האקרים שגנבו שלשום (שלישי) סכום עתק של 610 מיליון דול במטבעות דיגיטליים, החלו להשיב נכסים דיגיטליים בשווי של לפחות 342 מיליון דולר, לאחר שהתברר כי השאירו "טביעות אצבע" דיגיטליות משמעותיות. כעת מנסים השודדים להחזיר את הנכסים הגנובים בתקווה להוריד מהם את הלחץ.
האקרים נכשלו בהמרת הנכסים הגנובים לכסף אמיתי וכעת משיבים בהדרגה חלק ניכר מהנכסים. חברת אבטחת מידע המתמחה בתחום כלכלת הקריפטו טוענת כי הצליחה לשחזר את אופי התקיפה, אימייל וכתובת IP של מבצעיה ומזהים ייחודיים של ציוד המחשוב בו השתמשו, מה שעשוי להוביל ללכידתם בעתיד.
תקיפה טובה, בריחה חלשה
חברת האבטחה SLOWMIST הסינית, המתמחה בתעשיית הקריפטו, פירסמה ניתוח מפורט של מתווה מתקפת ההאקרים, אותה כינתה "מאורגנת, מתוכננת לאורך זמן שהוכנה היטב".
פלטפורמות פיננסיות מבוזרות בעולם הקריפטו (DEFI) מבוססות על מנגנון שנקרא 'חוזה חכם', שהוא למעשה חוזה 'טיפש' – הוא מוציא את עצמו לפועל, לפי פרמטרים קבועים מראש בקוד תוכנה, ללא יכולת לסטות מהקוד המקורי וללא יכולת התערבות מצד מי שהכין את קוד התוכנה של החוזה.
רשת 'פולי', היא סדרה של חוזים חכמים, שאמורים לאפשר תשלומים בין ארנקים דיגיטליים שמחוברים לרשתות בלוקצ'יין שונות, ולצורך כך היא מחזיקה נכסים דיגיטליים בהיקף משמעותי על מנת לספק נזילות לביצוע תשלומים אלו.
התוקפים מצאו פגם בתכנות של החוזים, שמאפשר להסיט את היעד של הכספים. ככל הנראה, התוקפים הצליחו ללוות מטבעות קריפטו ולשלם בעזרתם במהירות תשלומים לארנקים מוכנים מראש, מבלי להחזיר את ההלוואה שלקחו. קוד התוכנה אמור למנוע אפשרות כזו, אלא שפגם תוכנה מסוים אפשר לנתב מחדש את ההחזר מהכתובת המקורית לכתובת אחרת.
'האקר לבן' או גנב כושל
החברה הודיעה בטוויטר היום (חמישי) בשעה 11:20 שעד כה הושבו מטבעות קריפטו בשווי של מעל 342 מיליון דולר, מתוך מטבעות בשווי של כ-613 מיליון דולר בסך הכל. תשלומי ההחזר נעשים בהדרגה, ולפי מפעילת הרשת נותרו 268 מיליון דולר להשבה.
$342 million (As of 12 Aug 08:18:29 AM +UTC) of assets had been returned:
Ethereum: $4.6M
BSC: $252M
Polygon: $85MThe remaining is $268M on Ethereum
— Poly Network (@PolyNetwork2) August 12, 2021
התגובות להודעה כוללות זעקות ממשקיעים שנכסיהם נגנבו ומאזנם התרוקן.
אדם כלשהו, ככל הנראה ההאקר עצמו, הצפין הודעה ברשת אית'ריום. מבנה ההודעה הוא העברה של אפס את'ר תמורת עמלות בלבד, והיא כוללת גם נוסח טקסט בו נכתב "מוכן להחזיר את הכספים!"
JUST IN – The hacker is indicating he might return "some tokens" or just leave the money there as he is "not so interested in the money" pic.twitter.com/O0AauN0bdO
— Alon Gal (Under the Breach) ???????? (@UnderTheBreach) August 10, 2021
בהודעות נוספות כתב כי רק רצה להתריע על פגם התוכנה ולכן ישיב את הנכסים הגנובים.
מומחי אבטחה מטילים ספק בגרסה זו, וסבורים כי יש הסבר סביר יותר – ההאקר השאיר יותר מדי 'טביעות אצבע', כך שנכשל בהמרת הנכסים שגנב לכסף אמיתי. לפי גרסה זו, הוא מעוניין בדימוי של 'האקר לבן' שייעודו לשפר אבטחת מערכות, רק כדי שלא ירדפו אחריו. הפרסום של SLOWMIST, לפיו יש בידיהם מידע רב שעלול לזהות אותו יכול להיחשב כמניע נוסף להשבת הנכסים.
