חברת הלוואות הקריפטו הישראלית צלזיוס חשופה לפגיעה בהיקף של 54 מיליון דולר במסגרת הפריצה לפלטפורמת המסחר BadgerDAO, במסגרתה רוקנו נכסים דיגיטליים המוערכים בשווי של כ-120 מליון דולר.
לפי דיווח באתר Blockworks, סריקת רישומי תנועות הנכסים מעידה על מספר כתובות ארנק המיוחסות לחברת צלzיוס שנפגעו. החברה עצמה פרסמה בטוויטר הודעה בנוסח שנועד להרגיע, אך למעשה מכיר בכך שבוצעה משיכה לא מורשית של כספי החברה.
.@CelsiusNetwork was made aware that the Badger platform had suffered an attack of unauthorized withdrawal of funds. The attack did not occur on the core Celsius platform. No Celsius client and user assets were affected. (1/5)
— Celsius (@CelsiusNetwork) December 3, 2021
למרות דברי ההרגעה, חוקרת הפיננסים פרנסס קופולה כתבה בטוויטר: "אם יש לכם הפקדות בצלזיוס, אתם עלולים לספוג הפסדים משמעותיים אם לא תמשכו אותם עכשיו".
So if you have deposited funds with Celsius, you are potentially facing significant losses if you don't withdraw them now.
— (((Furious Coppola))) ???????????????????? (@Frances_Coppola) December 3, 2021
לפי קופולה, תנאי השימוש של צלזיוס מציינים בבירור שנכסים שהועברו לידיה הועברו במלואם, ואין היא מחוייבת להשיב אותם.
צלזיוס מכנה עצמה "בנק של קריפטו". החברה מציעה לשלם ריבית שבועית למי שמפקיד אצלה מטבעות קריפטו. ה'הפקדה' מתרחשת באמצעות תשלום מארנק של הלקוח לארנק של החברה, כך שהיא מקבלת שליטה מלאה בנכס הדיגיטלי.
לאחרונה, הודיעה צלזיוס על הגדלת גיוס הכספים שלה מ-400 מיליון דולר ל-750 מליון דולר. הכרזה זו נעשתה כשהחברה כבר ידעה שמנהל הכספים הראשי שלה ירון שלם נעצר ונחקר במסגרת פרשת משה חוגג. לפי פרסומי צלזיוס, חוגג עצמו ייעץ בעבר לחברה.
סיבת הפריצה: המערכות המבוזרות בדרך כלל לא מבוזרות עד הסוף
BadgerDAO הוא מיזם שנועד לאפשר למשתמשים להלוות נכסים דיגיטליים תמורת ריבית.
לפי אתר THEBLOCK, למרות שהתוכנה של הארגון עצמו לא נפרצה רוב המשתמשים לא יוצרים חיבור למיזם באופן ישיר, משום שהפעולה הזו מסובכת ומצריכה מומחיות טכנית.
כמו במיזמי קריפטו רבים, שאבטחתם מבוססת על ביזור, לשם נוחות נעשה בה שימוש דרך צד שלישי, שלא נהנה מאותה רמת אבטחה.
במקרה הזה, ככל הנראה, אתר שמשמש 'גשר' נח אל BadgerDAO, נפרץ, ובעזרתו בוצעו משיכות של הנכסים שמופקדים בפלטפורמה לארנקים של התוקפים.
החברה שכרה חברות ניתוח בכירות כמו צ'יינלסיס, על מנת לחקור כיצד בדיוק בוצעה התקיפה ובאיזו מידה ניתן להתחקות אחר הנכסים שנגנבו.
Badger continues to work closely with forensics experts at Chainalysis and Mandiant, and with law enforcement authorities in the US and Canada, to understand the full scale of the incident and to work towards remedial action.
— ₿adgerDAO ???? (@BadgerDAO) December 3, 2021
גם לפרוטוקול המסחר BadgerDAO וגם לצלזיוס אין שום ביטוח פקדונות. מכיוון שצלזיוס עוסקת בהלוואות בנכסי קריפטו ולא בכסף אמיתי, אין עליה פיקוח פיננסי והחברה לא מחוייבת למעשה לשלם כלום ללקוחותיה.