אחסון עצמי בקריפטו: החידוש הגדול ביותר — אך גם הגורם העיקרי להפסדים של 8.5 מיליארד דולר

אחסון עצמי בקריפטו, המאפשר למשתמשים לשלוט במטבעות הדיגיטליים שלהם ללא תלות בממשלות או בנקים, נחשב לאחד החידושים המשמעותיים ביותר של טכנולוגיית הבלוקצ'יין. עם זאת, הוא גם הגורם המרכזי להפסדים עצומים בעקבות גנבות וגניבות מקוונות. על פי נתוני DefiLlama, גניבות של מפתחות פרטיים המאפשרים גישה לארנקים דיגיטליים גרמו להפסדים של למעלה מ-8.5 מיליארד דולר — כמעט מחצית מכלל הגנבות שהתרחשו בעשר השנים האחרונות.

הסטטיסטיקה המדאיגה מעלה שאלות קשות לא רק לגבי היתרונות של האחסון העצמי, אלא גם לגבי יציבות התעשייה העולמית של מטבעות קריפטו, המוערכת בכ-2.7 טריליון דולר.

למרות הסיכונים, ניתן להפוך את האחסון העצמי לבטוח לחלוטין, כך טוען דייוויד שווד, מנכ"ל SVRN ומומחה לאבטחת סייבר שהוביל את פיתוח שירותי הנכסים הדיגיטליים של BNY Mellon. לדבריו, הבעיה העיקרית היא שחברות רבות בתחום פועלות בתקציבים מצומצמים, נדרשות להביא מוצרים לשוק במהירות ומרבות להתעלם מאמצעי אבטחה נדרשים.

שווד מדגיש כי על הפרויקטים בתחום הקריפטו להעסיק מנהלי אבטחת מידע מנוסים ולהעניק להם סמכויות להקים צוותי אבטחה מקצועיים. "אם תעשו זאת, בהחלט תוכלו לבנות מערכת אחסון עצמי בטוחה", הוא אומר.

משבר אמון בתעשיית הפיננסים המבוזרים

תעשיית הקריפטו סוערת בשבועות האחרונים בעקבות שני מקרי גניבה גדולים שביצעו האקרים צפון קוריאנים מפרויקטים מרכזיים של פיננסים מבוזרים (DeFi): Drift ו-Kelp DAO. ההאקרים גנבו יחדיו כ-579 מיליון דולר, אירוע שהוביל למשבר אמון חריף בתחום.

רבים בתעשייה החלו להטיל ספק בשאלה האם היתרונות הטמונים בטכנולוגיה המבוזרת מצדיקים את הסיכונים הכרוכים בה. עם זאת, שני מקרי הגניבה האחרונים לא נבעו מפגמים בקוד המקור, אלא מחולשות אבטחה במערכות הפנימיות של הפרויקטים או בספקיות התשתיות שהם הסתמכו עליהן.

במקרה של Drift, ההאקרים הצליחו לפרוץ למערכות הפנימיות של הפרויקט לאחר שהצליחו לגרום לתרמידי הפרויקט להוריד תוכנות זדוניות במסגרת קמפיין הנדסה חברתית שנמשך חודשים. במקרה של Kelp DAO, התוקפים ניצלו פרצות ברשת המאמתים המבוזרת של LayerZero, שממנה הסתמכה הפלטפורמה לקביעת זהות מקבלי הכספים.

לחץ להשקה מהירה וחוסר תקציב מעיבים על האבטחה

לדברי שווד, ישנן מספר סיבות מרכזיות לכך שאבטחה אינה בראש סדר העדיפויות של מפתחי קריפטו. ראשית, משקיעים בפרויקטים בשלבים מוקדמים לוחצים על הצוותים להשיק מוצרים במהירות ולצבור תאוצה בשוק. בתחום תחרותי כמו הקריפטו, פרויקטים שמגיעים ראשונים לשוק מצליחים לרוב לבסס את מעמדם ולהדוף מתחרים. לדוגמה, Aave, פרוטוקול ההלוואות הגדול ביותר בתחום ה-DeFi, נוסד במקור בשנת 2017 תחת השם ETHLend, ו-Uniswap, בורסת החליפין המבוזרת הגדולה ביותר, הייתה בין הראשונות להשיק בשנת 2018.

בנוסף, עלויות האבטחה גבוהות למדי. שכירת מנהל אבטחת מידע מקצועי וכוח אדם נוסף — לפחות שלושה עד חמישה אנשים — עשויה לגרום אפילו לפרויקטים בעלי תקציבים נדיבים לוותר על כך. גם התרבות הפנימית בפרויקטים קטנים וזריזים מהווה מכשול: מנהל אבטחה מקצועי ידרוש הטמעת מנגנוני בקרה רבים שיגרמו למפתחים להרגיש מוגבלים בתהליך הפיתוח.

"אם תעשו זאת, בהחלט תוכלו לבנות מערכת אחסון עצמי בטוחה. הבעיה היא שרבים לא מוכנים להשקיע בכך", אמר שווד.