סטארט-אפ ישראלי איבד 7 מיליון דולר בהונאת מטבע דיגיטלי

27 פברואר, 2018

התוקפים השתלטו על האתר של החברה הישראלית כאשר היא היתה במהלכו של תהליך גיוס הון במתכונת של הנפקת זכויות דיגיטליות. הם שינו את כתובת הארנק האלקטרוני שלה וניתבו אליהם את כספי המשקיעים

Trezor Bitcoin wallet

העלייה בשווי השוק של מטבעות דיגיטליים (cryptocurrencies) כמו הביטקוין למשל, והעניין הגובר בהם של המשקיעים והמערכת הפיננסית, הופכים אותם למטרה אטרקטיבית בעיניהם של תוקפים ברשת. למעשה, התופעה מוכרת כבר מספר שנים, אולם ניגלתה לעיני הציבור רק בשנת 2016, לאחר שהאקרים פרצו לבורסת ביטקוין בהונג קונג וגנבו כ-120,000 מטבעות ביטקוין (BTC). אז שווי הגניבה היה 77 מיליון דולר. מאוחר יותר, בתחילת 2018, הגיע השווי לכ-1.5 מיליארד דולר.

כעת מגלה ארגון האבטחה של חברת יבמ, IBM X-Force, שגם חברה ישראלית נפלה קורבן להונאת מטבע דיגיטלית. מדובר בחברת סטארט-אפ שזהותה לא נחשפה על-ידי חוקרי יבמ, אשר ביצעה גיוס הון באמצעות המטבע הדיגיטלי אתריום (Ethereum) בתהליך של הנפקת זכויות דיגיטליות המוכר בשם Initial coin offerings. מדובר בשיטת גיוס הון חדשה מסוג גיוס המונים (crowdfunding) שנועדה להפחית העלויות ולעקוף את הדרישות הרגולטוריות הכרוכות בהנפקת הון לציבור בבורסה, או בתהליכי גילוי נאות הכרוכים בקבלת השקעה מקרנות הון סיכון.

במסגרת תהליך ה-ICO, החברה המגייסת מעניקה למשקיעים אסימון דיגיטלי בתמורה להתחייבות להשקיע מטבע דיגיטלי דוגמת ביטקוין או אתריום. אסימונים אלה הופכים אוטומטית להשקעה פיננסית באמצעות מטבע דיגיטלי, כאשר הגיוס עומד ביעדים המוצהרים שלו מראש. ראוי לציין שברוב המקרים פטור תהליך ICO מדרישות רגולטוריות ולכן הוא מעורר חילוקי דעות רבים. סין ודרום קוריאה, למשל, אוסרות לחלוטין על גיוס הון בתהליך ICO. בסוף ינואר 2018 נכנסה גם פייסבוק לתמונה, ואסרה על פרסום תהליכי ICO בעמודי הרשת החברתית.

7 מיליון דולר בשלוש דקות

להערכת חוקרי האבטחה של יבמ, בשנת 2017 פיתחו ההאקרים שיטות חדשות להונאת המשקיעים ושאיבת ההון שהם מעבירים לחברות המבצעות הנפקות דיגיטליות. אחת מהקורבנות הראשונים של הטכניקה החדשה היתה חברה ישראלית. התוקפים השתלטו על האתר שלה כאשר היא היתה במהלכו של תהליך ICO, ושינו את הכתובת של הארנק האלקטרוני שלה. הכתובת הזו היא המקבילה הדיגיטלית לחשבון בנק פיסי. בתוך פחות משלוש הם הצליחו לנתב אליהם מטבעות דיגיטליים מסוג אתריום בשווי של יותר מ-7 מיליון דולר, שהמשקיעים העבירו לחברה באותו הזמן.

מומחי יבמ מציינים שעדיין חסרים תקני אבטחה בתחום המטבעות הדיגיטליים. הם ממליצים לכל מי שפועל בתחום הזה הדיגיטליים להפעיל מערכות אימות בעלות שתי דרגות (two-factor authentication – 2FA). הכוונה למערכת זיהוי המבצעת לפחות שני תהליכי זיהוי של המשתמש, בניגוד למערכת בעלת דרגה אחת, המבוססת בדרך כלל על ססמה בלבד.

בנוסף, הם ממליצים לבדוק בקפדנות, ולפחות מספר פעמים, את כתובת מקבל הכסף, כדי לוודא שלא חלו בה שיבושים או שמישהו לא עיוות אותה. הם גם מייעצים למשתמשי הקצה לבחון את השימוש בארנקים אלטרוניים מבוססי חומרה, כמו למשל Trezor (בתמונה למעלה) או Ledger, כדי לשמור על הצפנים הפרטיים שלהם. הסיבה היא שבדומה לכרטיסי אשראי, ארנקים אלה מבוססים על העקרון של Personal Identification Number – PIN, שבו יש קישור הדוק בין חומרה כלשהיא לבין הססמה, ולכן קשה יותר לבצע הונאה מקוונת.

למידע נוסף: Six Major Data Breach Trends From 2017

Share via Whatsapp

פורסם בקטגוריות: אבטחת סייבר , חדשות

כתבות נוספות העשויות לעניין אותך

פיסקר הטמיעה את ארגוס ב-Fisker Ocean

אוטוטוקס תטמיע בשבביה את פתרון האבטחה של Secure-IC הצרפתית

הטעויות הנפוצות באבטחת שירותי ענן בעסקים קטנים-בינוניים