פרשנותהביטקוין בשיא, אך שוק הקריפטו עדיין מסוכן
פרשנות
הביטקוין בשיא, אך שוק הקריפטו עדיין מסוכן
מחיר הביטקוין מזנק אבל בורסות הקריפטו בעולם נותרו לא מפוקחות, וממשיכות להטיל את מלוא האחריות על המשתמשים. לקוח בורסת בייננס שחשבונו רוקן אמר ל"כלכליסט": "מאז הפריצה אני בפרנויה מוחלטת, החלפתי טלפון ומחשב"
בזמן שמחיר הביטקוין בשיא של קרוב ל־70 אלף דולר, והעניין סביב הנכס הדיגיטלי גובר, דבר אחד מהותי לא זוכה לתשומת לב: שום דבר לא השתנה בשוק הקריפטו. מה שהפך אותו מסוכן לפני חמש שנים או שנתיים, מסוכן גם היום. בינואר החלו להיסחר תעודות סל על הביטקוין ולכאורה נוספה ארשת של מכובדות ובטיחות לשוק. אך השחקנים, המוטיבציות והמוצרים בשוק הקריפטו נותרו ברובם זהים, כשרבים וגדולים קרסו ונאסרו והובילו לאובדן של מיליארדי דולרים לחוסכים קטנים וגדולים. כזהו הסיפור של הסוחר שכינויו doomxbt, ישראלי החי בגרמניה, בעל חשבון בבורסת הקריפטו הגדולה בעולם — בייננס.
doomxbt החזיק נכסים דיגיטליים - מטבעות את'ר של המטבע היציב USTD - בשווי מצטבר של כ־70 אלף דולר בחשבון בבייננס, בורסת הקריפטו שזכתה במשך שנים למוניטין כפלטפורמה בטוחה והיום מוחזקים בה כ־65 מיליארד דולר בשווי נכסים דיגיטליים. "אני זקוק לבורסה עם נזילות גבוהה", סיפר doomxbt שסוחר בקריפטו, "אין אחרת שיכולה להשתוות לה".
אולם ב־29 בפברואר הוא החל לקבל התראות כי מתבצעות פעולות קנייה ומכירה בחשבון שלו, אף שידע כי כאלו לא אמורות להתרחש. הוא עשה את הדבר הנכון ביותר שעלה בדעתו ופנה לנציג בייננס, אלא שזה לא היה שותף לבהלה. "נלחצתי. פניתי לצ'אט ואמרתי לנציג שענה לי במהירות שמישהו מבצע פעולות בחשבון וזה לא אני". במשך דקות ארוכות דיברו השניים, לרבות אימות זהות באמצעות וידיאו ומעבר לנציג שירות שני, שיחה שהסתיימה רק כשכל הנכסים רוקנו מהחשבון של doomxbt ולמעשה השיחה התייתרה. מאוחר יותר בייננס הקפיאה את החשבון והמקרה עבר לטיפול המשטרה הגרמנית. לו לא נותרו אפשרויות להחזיר לעצמו את כספו חזרה. "אני לא מחכה למשטרה או לבייננס", פוסק.
doomxbt הוא רואה עצמו בעל יכולות טכנולוגיות מתוחכמות יחסית, ואף שלדבריו יש דברים שעליהם הוא מצטער בדיעבד, הוא הגן על האבטחה שלו מעל הממוצע, והיה "בתחושה שדבר כזה בחיים לא יקרה לי". לדבריו בדיקה שערך בשיתוף עם בייננס לא סיפקה תשובה כיצד הצליחו לפרוץ לו לחשבון. "מאז הפריצה אני בפרנויה מוחלטת, החלפתי טלפון ומחשב ואני מפחד לגעת בדברים שהם לא שלי. עד עכשיו אני לא יודע איך זה קרה. אני בסרט של מה מתחבר לרשת האלחוטית, קנינו שואב אבק רובוטי שמחובר לרשת — ואני דואג אולי זה משם".
מנכ"ל בייננס ריצ'רד טנג הודה בתגובה למקרה ברשת החברתית X (לשעבר טוויטר) כי מדובר בעניין רציני והתחייב כי צוות האבטחה של החברה ינהל חקירה מלאה. האם סופה של חקירה כזו היא השבת הכספים? קשה להאמין. "עם כל החשיפה בטוויטר, והעובדה שאפילו המנכ"ל כתב לי, אף אחד לא הביע צער או הודה בכשל בצד שלהם. החליפו לי מפתח אבטחה, אך בכל בורסה אחרת כשדבר כזה קורה — החשבון מוקפא למשיכות. לא בבייננס. בטוח אחזור לשם כי אין לי ממש ברירה. אבל אצטרך לחקור כיצד להגן על החשבון".
"בשנים האחרונות אנו עדים למתקפות מתוחכמות שפוגעות במשתמשים שמחזיקים כספים בבורסות ריכוזיות", מספר שניר לוי מחברת המחקר Xplorisk שמעריך כי המכשירים של doomxbt הודבקו ברוגלה, "התוקפים מצליחים להשיג גישה למכשיר של הלקוח באמצעות תוכנות זדוניות או התחזות לאנשי תמיכה שדורשים לאפשר התחברות מרחוק למכשיר לצורך תחזוקה דחופה. ברגע שמושגת גישה למכשיר הם מסוגלים לקבל גישה לכתובת האימייל ולתוכנות האימות הדו־שלבי. במקרים כאלו מנגנוני ההגנה הקלאסיים אינם עובדים והקורבן תלוי לחלוטין ביכולות הבורסה לאתר את אותן אנומליות".
