המתקפה על בורסת Bybit: איך זה קרה ומה זה אומר על אבטחת קריפטו?
בורסת הקריפטו Bybit דיווחה על פריצה במסגרתה נגנבו כ-1.5 מיליארד דולר. המתקפה הגדולה בהיסטוריה מעלה סימני שאלה לגבי עתיד ההגנה על נכסים דיגיטליים
היקף הפריצה גדול יותר מכל הפריצות של הקבוצה בכל שנת 2024. תמונה: Pixabay
מאת: שחר מדר
במהלך סוף השבוע האחרון נרשמה היסטוריה בתחום הקריפטו: בורסת ה-Bybit, הבורסה למטבעות קריפטוגרפים הממוקמת בדובאי, דיווחה כי נפרצה וממנה נגנבו נכסים דיגיטליים בשווי של כ-1.5 מיליארד דולר, הסכום הגבוה ביותר בהיסטוריה.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
נכון לעת זו, הפריצה מיוחסת לקבוצת Lazaris Group הצפון קוריאנית, שפועלת בשירות המדינה וידועה בכך שפריצותיה משמשות למימון פעילויות המשטר הצפון-קוריאני. עבור הקבוצה מדובר בעליית מדרגה בפעילותה, שכן היקף הפריצה הזו גדול יותר מכל הפריצות שלה יחד בשנת 2024.
השיטות היצירתיות של אותם האקרים בשליחות המדינה, שהצליחו עד כה לגנוב קריפטו בשווי של מיליארדי דולרים לטובת צפון קוריאה, כללו התקנת תוכנות זדוניות והשתלטות על מערכות פנימיות תוך התחזות לקרנות הון סיכון, צוותי גיוס של חברות בינלאומיות, ומועמדים לתפקידי IT.
דרך הפעולה שנחשפה הייתה עקבית, יעילה ומותאמת לקורבן אותו בחרו לתקוף. כשהתחזו לקרנות הון סיכון, ההאקרים שלחו לחברות לינק תקול לשיחת וידאו, וכלא עבד הלינק לחצו עליהם להוריד ״כלי״ לתיקון התקלה. כשהתחזו לצוותי גיוס, הצליחו בקבוצה לגרום למועמדים להוריד קבצים של משימות, ואותם קבצים היו בעלי גישה לארנקי קריפטו במחשב. לפי דיווח של מיקרוסופט, כך הצליחו ההאקרים לגנוב שווי של יותר מ-10 מיליון דולר במטבעות קריפטו בתוך חודשים ספורים.
עוד לפני הפריצה האחרונה לפלטפורמת Bybit, במסגרת גל התקיפות של 2024, האקרים צפון קוריאנים אחראים על גניבת נכסים בשווי 1.3 מיליארד דולר, יותר מחצי משווי הנכסים הדיגיטליים הכוללים שנגנבו בקריפטו (בשווי של 2.2 מיליארד דולר) בשנה הזו. הם גם עומדים מאחורי אחת מהתקיפות הבולטות ביותר בתעשיית הקריפטו שהתרחשה ביולי האחרון נגד פלטפורמת המסחר WazirX, אחת מבורסות הקריפטו הגדולות בהודו, בה נגנבו נכסים דיגיטליים בשווי של כ-235 מיליון דולר. ה-FBI והאו”ם מעריכים כי מאז 2017, האקרים צפון קוריאנים גנבו כשלושה מיליארד דולר במטבעות קריפטוגרפיים, המשמשים בין היתר למימון תוכניות צבאיות של צפון קוריאה, כולל פיתוח נשק גרעיני.
ההגנה הופכת לפירצת אבטחה
בקריפטו, כמו בכל תחום אחר, תקיפות רבות מתחילות בניצול חולשות אנושיות (פישינג): שליחת קישורים מטעים או פתיחת מסמכים עם קוד זדוני, ולעיתים אף התחזות לאנשים או ארגונים מוכרים. ברגע שהגישה למערכת הושגה, התוקפים מחפשים לנצל נקודות תורפה בתהליכי החתימה על טרנזקציות – אחד החלקים הקריטיים בתפעול ארנקי קריפטו.
מנגנון החתימות, שנחשב לאבן היסוד של אבטחת קריפטו, מתגלה לעיתים דווקא כעקב אכילס. עד כה, לב האבטחה של ארנקי קריפטו היה מנגון החתימות הדיגיטליות, שנועד להבטיח את אמינות העסקה ולאשר כי היא חוקית. אך מרגע שהתוקפים קיבלו גישה למערכת, הם יכולים לשלוט בתעבורה בארנק הקרפיטו באופן מלא.