יש גם גולשים הסבורים שמדובר בהצגה ומעולם לא היה האקר – מתכנני הרשת, שזהותם איננה ידועה, הם אלו שניצלו את הפגם ושדדו את נכסי המשקיעים. רק אם הנכסים יושבו במלואם לארנקים השדודים, יהיה ניתן לשלול לחלוטין את ההסבר הזה.
תשלומי הקריפטו אינם אנונימיים אלא פסבדונימיים. כלומר, כל התשלומים של כלל הארנקים גלויים ביומן ציבורי (הבלוקצ'יין), אך אין בכך כדי לדעת בהכרח מי האדם שמחזיק באיזה ארנק. לכן ניתן לשחזר לאחור מתקפות וגניבות באופן די מדויק, ואף להקשות על המרת הנכסים הגנובים לכסף אמיתי, אך זה לא תמיד מספיק כדי לזהות במדויק את התוקפים עצמם.
למרות התחכום הגבוה של התקיפה בהשגת הנכסים, שלב המרת הנכס הגנוב לכסף אמיתי עלול להוות נקודת תורפה.
לתוקפים ישנה אפשרות לנסות להעביר נכסים גנובים ל"מיקסרים" – שירות הסוואה בעולם הקריפטו שמקבל תשלומים ממגוון ארנקים ושולח תשלומים למגוון ארנקים אחרים. בכך, הוא מסווה את הקשר בין משלם למקבל. שימוש במיקסר מצריך חלוקת התשלומים לסכומים קטנים יחסית ומשיכתם לארנק שאינו מזוהה כמעורב בפשע סייבר, בפער זמן מביצוע ההפקדה.
בינתיים, נסיון הפקדה אחד של הנכסים כבר נדחה, לאור הזיהוי של כתובות הארנק של ההאקרים, אך נכסים בשווי של למעלה מ-100 מיליון דולר הופקדו ב Ellipsis Finance – שירות שמכונה "בריכת נזילות" בכלכלת הקריפטו, ועשוי להקל עליהם לפדות אותם בעתיד.
יש עוד נכסים בשווי 268 מליון דולר שעדיין נמצאים "על הקרח" ולא ברור האם יושבו, יינטשו או יומרו בהצלחה לנכסי קריפטו בארנקים בלתי חשודים, שמהם קל להמיר את הנכס לכסף אמיתי.
משקיעי הקריפטו מריעים, נותנים עצות ומבקשים נתח
בשונה מרשת ביטקוין, שמכילה אך ורק פקודות תשלום, רשת אית'ריום כוללת אפשרות גם להצפין בהודעות התשלום ברשת קוד של 'חוזה חכם' (כאמור, חוזה טיפש), או סתם הודעות טקסט.
משתמשים רבים החלו לשלוח הודעות לארנקים שזוהו כאלו שמהם בוצעה התקיפה. המסרים המועברים כוללים מסרי הערצה, בקשות תרומה לחלק מהשלל ואפילו עצות כיצד ניתן לדעתם לערבב את הנכס הגנוב בצורה שתקשה על חסימת השימוש בו.
Some of the messages.
One dude simply wrote "Congratz" pic.twitter.com/JoyQJmAfrY
— Hsaka (@HsakaTrades) August 10, 2021
התקפה בסיכון נמוך עם סיכוי לשלל גבוה
התקפות על פלטפורמות (DEFI) הופכות ליותר ויותר פופולריות בעולם הקריפטו. 76% מהתקפות ההאקרים בכלכלת הקריפטו נעשו על גבי פלטפורמות כאלו בשנת 2021. הנתון מגיע מדו"ח מחברת האבטחה ciphertrace.
במובן מסוים תקיפה כזו שונה מפריצת לרשת מחשבים, משום שהיא נסמכת על מערכת כללים פרוצה מראש, בשל תכנות לקוי, שלא חלים עליה חוקים מסודרים, כמו שיש חוקים שמפלילים חדירה בלתי מורשית לרשתות מחשבים. רוב התקיפות לא כוללות חשיפת סיסמה סודית כלשהי, אלא מבוססות על פגמים מובנים בכללי ההתנהגות של החוזים עצמם. כך, נוצר וקטור תקיפה עם סיכויי זכייה גבוהים תוך סיכון נמוך להיתפס, מה שהופך אותו לפופולרי. מדובר לרוב בפלטפורמות חדשות וניסיוניות, שאבטחתן חלשה בהרבה מאבטחת מטבעות הקריפטו עצמם, אך גם מנגנוני אבטחה אלו כוללים כשלים ידועים מראש. כאשר תוכנת מטבע קריפטו, שנועדה להיות מבוזרת, מגיעה לשליטה מרכזית של גורם מסוים, אותו גורם יכול להשבית אותה, לשבש אותה ובמקרים מסוימים גם לשדוד מתוכה נכסים דיגיטליים.
