות קריפטוגרפיים במדינות אחרות.

אבל זו אינה הבעיה היחידה של בעלי ביטקוין בפרט ונכסי קריפטו אחרים בכלל – אחרי שמועות שנפוצו בנדון במשך מספר ימים, קיבלו אוהדי המטבעות הווירטואלים אישור לשחששו ממנו: ברוסת הקריפטו השלישית בגודלה בעולם, Crypto.com, הודתה שאכן עברה פריצה ושמטבעות בשווי 34.5 מיליון דולר נגנבו ממנה.

על אף הודעתה וההתוודות הזו, החברה עדיין לא הסבירה כיצד הצליחו התוקפים לעקוף את האימות הדו-גורמי (2FA) של חשבונות הנהוג על ידיה, ולגנוב את הכספים.

לפי דיווח של Crypto.com עצמה, שפורסם ביום ה' האחרון, מה שהיא מגדירה כ"אירוע" השפיע על 483 משתמשים שלה. לדבריה, התוקף או התוקפים איתרו דרך לאשר עסקאות מבלי שבקרת האימות הדו-שלבי תוזן על ידי בעלי החשבון.

על פי בורסת הקריפטו, כל המשיכות של הכסף הגנוב היו כאלו המאושרות ללא בדיקות אימות כפול גורמים, וזה היה מה שהפעיל את ההתראה וחשף את הפריצה, כמו גם גרם לה להשעות את המשיכות של כל הלקוחות לזמן מוגבל, כדי לשוב לעסקים במצב מאובטח מחדש.

לא נכלל בעסקאות של ההאקרים. אימות דו-גורמי (2FA). אילוסטרציה. צילום: BigStock

הלקוחות קיבלו "החזר מלא" של כספם שנגנב

כפי שלמדנו מסיכום 2021, כ-3.2 מיליארד דולרים במטבעות וירטואליים נגנבו השנה – עלייה של 516% לעומת 2020, כך לפי מחקר חדש שפורסם על ידי Chainalysis. הממצאים הללו מעידים על כך שפשעי הסייבר בקריפטו הגיעו לשיא של כל הזמנים.

הפריצה האחרונה ל-Crypto.com היא עוד דוגמה לסכנות הרבות האורבות לבעלי הנכסים הדיגיטליים ולחברות העוסקות בהן.

במקרה זה, בין הנכסים שנגנבו היו יותר מ-4,836 מטבעות אית'ריום (ששוויין כ-15.5 מיליון דולר), כמעט 444 מטבעות ביטקוין (בשווי מוערך של כ-19 מיליון דולר), ומטבעות דיגיטליים אחרים בשווי של כ-66,200 דולר. בסך הכל, אפוא, מדובר על שוד ענק של קריפטו בשווי של כ-34.5 מיליון דולר.

בהצהרה שלה, Crypto.com טוענת כי "המשיכות הלא מורשות" הללו יכולות להתבטל ברוב המקרים. בנוסף, הבורסה אישרה מחדש את שאמר מנכ"לה, כריס מרזאלק, שכל החשבונות שנמצאו מושפעים שוחזרו במלואם, ושאיש מהמשתמשים לא חווה אבדן כספי.

בעקבות הפרסומים על הפריצה, אלפים מלקוחות החברה התלוננו על קושי בכניסה לחשבונם לאחריה.

אישור העמידה בתקן SOC2 ושינויי אבטחה עקב הפריצה

על פי החברה, עקב המקרה החמור היא מחילה רענון לנהליה ומספר שינויי אבטחה חיוניים – לדבריה היא הוסיפה שכבת הגנה נוספת בדמות עיכוב חובה של 24 שעות בין רישום כתובת חדשה למשיכה לבין המשיכה הראשונה האפשרית. בנוסף הבורסה הכריזה על השקת תוכנית עולמית להגנה על חשבון (WAPP), שתציע ערבות של 250,000 דולר במקרה של גניבה של נכסי קריפטו מחשבונות המשתמשים שלה. השקת ה-WAPP תחל בפברואר הקרוב, ותדרוש מהלקוחות לשמור על מספר כללי אבטחה כדי להיות זכאים להשתתף בה. הבורסה גם בישרה כי יצרה קשר עם חברות אבטחה של צד שלישי, כדי לבצע בדיקות אבטחה נוספות.

בתקשורת העולמית עלו סברות שהסיבה ש-Crypto.com לא מבהירה דבר לגבי האופי המדויק של פגם האבטחה שהביא לפריצה, אולי לא מדובר בהכרח במתקפת האקרים חיצונית, אלא ב"עבודה פנימית" של עובד שסרח.

יצוין כי פרצת האבטחה ב-Crypto.com מגיעה פחות משלושה חודשים לאחר שהבורסה השלימה ביקורת ארגון שירות 2. הביקורת נערכה על ידי חברת הייעוץ דלויט (Deloitte) ולאחריה זכתה Crypto.com באישור כי נוהלי אבטחת המידע, המדיניות, הנהלים והפעולות שלה עומדים בסטנדרטים מספקים של SOC2.