בדומה למה שאנחנו רואים בתעשיות בוגרות יותר, חלק מהתקציב של חברת קריפטו צריך ללכת לאבטחה מהיום הראשון.
אחרי השוד של 615 מיליון דולר של משחק הבלוקצ'יין הפופולרי (אקסי אינפיניטי) Axie Infinity, הקריפטו שוב נכנס תחת אור הזרקורים בגלל היותו תעשייה לא בטוחה וניתנת לפריצה. אין ספק שתעשיית ה- דיפיי (DeFi) המתפתחת צריכה, כמו כל תעשייה אחרת, להתמקד באבטחה.
עם זאת, חשוב לשים את הדברים בפרספקטיבה. פריצות ושודים אינם ייחודיים לקריפטו. הם נפוצים להפליא על פני הרבה תעשיות אחרות.
DeFi, שהחלה כפרוירט רציני לפני כשלוש שנים, נמצאת בחיתוליה בהשוואה לענף הבנקאות. עם זאת, תעשיית הבנקאות "הבוגרת" הייתה ועדיין רגישה לשודים גדולים ולפריצות.
גם החברות "הגדולות": מערכת סוויפט (SWIFT) סבלה מסדרה מתמשכת של פריצות בין 2015 ל-2017. בין ניסיונות הפריצה הללו היו הפריצה לבנק המרכזי של בנגלדש נסיון גניבה של מיליארד דולר, ניסיון גניבה של 170 מיליון דולר מבנק יוניון אוף אינדיה וניסיון גניבה על Bancomext Mexico תמורת 110 מיליון דולר. רוב הכספים הוחזרו, שכל אחד מהם זכה לסיקור תקשורתי נרחב ברחבי העולם.
מלבד השודים הללו, פריצות נתונים עדיין נמצאות במגמה גם בבנקים ותאגידים גדולים שבהם תהליכי אבטחת סייבר חזקים צריכים להיות במקום. דוגמה לכך היא ג'יי.פי מורגן, בנק שהוציא 250 מיליון דולר על אבטחת סייבר ב-2014, וסבל מפריצת ענק של 83 מיליון נתוני חשבונות באותה שנה, שהובילה למניפולציה במניות.
בסוף מרץ, ה-FBI פרסם את דו"ח פשעי האינטרנט שלו לשנת 2021 שקבע כי קורבנות אמריקאים דיווחו על הפסדים של 6.9 מיליארד דולר כתוצאה מפשעי סייבר והונאת אינטרנט ל-FBI בשנה שעברה. מתוך 847,376 התלונות שהתקבלו, פחות מ-4% (32,400) היו קשורות למטבעות קריפטו, ובכל זאת, הנרטיב השולט סביב מטבעות קריפטוגרפיים הוא שהם אנומליה בכל הנוגע לאבטחה.
אבל הדוגמאות האלה לא צריכות להוות תירוץ לתעשיית הקריפטו והיא כמובן לא צריכה לנוח על זרי הדפנה. יש דברים שאנחנו יכולים לעשות כדי לפחות להפחית את סיכוני האבטחה.
חשוב להבין שרוב פריצות הקריפטו אינן פריצות לבלוקצ'יין שכבה-1 אלא פריצות בפרוטוקולי שכבה-2. בתרגום ל- Web2, אלה לא פריצות המערבות את כל התשתית של האינטרנט, אלא אתר שקיים באינטרנט, כמו פייסבוק, למשל. פריצות אלה נובעות משני סוגים של טעויות: חולשה בקוד (כפי שניתן לראות בפריצה לפוליאנטוורקס בשווי 600 מיליון דולר) או באמצעות הנדסה חברתית (כפי שנראה עם SkyMavis).
אבטחת סייבר בקריפטו
ישנן מספר דרכים שבהן תעשיית הקריפטו יכולה להגן טוב יותר על נכסים אלה. פרוטוקולי קריפטו הם אחד ממוצרי היציאה המהירים ביותר לשוק. במקרים מסוימים, זה יכול לקחת רק שלושה חודשים כדי לעבור מרעיון למוצר תפעולי. המהירות של חדשנות זו מרשימה, אך ברור שהיא טומנת בחובה סיכונים גבוהים, במיוחד כאשר סטארט-אפים צעירים ללא מבנים תפעוליים וניטור סיכונים מנהלים מאות מיליוני כספים של משתמשים. לכן, זה קריטי עבור התעשייה לחמש את עצמה עם כלי הנשק הנכונים.
