המערב הפרוע של הקריפטו: מה אפשר ללמוד מפריצת הסייבר של פולי נטוורק | דעה

| גיא ברנהרט מגן, CTO בחברת התגובה לאירועי סייבר Profero |

המכתב שיצא מבכירי Poly Network להאקרים שזה עתה סיימו לשדוד מהם מטבעות דיגיטליים בשווי של יותר מ-600 מיליון דולר, נראה היה, במבט ראשון, כמעט נאיבי. בקריאה הפומבית הם קראו להאקרים האנונימיים להיכנס איתם למשא ומתן ו"להגיע לפתרון", אחרת, "רשויות אכיפת החוק ירדפו אותם", כאילו היו אלה בני נוער שנכנסו דרך הדלת הפתוחה של מחסן המכולת ופילחו כמה בקבוקי "קינלי" מהארגז.

אבל לא מדובר בבני נוער. הפשע בתחום ה- DeFi צבר תאוצה בחודשים האחרונים. על פי דיווח של רויטרס, נגנבו 474 מיליון דולר מפלטפורמות DeFi מתחילת השנה, כאשר אליהן הצטרפה הפריצה האחרונה, שהזניקה את סך מטבעות הקריפטו שנגנבו לשווי של מעל למיליארד דולר מתחילת השנה. ולמעשה, אין סיבה שזה לא יקרה.

כי DeFi היא טכנולוגיה חדשה מאוד. בפועל, מדובר בשלב ההתפתחות הבא של מטבעות קריפטו. אם עד כה התמקד התחום בביזור של הנפקת מטבעות, פלטפורמות DeFi, ראשי תיבות של Decentrelized finance, מבקשות ליצור ביזור של תפקודי פיננסיים של המערכת הבנקאית. השירות שנשדד למשל, הוא בורסה מבוזרת - כלומר, חלפן כספים אוטומטי, שנשלט על ידי קוד תוכנה מתוחכם במקום אדם מאחורי דלפק גבוה מידי. באופן דומה קוד תוכנה מחליף מתן הלוואות, או הפקדת פיקדונות, והחוזים לא נאכפים על ידי בתי משפט, אלא על ידי הקוד - אם אדם לקח הלוואה ולא עמד בתשלומי ההחזר, הקוד יחלט את הערובה אוטומטית.

זה החזון, אבל הדרך לשם רצופה במכשולים. והמכשולים עוברים בקוד התוכנה ובחולשות שלו. כיוון שאם מדובר בקוד תוכנה, סביר להניח שיהיו בו באגים. ואם יש באגים, יש אפשרות לשדוד כספים, כמו שהראו ההאקרים של Poly network. כל זה נכון גם עבור בנקים ומוסדות פיננסיים. כולם דיגיטליים, ואת כולם ניתן לתקוף. ההבדל הוא הרגולציה.

כי מוסדות פיננסיים ותיקים עומסים על כתפיהם מאות שנות ניסיון של המערכות הבנקאיות העולמיות. אלה כבר הספיקו להיכשל מספיק פעמים כדי לאמץ לעצמם דרכי התנהלות, פיקוח ואבטחה, שמאפשרים להשאיר את רף פשיעת הסייבר מתחת לאזורים סבירים. אך כל אלה אינם חלים על אפליקציות מבוזרות. אלה, נהנות ממעמד-על לאומי, ואינן נתונות כמעט לשום רגולציה. למעשה, אדם יכול לכתוב אפליקציית DeFi שתתחיל לחלק הלוואות, בלי שיירשם כחוק ובלי שיאמץ סטנדרטים מינימליים של אבטחה, תוך ניצול של הוואקום הרגולטורי שנוצר מההתקדמות המואצת של הטכנולוגיה.

למעשה, נוצר כאן פוטנציאל למערכת פיננסית מקבילה שלא עומדת בכללים - לא משלמת מסים, לא מקפידה על סטנדרטים של אבטחה, ולא ערבה לכספי הלקוחות. כל עוד מדובר היה במיליונים בודדים של דולרים, ניחא, תנו לטכנולוגים לשחק. אבל על פי אתר DeFi Pulse, אפליקציות אלה מחזיקות כבר כיום מטבעות קריפטו בשווי של למעלה מ-80 מיליארד דולר. זהו סכום לא קטן של כספי לקוחות, והוא ללא ספק דורש התייחסות מצד רגולטורים.

וההתייחסות לא מאחרת לבוא. כבר בחוק התשתיות האמריקאי החדש, שעבר בשבוע האחרון בסנאט האמריקאי, לפני אישור הקונגרס, מתחילות הרשויות האמריקאיות לחייב אפליקציות DeFi בדיווחים שונים. אבל דיווחים אלה לא מספקים. יש צורך להתחיל ולמתן את "המערב הפרוע" בתחום ולהחיל גם כללים שמחייבים שחקנים אחרים בתחום - החל בכללי אבטחה בסיסיים וכלה ביכולת להבטיח את כספי הלקוחות.

מה שכן, כנראה שיש מקום לאופטימיות, מכיוון שזמן קצר לאחר פרסום אותה בקשה של פולי נטוורק, ההאקרים המסתוריים כבר החזירו לפלטפורמה את רוב מטבעות הקריפטו שגנבו. מי יודע, אולי יש עוד תקווה לתחום.

הכותב הוא גיא ברנהרט מגן, CTO בחברת התגובה לאירועי סייבר Profero