הביטקוין ושאר המטבעות הדיגיטליים הביאו עמם חדשנות ועצמאות כלכלית. חוסר התלות בגורם מרכזי כגון בנקים או רשויות מאפשר להעביר סכומים בקלות ובתוך דקות מכל מקום ברחבי הגלובוס.
אך עם זאת, העובדה שאין גורם מרכזי אחראי, מטילה את האחריות באופן מלא על משתמשי הקצה של רשת הביטקוין ושאר המטבעות, מה שמשאיר פתח לטעויות. על טעויות משלמים, ועוד איך. תשאלו את יניב.
העובדה שיניב אינו חדש בתחום, ואף זכה לרכוש ביטקוין בשנת 2013 כשזה היה שווה כמה עשרות דולרים, מוכיחה שאף אחד לא חסין מטעויות של חוסר תשומת לב, ומספיקה שנייה אחת של חוסר ריכוז על מנת לאבד סכומים נכבדים.
“הייתי צריך להעביר מטבעות את’ר (אתריום) מזירת המסחר לארנק המקומי המאוכסן על המחשב. מאז ימי Mt.Gox (בורסת הביטקוין הגדולה בעולם נכון לשנת 2013, שנעלמה ביחד עם כספיי משתמשיה הרבים), אני יודע שכלל ברזל באבטחת קריפטו הוא שאסור להשאיר מטבעות בבורסה,” מספר לנו יניב.
“בגלל שלא הייתה לי גישה לארנק הטרזור (ארנק חומרה לאכסון מטבעות דיגיטליים) שבבעלותי משום שהמסך שלו לא עבד, רציתי להעביר לארנק תוכנה מקומי, באופן זמני.
בעקבות המלצה על ארנק אקסודוס למחשב (אפליקציית WINDOWS), התקנתי ואהבתי את הממשק. ראיתי שיש לארנק גם אפליקציה לטלפון ורציתי שתהיה לי גישה למטבעות גם דרך הנייד. כאן למעשה החלה הטעות הגדולה שלי.
חיפשתי בגוגל סטור את אפליקציית אקסודוס ומצאתי אותה בגרסת המובייל. אפליקציה בשם EXODUS WALLET MOBILE הנושאת את הלוגו והתיאור של האפליקציה המקורית המקבילה שהתקנתי קודם בגרסא למחשב. בדיעבד, מדובר היה באפליקציית פישינג.”
פישינג, בתרגום חופשי – “דיוג,” היא שיטה נפוצה של נוכלים לגניבת סיסמאות לחשבונות בנק, כרטיסי אשראי, ופופולארית עוד יותר בגזרת המטבעות דיגיטליים – עליהם קשה יותר לעקוב, ולא ניתן לבטל העברה של מטבעות, בניגוד לביטול עסקאות בכרטיסי אשראי.
כך עובדת המלכודת: הנוכלים מעתיקים את הממשק המוכר של אתרים רגישים כגון דף כניסה לבנק, דף הבית של PayPal וארנקי קריפטו דיגיטליים. כל שנותר לגנבים הוא לחכות לקורבן התמים שלא יבחין שהוא אינו נמצא בכתובת המקורית, וברגע שהפרטים הרגישים נשלחו, קצרה הדרך של הגנב לכסף. בקריפטו, המיקוד של הגנבים הוא על גניבת המפתח הפרטי לארנק.
כדי לשחזר גישה לארנק קיים, כמו במקרה של יניב, דרושה תוכנת ארנק דיגיטלי ומפתח פרטי (מחרוזת SEED של 12 או 24 מילים). לגנב מספיקה המחרוזת בלבד כדי לבצע את זממו ולהעביר לחיקו את המטבעות באין מפריע.
“ממש ברגע של בלק-אאוט התקנתי את האפליקציה בטלפון הנייד, הכנסתי את המחרוזת, וברגע שסיימתי האפליקציה נסגרה במקום שאקבל גישה למטבעות בארנק. לא עברו שתי דקות, והיתרה בארנק המותקן במחשב הצביעה ש- 200 מטבעות האתריום ו- 139 מטבעות NEO שהיו מאוכסנים עליו, נעלמו כלא היו.”
