עשרות מיליונים נגנבו: פריצה למערכת Bancor הישראלית
הפלטפורמה הישראלית אשר מאפשרת המרה של כל מטבע קריפטוגרפי סבלה מפירצת אבטחה שאפשרה להאקרים לגנוב מטבעות בשווי של יותר מ-20 מיליון דולר
ההבטחה הגדולה של עולם הקריפטו אמנם אמורה להביא אותנו לעידן חדש של ביזור, שליטה וחופש שימוש באילו מטבעות שנרצה, אבל בכל הנוגע לאבטחה, נראה כי נותרה עוד עבודה לפנינו. אמש (ב') נודע כי פלטפורמת Bancor (בנקור) הישראלית, אשר מאפשרת המרה של כל מטבע קריפטוגרפי כמו ביטקוין ל-Token, סבלה מ"פרצת אבטחה" במהלכה נגנבו מטבעות בשווי עשרות מיליוני דולרים, מה שאילץ את החברה להקפיא את פעילותה.
איך נגנבים למעלה מ-20 מיליון דולר ברגע אחד?
בציוץ שהעלתה החברה, ניסתה בנקור להסביר למשתמשיה את שאירע: ארנק אשר שימש את החברה לעדכון של מספר חוזים חכמים נפרץ על ידי האקרים, אשר משכו ממנו מטבעות אית'ריום בשווי של 12.5 מיליון דולר, טוקני NPXS בשווי מיליון דולר, וטוקני בנקור (BNT) בשווי 10 מיליון דולר.
לאחר גילוי הפריצה, החברה הצליחה להקפיא את טוקני הבית שלה, ה-BNT. בחברה מסבירים כי זוהי אפשרות שנבנתה בדיוק למקרי קיצון שכאלו לרבות פריצה. כך, למעשה, הפורצים לא יכולים להמשיך להעביר את הטוקנים מארנק לארנק ולבסוף למכור או להמיר אותם למטבעות אחרים (ובינהם גם כמובן כסף "אמיתי"), ובכך לברוח עם הכסף. לצער החברה, היא לא יכולה לעשות את אותו התהליך על מטבעות את'ריום או מטבעות אחרים, אך היא טוענת כי היא עובדת עם בורסות קריפטו נוספות כדי לאתר את הכסף הגנוב, ולדאוג שההאקרים לא יוכלו להמיר אותו ולברוח עימו. בינתיים, ההאקרים הצליחו להמיר חלק מהסכום באמצעות מערכת Changelly, אשר משתפת פעולה עם בנקור בניסיון לאיתור הסכום הגנוב.
החברה: שום נזק לא נגרם ללקוחות
בחברה מבהירים כי שום ארנק דיגיטלי של לקוחות לא נפרץ במהלך המקרה, ולאחר החקירה המערכת תשוב לפעילות, ככל הנראה במהלך היממה הקרובה. בינתיים, גורמים בחברה מאשרים כי הסיבה לפריצה נמצאה ותוקנה. כל זאת ככל הנראה לא הספיק למחזיקי הטוקן של בנקור, אשר הצניחו את שוויו ביותר מ-14%.
הפלטפורמה של בנקור מאפשרת להמיר כל מטבע קריפטוגרפי, ובכך מאפשרת נזילות גם למטבעות איזוטריים למדי. בשנה שעברה קיימה החברה ICO, ובמהלכו גייסה יותר מ-150 מיליון דולר. זה היה הסכום הגדול ביותר לגיוס ICO בזמנו (עד שטלגרם קיימה את ה-ICO שלה). בנקור נוסדה ב-2016 על ידי גיא בן ארצי, מנכ"ל החברה, גליה בן-ארצי, מנהלת הפיתוח העסקי, יהודה לוי, מנהל הפיתוח הטכנולוגי בחברה, ואייל הרצוג, מנהל המוצר. אליהם הצטרף המשקיע האמריקאי טים דרייפר כיועץ, וברנרד לייטר, כלכלן בלגי נודע.
מבנקור נמסר בתגובה: "אנו עדיין חוקרים את פרטי הפריצה ונחלוק מידע נוסף לכשנוכל לעשות זאת. אנחנו לוקחים כל מקרה שכזה ברצינות המלאה ומשתמשים בכל משאב העומד לרשותנו כדי לפתור את הבעיה. הפרטים הידועים לנו הם שנגנבו 13.5 מיליון דולר מ-Bancor. אף ארנק של משתמש לא נחשף לפירצה, ולא נגנבו שום כספים של משתמשים.
אנו עובדים עם עשרות בורסות קריפטו כדי לאתר את הכספים הגנובים, וכדי להקשות על הגנבים להפוך את הכספים לנזילים. בנוסך, זיהינו את פרצת האבטחה, פתרנו אותה ואנו עובדים כעת על החזרת הרשת לאוויר במהירות האפשרית. נמשיך לעדכן כאשר נוכל בערוץ הטלגרם שלנו ובטוויטר".
הגב
5 תגובות על "עשרות מיליונים נגנבו: פריצה למערכת Bancor הישראלית"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
איך ניתן להוכיח שהם לא עשו זאת בעצמם?
טעות בכתבה – בנקור לא מאפשרת להמיר כל מטבע קריפטוגרפי – רק כאלה שהונפקו על איתריום. אולי תעשו קצת שיעורים לפני שכותבים.
החברה הזו היא סטארט-אפ מגניבי-ניבי שמשקיע יותר בכורסאות צבעוניות ובשמן לזקן של ההיפסטרים שהיא מעסיקה מאשר באבטחת מידע. זו הסיבה שדבר כזה קורה. בבנקור אין שום אבטחת מידע פנימית רצינית מלבד יעוץ חיצוני קליל ואירעי. סטארט-אפ קודם, עסק אחר כך, זה המוטו הארץ-ישראלי שלנו בביזנס. בתור תושב העולם, לא הייתי סומך לעולם על חברה עם מנגנון ניהול ישראלי לשמירת הכסף שלי.
פריצה פנימית. גנבו לעצמם את הכסף
כאשר המייסדים עסוקים רק ביח"צ עצמי ומשמשים כיועצים בעשרות פרויקטים של ICO לא פלא שהם פיספסו את החור שהיה להם מתחת לאף