אבל האם אפשר לסמוך על הבורסות? אין זו הפעם הראשונה שהאקרים פועלים מול חשבון פיננסי אחד בודד בשוק הקריפטו ושודדים אותו. וסכנות מסוג זה קיימות גם במערכת הפיננסית המסורתית. העולם הדיגיטלי המתפתח מערים סכנות מהותיות בניהול חשבונות פיננסיים, לכן מצופה ממערכות פיננסיות שונות להפחית ככל הניתן את סכנות הסייבר, כמו גם לטפל בהן בזמן אמת ולאחר המעשה. אבל ההבדל הוא שמערכת אחת נתונה לפיקוח וסטנדרטיזציה מחמירה, בעוד שהאחרת לא. האחת מבטחת, השנייה לא, האחת מחויבת, השנייה ממש לא.
doomxbt ויתר המשתמשים בבייננס אמורים לדעת זאת. לא זו בלבד אלא שאפילו תנאי השימוש בבייננס מסייגים את מחויבות החברה כלפי המשתמשים בה ככל הניתן. הלקוחות גם אמורים לדעת כי לבייננס אין חובה להקים מנגנוני השהייה שיכולים להקפיא מיד את החשבון כשפעולה חשודה ראשונה מתרחשת — מנגנונים שקיימים בבורסות קריפטו אחרות; והם גם צריכים לדעת שלפקדונות בפלטפורמה אין כל ביטוח.
אבל קשה לדעת ולשלוט בכל, במיוחד במערכות מורכבות, גדולות ורגישות. בדיוק לשם כך הושתה רגולציה מחמירה בשוק הפיננסי המסורתי, שמעבירה את האחריות אל נותנות השירות ואף אל הרגולטורים עצמם. רק שבייננס אינה מפוקחת, וכך היא נהנית משני העולמות: גם מעבירה את האחריות לחלוטין לידי הלקוחות, וגם לא חייבת כל דין וחשבון במקרה שמשהו משתבש.
בייננס מסוגלת לעשות את כל זה בגלל העיצוב המקורי של שוק הקריפטו — שנועד מלכתחילה לייצר אלטרנטיבה למוסדות הפיננסיים המסורתיים, אף שהיא מציעה שירותים שזהים באופיים לאלו של אותם מוסדות. זאת משום שהיא ושכמותה פועלות כעשור ככל שביכולתן כדי למנוע פיקוח וסטנדרטיזציה שרגולטורים ברחבי העולם מנסים להשית עליהן.
העובדה כי מחיר הביטקוין ומטבעות אחרים מזנקים לשיאים חדשים וששחקנים מוסדיים יכולים לקנות תעודות סל לנכסים דיגיטליים, לא אומרת דבר על התפתחות בשוק, שנותר היום בדיוק כפי שהיה לפני שלוש שנים, כששימש זירה נוחה לפעילותם של נוכלים ורמאים בקנה מידה גדול.
כשנוסד שוק הקריפטו עקרונות הבסיס שלו היו ביזור והצפנה, שני אלמנטים שאמורים לאפשר התנתקות ממערכות פיננסיות מסורתיות והרעות החולות המיוחסות להן, כמו שליטת מדינה ובנקים על היצע ומחיר הכסף. המערכת החדשה נועדה להעביר את האחריות מהגורמים הריכוזיים אל הפרט, כך שכל אינדיבידואל יהיה האחראי הבלבדי לניהול כספיו — בלי בטוחות, בלי הבטחות ובלי אמון. אך הבעיה במנגנון היתה כפולה: סרבול ואיטיות. בלוקצ'יין, הטכנולוגיה שעליה נשען השוק, אינה יעילה דיה כדי לקיים עליה פעילות כלכלית מהירה, אינטנסיבית ובין מאות־מיליוני משתמשים בו זמנית; והיא גם טכנולוגיה לא נגישה שדורשת מיומנות גבוהה מהציבור הרחב שאין לו הזמן או הגישה למידע כדי להתמקצע בה.
כדי להתגבר על קשיים אלו קמו בורסות מסחר ריכוזיות שמאפשרות למשתמשים לקיים אינטראקציות במהירות מעל שכבות הבלוקצ'יין.
ביצירת שכבה עליונה זו הפכו עצמן הפלטפורמות לנקודת תורפה בעצמן, משום שמצד אחד הן הסירו את כל האבטחה האינהרנטית לשוק, ומצד שני הניחו אותן על פלטפורמות "רגילות", ללא רגולציה שמחייבת פלטפורמות מסורתיות. המשתמשים נותרו קירחים מכל הצדדים.
הסכנה ידועה, אך הפשטות מנצחת, ומשתמשים נוהרים לפלטפורמות הריכוזיות. האם בימים ששוק הקריפטו נהנה מעניין מחודש משהו השתנה בבייננס? כן, החברה הסכימה לשלם 4.3 מיליארד דולר לרשויות האמריקאיות בשל אוזלת ידה במניעת הלבנת הון ומימון טרור. אך הקפאת משיכות אוטומטיות ברגע שיש חשד לפריצה אצל לקוח פרטי — עדיין לא קיימת בפלטפורמה.