מיותר לציין, בזמן המקרה, המטבעות היו שווים מעל 80,000 דולר. בתמונה הבאה מתוך הבלוקצ’יין של אתריום ניתן לראות את הארנק של יניב ואת ההעברה שביצע הגנב, וזאת תוך שניות:
כנשאל על הדקות של אחרי המקרה, כשהוא מבין שאיבד את הסכום הנכבד, יניב סיפר לנו על ההלם:
“מה אני עושה עכשיו? מיד כתבתי פוסט בקבוצה של קהילת הביטקוין הישראלית בפייסבוק על מנת להזהיר אחרים ואולי למצוא קצה חוט מה ניתן לעשות.
רוב המגיבים תמכו והשתתפו בצערי על האובדן. יש גם שמאוד עזרו בעיקר ברמה הטכנית במאמצי ההתחקות לאן המשיכו המטבעות. אני בספק שזה יוביל לתוצאות, אבל תקווה תמיד יש.”
עם זאת, הקהילה בישראל ידועה בציניות שלה, ויניב גם קיבל תגובות מקוממות של זריית מלח על הפצעים (“אמרתי לך”), שמוטב שלא היו נאמרות לאדם בצערו.
במעקב שבוצע מאז שהמטבעות עזבו את הארנק של יניב, נראה שהמטבעות נשלחו לזירת המסחר KUCOIN. זירת מסחר מוכרת, אך כזו שלא מחייבת תהליך זיהוי בפתיחת חשבון (KYC, הכר את הלקוח).
יניב ממש לא מתכוון לוותר, וכבר פנה לרשויות החוק בארץ. לדבריו, המקרה הועבר לחקירת יחידת הסייבר של לה”ב 433, וקורא מכאן לסיוע – לכל מי שיודע מידע נוסף, או חווה מקרה דומה.
אמנם האבדן גדול, אבל למרות הכל, יניב שומר על פרופורציות:
“אנחנו בני אדם ולכן טעויות כאלה קורות. ברגע של חוסר תשומת לב יש אנשים שאיבדו חיים, אז אני איבדתי כסף.”
“שמעתי על ביטקוין לראשונה בשנת 2013, חקרתי מעט ומיד התאהבתי. אהבתי את הרעיון של כסף השייך לציבור ולא לבנקים או ממשלות. העובדה שאי אפשר לדלל אותו ואת נושא האחריות האישית שכל אחד הוא בנק לעצמו”
אותה אחריות אגב, שעלתה ליניב במקרה המצער שהתרחש.
כשנשאל האם לאחר המקרה איבד אמון במטבעות הדיגיטליים, יניב ענה את ההיפך המוחלט, והוסיף ביקורת כלפיי ענקית התוכנה גוגל. “למדתי שיעור יקר, יחד עם זאת, זו לא סיבה לזרוק את התינוק עם המים. יש פה דבר שלדעתי הוא גדול, והפסד אישי גדול ככל שיהיה לא פוסל תעשיה שלימה ורעיון אדיר (רעיון הקריפטו). אז עדיין מאמין גדול בדבר הזה.”
“הטעות היתה שלי. עשיתי שטות של טירון, וברגע של חוסר מחשבה לא בדקתי לעומק את האפליקציה – לא יודע מדוע סברתי שאם האפליקציה קיימת בחנות של גוגל, אז בוודאי שהיא נבדקה. לא שיערתי לרגע שכל האקר יכול לפרסם אפליקציה באין מפריע. וזאת תוך גניבת הלוגו המקורי והתיאור של אפליציות לגיטימיות קיימות ומוכרות.”
לטובת הקוראים, מה הלקח המרכזי שתיקח מהמקרה המצער?
“חובה לבדוק את אפליקציות הארנק לפני שמתקינים ולא כל אפליקציה בגוגל או בחנות של אפל היא לגיטימית. בנוסף, גם אם התקנתם, בדקו טוב לפני הכנסת המפתח הפרטי. זהו השלב הקריטי ביותר.”
יניב ממליץ גם שלא לאכסן את כל הביצים בסל אחד. “בכל הנוגע למטבעות, מוטב לא לאכסן בארנק אחד, אלא לפצל למספר ארנקים.”
נורה אדומה נוספת שהיתה אמורה להידלק היא כמות ההורדות. בחיפוש בגוגל סטור נראה הבדל ניכר בין האפליקציה המקורית לבין האפליקציה הזדונית אותה התקין יניב. שימו לב לחוות הדעת ולהבדל הניכר בין כמות הורדות האפליקציה המקורית – מעל 100,000 – לעומת הזדונית – כאלף בלבד בזמן המקרה. מיותר לציין שבעת כתיבת הכתבה, גוגל הסירה את האפליקציה מחנות האפליקציות.