התערבות בתהליכי חתימות יכולים לאפשר לתוקפים לחתום על עסקאות בלתי מורשות ולרוקן ארנקים דיגיטליים. בנוסף, פעמים רבות מתגלים איומים גם ברמת שרשרת האספקה – שירותי צד שלישי לא מאובטחים או בגורמים פנימיים שסרחו.
בנקים, קרנות פנסיה וכל מוסד פיננסי שמחזיק בכספים שלנו חייב לשמור עליהם מכל משמר. כל פלטפורמה לניהול נכסים דיגיטליים, בין אם מדובר בבורסת קריפטו או בנק שמאפשר אחזקה במטבעות קריפטו, צריך לתת לנו את אותה הרגשת הביטחון שקיימת בניהול הכספים שלנו בבנק, במקום לשמור אותו מתחת לבלטות. אך האקרים משתכללים מרגע לרגע והסכומים במאזנים תופחים ככל שהקריפטו ממשיך לקבל את אמון הציבור.
כדי לחזק את האמון במערכות האלה, חשוב להבין איך הן באמת מוגנות. אלו הם מנגנוני האבטחה שבהם משתמשות בורסות הקריפטו וחברות שמחזיקות נכסים דיגיטליים:
פיתוח מערכת SecOps חזקה – שילוב תהליכי אבטחת מידע בתפעול היומיומי של הבורסה מבטיח שכל רכיבי המערכת, כולל אפליקציות, שרתים ורשתות, מנוטרים ומוגנים באופן שוטף מפני איומים פוטנציאליים. כמו בתחומים אחרים, עצם קיום התראה על חולשות או התנהגות חשודה בזמן אמת מאפשרת תגובה מהירה לאיומים. שילוב של תהליכי אוטומציה וטכנולוגיות כמו SIEM (Security Information and Event Management) יכולים לשפר משמעותית את יכולות הזיהוי והתגובה.
הכשרת עובדים לזיהוי מתקפות פישינג והנדסה חברתית: עובדים הם קו ההגנה הראשון בכל ארגון, ולכן הדרכה מתמדת על סימני הזיהוי ואפילו קיום סימולציות של מתקפות מסייעות בזיהוי חולשות בתהליך. יצירת תרבות מודעות לאיומים תסייע בהפחתת הסיכון לחדירה דרך טעויות אנוש ותעורר את החשד המתאים גם אל מול מתחזים שונים.
פיצול אחריות לאישור עסקאות, יצירת ארנקים וניהול אדמיניסטרטיבי בין מספר גורמים עצמאיים: אחד מהמנגנונים הנפוצים ביותר הוא פיצול האחריות, אשר מפחית את הסיכון בכך שלאף אדם יחיד אין גישה לכלי ניהול קריטיים. מומלץ להשתמש בטכנולוגיות המאפשרות ריבוי חתימות (multi-signature) כדי להבטיח שעסקאות יאושרו רק לאחר מספר שלבים המאומתים על ידי גורמים בלתי תלויים.
הטמעת מדיניות גישה ואישור חזקה: מדיניות גישה מבוססת על עקרונות של least privilege (גישה מינימלית הנדרשת לתפקיד) כדי להבטיח שרק עובדים בעלי תפקיד ספציפי יקבלו גישה למידע רגיש או למערכות קריטיות. בנוסף, מומלץ לשלב אימות רב-שלבי (MFA) לכל המשתמשים במערכות, ובמקרים רגישים במיוחד, לשקול שימוש באמצעי אימות ביומטריים וחומרתיים להגברת האבטחה.
שימוש באחסון קר: אחסון קר (Cold Storage) שומר על נכסי הקריפטו במצב לא מקוון, ובכך מונע מתוקפים פוטנציאליים לגשת אליהם מרחוק. פתרון זה מתאים במיוחד לנכסים שאינם מיועדים לשימוש שוטף. לעיתים מתבצעות בדיקות תקופתיות כדי להבטיח שהנכסים באחסון קר לא נפגעו.
בורסות הקריפטו ממשיכות להיות מטרה מועדפת לתוקפים, והטכניקות שלהם מתפתחות כל הזמן. על מנת להישאר צעד אחד קדימה, יש צורך בשילוב של טכנולוגיות מתקדמות, חינוך אבטחתי והקפדה על אמצעי זהירות בכל שלב בעסקאות הקריפטוגרפיות. האיומים הם אמיתיים, אך עם שיתוף פעולה בינלאומי והיערכות נכונה, ניתן להפוך את תחום הקריפטו לבטוח יותר עבור המשתמשים והחברות כאחד.
הכותב הוא סמנכ״ל אבטחה ומחקר סייבר, פיירבלוקס
