לא פעם שמענו על שודי קריפטו שלקח זמן רב לגלות אותם, וזמן רב עוד יותר לנסות "לפתור" אותם – כלומר, מצד אחד למצוא את האחראים ומצד שני לנסות כל דרך אפשרית להשבת הנכסים הגנובים. המקרה הזה הוא כמעט ההיפך הגמור מכך.

אתמול (ראשון) הודיעה חברת XCarnival כי נשדדה על ידי האקר, שגנב ממנה 3,087 את'ר, בשווי של כ-3.8 מיליון דולר. הפרט המפתיע בהודעה היתה שעוד לפניה, הספיקה החברה ליצור קשר עם ההאקר, להגיע מולו לפשרה – ולהודיע על התוצאות, והכל באותו יום שבו בוצע השוד.

XCarnival was attacked on June 26, 2022 and suspended part of the protocol. XCarnival officials will give 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a owner 1500 ETH bounty.
At the same time, XCarnival officals explicitly exempt the person from legal action.

By XCarnival team

— XCarnival (@XCarnival_Lab) June 27, 2022

לפי דיווחים ברשת, תחילה הציעה החברה להאקר 300,000 דולר, לצד אי שיתוף פעולה מצידה עם רשויות החוק, אם יחזיר לה את הנכסים הגנובים. ההאקרי הגיב: "1,500 את'ר – כולם מרוצים? 300 את'ריום זה נמוך מדי", והחברה ענתה: "1,500 את'ריום מקובל". כל השיחה הזו התנהלה באמצעות שליחת הודעות על גבי רשת הבלוקצ'יין של את'ריום, שהמטבע שלה היה זה שנגנב מהחברה. ואכן, תוך זמן קצר החזיר ההאקר 1,467 את'ר, ששוויים 1.8 מיליון דולר, ושמר לעצמו את 1,500 הנותרים.

לפי נתוני אתר Rekt, העוקב ומדרג שודי קריפטו, השוד הזה אינו מרשים במיוחד לכשעצמו – הוא טרם עודכן בטבלה, אך לפי הסכום שנשדד (לפני החזרת המחצית) הוא אמור להיות במקום ה-77 בשודי הקריפטו בכל הזמנים ומקום 20 מתחילת השנה. אך מה שמרשים בו הוא המהירות שבה אירעה שרשרת התגובה לשוד, ובהסכמה המהירה בין השודד לקורבנות.

אקסקרניבל היא חברה שמציעה שימוש בנכסי קריפטו ו-NFT להפקת רווח ללא מסחר, על ידי השאלה שלהם למשתמשים אחרים כדי שיוכלו לבצע פעולות בשווי של הנכסים המושאלים. תמורת זאת מקבלים בעלי הנכסים הללו עמלה שנתית גבוהה יחסית – וההאקר ככל הנראה הצליח למצוא דרך להשתמש ב-NFT שכבר לא היה במאגר כעירבון לביצוע משיכת האת'ר.

למרות הפתרון המהיר שהגיעו אליו החברה והשודד, הסיפור טרם הסתיים: לפי הציוץ של החברה, "כל פעולות ההפקדה והשאילה אינן נתמכות זמנית", ולמרות שהיא הבטיחה עדכון כאשר תטפל בבעיה שאיפשרה את השוד, עדכון כזה טרם הגיע – מה שאומר שהחברה ככל הנראה עדיין לא יודעת כלל איך נשדדה.

המטבע של השירות, XCV, צנח בעקבות ההודעה ממחיר של 1.17 סנט ל-1.01 סנט, ושווי השוק הכולל שלו נפל מ-588,000 דולר לרף ה-500,000 – ירידה של מעט יותר מ-10%.

משה לוי, CISO (סמנכ"ל אבטחת מידע) בחברת CyberInt, אומר לאתר ice כי הצעד שנקטה החברה חוקי לחלוטין, ומוסיף כי "זו אינה הפעם הראשונה שחברות בתחום הקריפטו נוהגות כך – ולדעתי זה גורם לבעיות שרק ילכו ויחמירו; פעילות שכזו תאפשר לתוקף את האפשרות לא לחשוף כיצד פרץ לשרתי החברה. במידה וישנה יותר מדרך אחת, מי הבטיח שזה לא יקרה שוב?".

עוד ב-

קורבנות שוד הקריפטו הגדול בהיסטוריה קיבלו חדשות מרעישות

לכתבה המלאה

מעבר לכך, הוא מציין כי מדובר בהענקת חותמת כשרות לשוד. "דבר שכזה לדעתי יגרור ניסיונות תקיפה חוזרים גם כלפי חברות אחרות. הרי אם זה עבד על החברה הזו, למה לא לנסות את אותה המתקפה גם במקומות אחרים?". הוא מצהיר כי "הרגולטור חייב להתחיל ולאכוף באופן אקטיבי יותר את חוקי אבטחת המידע על בורסות הקריפטו שהולכות וגדלות. מדובר בקרקע שמזמינה פורצים וממשיכה להתרחב כל העת".