פלטפורמת המסחר במטבעות קריפטוגרפיים שבסיסה בלונדון, Wintermute, ראתה השבוע את תוקפי הסייבר הממריאים עם 160 מיליון דולר, ככל הנראה בגלל פגיעות אבטחה שנמצאה בקוד של שותף. התקרית מציגה דאגות עמוקות לגבי יישום אבטחה עבור מגזר הפיננסים הזה, אומרים חוקרים.
מייסד ומנכ"ל Wintermute, Evgeny Gaevoy, פנה לטוויטר ואמר שהשוד כוונה לזרוע הפיננסים המבוזרים (DeFi) של החברה, וכי למרות שהתקרית עשויה לשבש פעולות מסוימות "לכמה ימים", החברה אינה מושפעת קיומית.
"אנחנו סולבנטיים עם פי שניים מהסכום הזה בהון שנשאר", הוא צייץ. "אם יש לך הסכם [ניהול כסף] עם Wintermute, הכספים שלך בטוחים. תהיה הפרעה בשירותים שלנו היום, ואולי בימים הקרובים, ולאחר מכן יחזור לשגרה".
הוא גם אמר שכ-90 נכסים נפגעו, ופנה לעבריין: "אנחנו (עדיין) פתוחים להתייחס לזה כאל כובע לבן [תקרית], אז אם אתה התוקף - צור קשר".
בינתיים, הוא הסביר לפורבס שהערת "הכובע הלבן" פירושה ש-Wintermute מציעה "פרס באג" של 16 מיליון דולר, אם תוקף הסייבר יחזיר את 144 מיליון הדולר הנותרים.
מלא ניבול פה
הוא גם אמר לרשת כי הגניבה ככל הנראה מקורה בבאג בשירות שנקרא ניבול פה, המאפשר למשתמשים להקצות טיפול לחשבונות הקריפטו שלהם (בדרך כלל שמות חשבונות מורכבים ממחרוזות ארוכות של אותיות ומספרים). הפגיעות, נחשף בשבוע שעבר, מאפשר לתוקפים לחשוף מפתחות המשמשים להצפנה ולחטט בארנקי Ethereum שנוצרו באמצעות גסויות.
Wintermute השתמשה ב-10 חשבונות שנוצרו בניבולי פה כדי לבצע עסקאות מהירות כחלק מעסקי ה-DeFi שלה, לפי פורבס. רשתות DeFi מחברות בין רשתות בלוק של מטבעות קריפטוגרפיים שונים כדי ליצור תשתית מבוזרת למתן הלוואות, מסחר ועסקאות אחרות. כשהחדשות על הבאג התפרסמו, חברת הקריפטו ניסתה להעביר את החשבונות במצב לא מקוון, אך עקב "טעות אנושית", אחד מ-10 החשבונות נותר פגיע ואיפשר לתוקפים להיכנס למערכת, אמר Gaevoy.
"חלק מהטכנולוגיות הללו [DeFi] כוללות גם אינטגרציות וחיבורים של צד שלישי שבהם ייתכן שלחברה אין את היכולת לשלוט בקוד המקור, מה שמוביל לסיכון נוסף עבור החברה", אומר קארל סטיינקמפ, מנהל ב-Coalfire, ל-Dark Reading. "במקרה זה, ספק כתובות נכס דיגיטלי של נכסים דיגיטליים, גנאי, נוצל במתקפה... טעות יקרה וניתנת למניעה עבור Wintermute."
חילופי DeFi יגדלו כמטרה
אנליסטים עם בישוף פוקס מוקדם יותר השנה גילו את זה פלטפורמות DeFi הפסידו 1.8 מיליארד דולר למתקפות סייבר ב-2021 בלבד. עם סך של 65 אירועים שנצפו, 90% מההפסדים הגיעו מהתקפות לא מתוחכמות, לפי הדו"ח, המצביע על קושי בנעילת המגזר, המסתמך על עסקאות אוטומטיות.
ורק בחודש שעבר, ה-FBI הוציא אזהרה שפושעי סייבר מנצלים יותר ויותר נקודות תורפה בפלטפורמות DeFi כדי לגנוב מטבעות קריפטוגרפיים, בהיקף של 1.3 מיליארד דולר שנאספו בין ינואר למרץ 2022 בלבד.
החוקרים מציינים שהאימוץ והעלאת המחירים המוגברים של נכסים דיגיטליים משכו וימשיכו למשוך את תשומת הלב של אנשים זדוניים - וכך גם מצב האבטחה הרופף באזור ה-DeFi.
"רבות מהחברות הללו צומחות בקצב כה מהיר, רכישת לקוחות היא המוקד העיקרי שלהן", אומר מייק פוטרבו, CMO בחברת Pathlock. "אם אבטחה פנימית ובקרות גישה הן משניות ל'צמיחה בכל מחיר', יהיו פערים באבטחת יישומים שינוצלו."
המכשולים בחיזוק אבטחת DeFi הם רבים; ראשו של Wintermute ציין שקשה למצוא כלים מתאימים.
"אתה צריך לחתום על עסקאות תוך כדי שניות", אמר Gaevoy לפורבס, והוסיף כי Wintermute נאלצה ליצור פרוטוקולי אבטחה משלה מכיוון שחסרים כלים. הוא גם הודה שגנאי לא הציעה אימות רב-גורמי, אבל החברה החליטה להשתמש בשירות בכל זאת. "בסופו של דבר, זה הסיכון שלקחנו. זה היה מחושב", הוסיף.
Steinkamp מציין, "בהתאם לארכיטקטורה של פלטפורמת DeFi, עשויים להיות מספר אתגרים באבטחתם. אלה עשויים לנוע בין סיכונים מצדדים שלישיים, לבאגים של גישור קריפטו, טעויות אנוש והיעדר פיתוח תוכנה מאובטח, אם להזכיר רק כמה."
ו-Puterbaugh מציין שגם עם הפעלת בקרות ותצורות מהקופסה, התאמות אישיות ואינטגרציות עלולות ליצור חולשות באבטחה הכוללת.
שיטות עבודה מומלצות לחיזוק אבטחת DeFi
למרות האתגרים, בכל זאת ישנן גישות שיטות עבודה מומלצות שפלטפורמות DeFi צריכות ליישם.
לדוגמה, Puterbaugh תומך ביישום בקרות גישה עם כל פריסת אפליקציה חדשה, יחד עם בדיקות מתמשכות לאיתור התנגשויות גישה או פרצות יישומים, כמפתח, במיוחד כאשר מתמודדים עם מטבע דיגיטלי נייד בקלות.
כמו כן, "חברות בתחום ה-DeFi צריכות לבצע באופן שגרתי בדיקות פנימיות וחיצוניות של הפלטפורמות שלהן כדי להבטיח ללא הרף שהן מפחיתות איומים באופן יזום", לפי Steinkamp. הוא מוסיף שחברות צריכות ליישם אמצעי אבטחה משופרים נוספים כחלק מאבטחת עסקאות, כולל אימות רב-גורמי וטריגרים של התראות על עסקאות חשודות ו/או זדוניות.
כל שכבה עוזרת, הוא מוסיף. "למה אתה מעדיף לנסות להשיג גישה: בית עם דלת פתוחה או טירה עם חפיר וגשר ערוך?" הוא אומר. "חברות DeFi ימשיכו להיות מטרות עיקריות של גנבי סייבר עד שיטמיעו בקרות אבטחה ותהליכים נאותות כדי להפוך את תקיפת הפלטפורמות שלהן לפחות אטרקטיבית".
