נחשפה פרצת אבטחה נוספת בארנקים דיגיטליים; איך זה קרה וכיצד להתגונן?

צוות המחקר של חברת אבטחת הסייבר פיירבלוקס (Fireblocks), חשף בשבוע שעבר חולשה בשורה של חברות קריפטו המציעות פלטפורמות מסחר וארנקים דיגיטליים, ביניהן גם קווינבייס (Coinbase), ביינאנס (Binance) וזנגו (ZenGo) הישראלית. ממצאי המחקר שהוצגו בוועידת Black Hat, שנערכה בלאס וגאס, הביאו את החברות לתקן את הפרצה ולפתור את הבעיות שזוהו.

על אף שהחולשות, עליהן הצביעו החוקרים של חברת אבטחת הסייבר הישראלית, תוקנו פוטנציאל הנזק שלהם מוערך על פי החברה במיליוני ואף מיליארדי דולרים. זאת היות והפלטפורמות בהן נתגלו החולשות, מנהלות ארנקים דיגיטליים של מיליוני לקוחות אשר היו חשופים במידה רבה לאפשרות שתוקפים זדוניים יקבלו גישה לנכסים שנמצאים בארנקים הללו.

מעצם טבעו, עולם הבלוקצ'יין מעניק למשתמש רמת ביטחון גבוהה בכל מה שקשור לאבטחה, שכן הוא מעניק למשתמשים בעלות מוחלטת על נכסיהם, כנגזרת מהחזקתם במפתחות המאפשרים להם לפעול על גבי הבלוקצ'יין. בשל כך, מרגע שהמשתמש יצר העברה של נכס דיגיטלי או ביצע תשלום, ברוב המקרים מדובר בתהליך בלתי הפיך. לכן, הנגישות למפתחות הופכת לקריטית בכל הקשור לאבטחה של הנכסים בעולמות הקריפטו. בתוך המרחב הזה, פעולות חברות כמו פיירבלוקס, אשר מספקות שכבות הגנה שונות שנועדו לדאוג שהפעולות שיבוצעו יתאמו אך ורק את רצונו של המשתמש והבעלים של הנכסים. זאת באמצעות שורה של שכבות הגנה שונות, אשר בין היתר מאמתות את הפעולות ודואגות לביזורן.

"החולשות שצוות המחקר שלנו חשף הם כאלה שנוגעות לאופן שבו שאנשים מנהלים ומייצרים מפתחות או חתימות", מסביר שחר מדר, ראש מוצרי האבטחה בפיירבלוקס. "התהליך הקריפטוגרפי של ייצור ארנק חדש, מערב כמה גורמים, משתמש הקצה וה-Vendor [הספק - א"ג]. אחרי יצירת המפתח כאשר המשתמש רוצה לבצע פעולות שונות (מכירה, תשלום יצירת NFT וכו'), הוא שב ומערב את כל אותם הגורמים. החולשות שגילינו הם כאלו שמאפשרות לאחד הגורמים להוציא את החלקים האחרים של המפתח משאר הגורמים, כאשר בעיקרון אף אחד מהצדדים לא אמור לבצע פעולות לבד. אך החולשות שחשפנו מאפשרות לתוקף לחלץ את החלקים של המפתח מהגורמים האחרים, ובכך להשיג שליטה טוטאלית בארנק".

שחר מדר, ראש מוצרי האבטחה בפיירבלוקס

"משום שמדובר בתהליך כמעט בלתי הפיך, הוא מחזיק באפשרות לנצח, הוא יכול להחליט שהוא מרוקן את הארנק או שהוא ממתין להצטברות של נכסים נוספים. בכדי לעשות זאת, הוא היה צריך להשיג גישה לתוך המערכת שחותמת על העברות ומייצרת את המפתח הפרטי. על כן, התוקף היה צריך להשיג גישה לאחד הצדדים, או לספק או ללקוח שלו, וכן למערכת החתימה".

משום שמדובר על תהליך שהוא בחלקו בלתי הפיך איך מתקנים את הפרצה?
"החלק הראשון הוא למנוע מהתוקף להשיג את הנגישות הראשונית, באמצעות  הגנה על מכונות של חתימה. החלק השני, מהרגע שהתגלתה החולשה הוא שהספקים יתקנו אותה כדי לוודא שלא יהיה אפשר לתקוף בעתיד דרכה. לאחר מכן, צריך לבצע חקירת רטרו שבוחנת האם מישהו כבר ניצל את החולשה. דבר שרק הספקים מסוגלים לעשות, מכיוון שאי אפשר לבחון את הבלוקצ'יין מבחוץ, שכן כל עוד התוקף מחזיק במפתחות הפעולות נראות כלפי חוץ כלגיטימיות. עם זאת, אפשר לייצר שכבות הגנה שמוודאת שהפעולות שנעשות בפלטפורמה הן לא חריגות. מה שיאפשר להציל את הנכסים אם התוקף עוד לא השלים את התקיפה".

אמנם הבחירה של הארנק והפלטפורמה היא קריטית בכל הקשור לחשיפה לאיומי סייבר, אך לדברי מדר משתמשי הקצה יכולים לעשות שורה של פעולות בכדי להקטין את החשיפה שלהם לאיומים מסוג זה. לצורך כך, פרסמו היום שורה של נציגים מחברות סייבר הפועלות בתחום, וביניהם מדר, מסמך שנועד להציע דגשים עבור אנשים וארגונים, אשר יסייעו להם לשמור על הנכסים הקריפטוגרפיים שלהם. כותבי המסמך מציעים למעשה מבחן קצר, תחת השם "Rekt Test", המבוסס על 12 שאלות פשוטות, באמצעותן יכול המשתמש או הארגון להבין את רמת האבטחה שלו ולהשתפר בהתאם.

"אני חושב שעולם הבלוקצ'יין מתפתח מאד, והוא אחד התחומים עם הכי הרבה חדשנות ויזמות. כשאנחנו מדמיינים בלוקצ'יין כחלק משמעותי מהכלכלה העולמית זה לא יכול לקרות בלי לפתור את בעיות האבטחה. זה תחום חדש ויש מעט מאד אנשים שיודעים לעשות את זה כמו שצריך. בסוף, לא נוכל לעצור את התקיפות, אין גוף שלא מותקף בעולם, הסיפור הוא פשוט כמה שכבות הגנה שמים כדי להקטין את ההשפעה ולעשות את החיים של התוקפים קשים. אני אופטימי, וחושב שזה משתפר משמעותית, עם לא מעט פתרונות שמספקים מענה לא רע" מסכם מדר.