עשרות מיליונים נגנבו: פריצה למערכת Bancor הישראלית
הפלטפורמה הישראלית אשר מאפשרת המרה של כל מטבע קריפטוגרפי סבלה מפירצת אבטחה שאפשרה להאקרים לגנוב מטבעות בשווי של יותר מ-20 מיליון דולר
תמונה: Dennis Lane, Gettyimages Israel
ההבטחה הגדולה של עולם הקריפטו אמנם אמורה להביא אותנו לעידן חדש של ביזור, שליטה וחופש שימוש באילו מטבעות שנרצה, אבל בכל הנוגע לאבטחה, נראה כי נותרה עוד עבודה לפנינו. אמש (ב’) נודע כי פלטפורמת Bancor (בנקור) הישראלית, אשר מאפשרת המרה של כל מטבע קריפטוגרפי כמו ביטקוין ל-Token, סבלה מ”פרצת אבטחה” במהלכה נגנבו מטבעות בשווי עשרות מיליוני דולרים, מה שאילץ את החברה להקפיא את פעילותה.
איך נגנבים למעלה מ-20 מיליון דולר ברגע אחד?
בציוץ שהעלתה החברה, ניסתה בנקור להסביר למשתמשיה את שאירע: ארנק אשר שימש את החברה לעדכון של מספר חוזים חכמים נפרץ על ידי האקרים, אשר משכו ממנו מטבעות אית’ריום בשווי של 12.5 מיליון דולר, טוקני NPXS בשווי מיליון דולר, וטוקני בנקור (BNT) בשווי 10 מיליון דולר.
לאחר גילוי הפריצה, החברה הצליחה להקפיא את טוקני הבית שלה, ה-BNT. בחברה מסבירים כי זוהי אפשרות שנבנתה בדיוק למקרי קיצון שכאלו לרבות פריצה. כך, למעשה, הפורצים לא יכולים להמשיך להעביר את הטוקנים מארנק לארנק ולבסוף למכור או להמיר אותם למטבעות אחרים (ובינהם גם כמובן כסף “אמיתי”), ובכך לברוח עם הכסף. לצער החברה, היא לא יכולה לעשות את אותו התהליך על מטבעות את’ריום או מטבעות אחרים, אך היא טוענת כי היא עובדת עם בורסות קריפטו נוספות כדי לאתר את הכסף הגנוב, ולדאוג שההאקרים לא יוכלו להמיר אותו ולברוח עימו. בינתיים, ההאקרים הצליחו להמיר חלק מהסכום באמצעות מערכת Changelly, אשר משתפת פעולה עם בנקור בניסיון לאיתור הסכום הגנוב.
החברה: שום נזק לא נגרם ללקוחות
תמונה: Bancor
בחברה מבהירים כי שום ארנק דיגיטלי של לקוחות לא נפרץ במהלך המקרה, ולאחר החקירה המערכת תשוב לפעילות, ככל הנראה במהלך היממה הקרובה. בינתיים, גורמים בחברה מאשרים כי הסיבה לפריצה נמצאה ותוקנה. כל זאת ככל הנראה לא הספיק למחזיקי הטוקן של בנקור, אשר הצניחו את שוויו ביותר מ-14%.
הפלטפורמה של בנקור מאפשרת להמיר כל מטבע קריפטוגרפי, ובכך מאפשרת נזילות גם למטבעות איזוטריים למדי. בשנה שעברה קיימה החברה ICO, ובמהלכו גייסה יותר מ-150 מיליון דולר. זה היה הסכום הגדול ביותר לגיוס ICO בזמנו (עד שטלגרם קיימה את ה-ICO שלה). בנקור נוסדה ב-2016 על ידי גיא בן ארצי, מנכ”ל החברה, גליה בן-ארצי, מנהלת הפיתוח העסקי, יהודה לוי, מנהל הפיתוח הטכנולוגי בחברה, ואייל הרצוג, מנהל המוצר. אליהם הצטרף המשקיע האמריקאי טים דרייפר כיועץ, וברנרד לייטר, כלכלן בלגי נודע.
מבנקור נמסר בתגובה: “אנו עדיין חוקרים את פרטי הפריצה ונחלוק מידע נוסף לכשנוכל לעשות זאת. אנחנו לוקחים כל מקרה שכזה ברצינות המלאה ומשתמשים בכל משאב העומד לרשותנו כדי לפתור את הבעיה. הפרטים הידועים לנו הם שנגנבו 13.5 מיליון דולר מ-Bancor. אף ארנק של משתמש לא נחשף לפירצה, ולא נגנבו שום כספים של משתמשים.
אנו עובדים עם עשרות בורסות קריפטו כדי לאתר את הכספים הגנובים, וכדי להקשות על הגנבים להפוך את הכספים לנזילים. בנוסך, זיהינו את פרצת האבטחה, פתרנו אותה ואנו עובדים כעת על החזרת הרשת לאוויר במהירות האפשרית. נמשיך לעדכן כאשר נוכל בערוץ הטלגרם שלנו ובטוויטר”.
עידן בן טובים
נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה
הגב
5 תגובות על "עשרות מיליונים נגנבו: פריצה למערכת Bancor הישראלית"
* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.
איך ניתן להוכיח שהם לא עשו זאת בעצמם?
טעות בכתבה – בנקור לא מאפשרת להמיר כל מטבע קריפטוגרפי – רק כאלה שהונפקו על איתריום. אולי תעשו קצת שיעורים לפני שכותבים.
החברה הזו היא סטארט-אפ מגניבי-ניבי שמשקיע יותר בכורסאות צבעוניות ובשמן לזקן של ההיפסטרים שהיא מעסיקה מאשר באבטחת מידע. זו הסיבה שדבר כזה קורה. בבנקור אין שום אבטחת מידע פנימית רצינית מלבד יעוץ חיצוני קליל ואירעי. סטארט-אפ קודם, עסק אחר כך, זה המוטו הארץ-ישראלי שלנו בביזנס. בתור תושב העולם, לא הייתי סומך לעולם על חברה עם מנגנון ניהול ישראלי לשמירת הכסף שלי.
פריצה פנימית. גנבו לעצמם את הכסף
כאשר המייסדים עסוקים רק ביח”צ עצמי ומשמשים כיועצים בעשרות פרויקטים של ICO לא פלא שהם פיספסו את החור שהיה להם מתחת לאף