ישנם פתרונות רבים שהתעשייה יכולה להשתמש בהם כדי למנוע פריצות אלה להתרחש.
בדומה למה שאנחנו רואים בתעשיות בוגרות יותר, חלק מהתקציב של חברות קריפטו צריכות ללכת לאבטחה מהיום הראשון. על פי NTSEC, בתעשיות שאינן קריפטו, 6% עד 14% מתקציב ה-IT הכולל מושקע כיום באבטחת סייבר. בשל אופי הקריפטו וגודל כספי הלקוחות, היינו מעריכים כי סכום זה גדול יחסית.
רבים בתעשיית הקריפטו אינם עיוורים לסיכונים אלה. עליית הפריצות הובילה להופעתם של פרוטוקולי ביטוח מבוזרים המשתמשים במאגרי שיתוף סיכונים או במבנים הדומים להחלפות ברירת מחדל של אשראי כדי לבטח מפני סיכונים – מהפרות ארנק וחוזים חכמים, ועד פריצות לבורסות ריכוזיות. אנשים, מוסדות והפרוטוקולים עצמם צריכים להתחיל להסתכל על שימוש או שיתוף פעולה עם פרוטוקולים כאלה.
ליתר דיוק; כדי למנוע פגמים בקוד, הפרוטוקולים צריכים ליישם בדיקות נוספות. הפרוטוקולים צריכים להיות מבוקרים הקוד שלהם על ידי לפחות שני רואי חשבון. חברות יכולות גם למנף את הקהילות שלהן, על ידי ארגון ציד באגים, שבו פרוטוקול מבקש מחברי קהילה מיומנים ביותר או מהאקרים לזהות פגיעויות אבטחה תוך תגמול באופן יחסי. לחלופין, פרוטוקולים יכולים לעבוד עם חברות ציד חרקים כמו Immunefi.
באופן שונה מתעשיות מסורתיות יותר, פרוטוקולים צריכים ויכולים לכלול תמונה בזמן אמת של הפירצה שלהם. זה כרוך בהוספת מכשור לבקרות שלהם, כך שאחוז הרבה יותר רחב של המערכות והתהליכים שלה מעורבים בניטור הרשת בזמן אמת. זוהי רמה מעל רוב הענפים, שכן הניטור מוערך בעיקר בנקודת זמן ולא באופן רציף. זה צריך להיות המקרה כאשר פרוטוקול מנהל מאות מיליוני כספים של משתמשים.
קשור: אלו הונאות הקריפטו הגדולות בכל הזמנים
כשמדובר בהגנה מפני הנדסה חברתית ופישינג, הכשרה וקידום מודעות לעובדים היא חיונית. הכשרה בסיסית לאבטחת סייבר צריכה להפוך לחובה בתעשיית הקריפטו. מה שצריך לכלול למידה על הגנת נתונים וצורות שונות של הנדסה חברתית באמצעות מודולים מקוונים חוזרים ותזכורות. זכרו: 95% מהפריצות נובעות מטעויות אנוש.
עם המספר הגדול של כספים המושקעים במטבעות קריפטו פרוטוקולים צריכים להבין שהם נמצאים בסיכון . יש פתגם נפוץ ב-CryptoTwitter: "זה לא IF, זה כאשר פרוטוקול ייפרץ". לכן על המייסדים לא רק למנוע באמצעות תכנון, אלא להניח שחלק מההתקפות הללו יצליחו. כתוצאה מכך, עליהם לתכנן גם את צד ההתאוששות הדרושה.
הקריפטו אולי בחיתוליו, אבל הקריפטו צומח בקצב חסר תקדים, כאשר סך הקרנות המושקעות ב- דיפיי (DeFi) זינק ביותר מ-1,200% ב-2021, ועבר את ה-240 מיליארד דולר. אי אפשר לזלזל בענייני אבטחה. כעת, הפרוטוקולים צריכים לכללו אבטחה בתקציב שלהם ובמפת הדרכים שלהם. אחרת, התעשייה כולה תעמוד בפני נזקים תדמיתיים, פיננסיים ורגולטוריים קשים שעלולים לעכב, אם לא להשמיד, את צמיחתה.
אנו לא יועצים פיננסים! יש לעשות מחקר עצמאי קודם לכן, מסחר והשקעה בקריפטו כרוך בסיכון רב!
