פרסום ראשוןתביעה: "פיירבלוקס הישראלית איבדה ללקוח 246 מיליון שקל במטבעות דיגיטליים"
פרסום ראשון
תביעה: "פיירבלוקס הישראלית איבדה ללקוח 246 מיליון שקל במטבעות דיגיטליים"
תביעת ענק ראשונה בישראל בתחום המטבעות הדיגיטליים; כתוצאה ממעשה רשלנות של עובד פיירבלוקס - אבדו מטבעות אלו ללא כל גיבוי, כך לפי התביעה שהגישה חברת הקריפטו סטייקהאונד, שדורשת את הסכום בחזרה; מיכאל שאולוב, מנכ"ל פיירבלוקס ואחד ממייסדיה: "אם היתה רשלנות היא היתה בצד שלהם"
חברת הקריפטו סטייקהאונד הגישה היום תביעה נגד חברת פיירבלוקס הישראלית בטענה שהאחרונה, אשר מספקת תשתית מאובטחת לתשתיות קריפטוגרפיות, התרשלה בתפקידה, ולא איבטחה מטבעות דיגיטליים בשווי של 245.5 מיליון שהפקידה בידיה חברת סטייקהאונר. האחרונה דורשת את הסכום בחזרה. התביעה הוגשה היום בבית המשפט המחוזי בתל אביב באמצעות עוה"ד אלי כהן, אלכס פלדשר ונונה לרנר ממשרד גורניצקי ושות'.
על פי התביעה, כתוצאה ממעשה רשלנות של עובד של פיירבלוקס אבדו מטבעות אלו ללא כל גיבוי: "מדובר בטעות אנוש שביצע עובד של הנתבעות, אשר עבד בסביבת עבודה לא מתאימה, לא שמר ולא גיבה את המפתחות הפרטיים של הנתבעות הדרושים לפתיחת הארנק הדיגיטלי הרלבנטי, ומסיבה לא ברורה, המפתחות נמחקו ולמעשה נעלמו כלא היו, מה שלא מאפשר את שחרור הנכסים הדיגיטליים של התובעת. בדיעבד, התברר כי לא זו בלבד שהמפתחות הפרטיים לא היו קיימים למעשה בידי הנתבעות כמתחייב בהסכמים, אלא שהם למעשה מעולם לא הועברו לקוינקאבר כפי שהיה על הנתבעות להעביר אליה לגיבוי".
החברה שהיתה אמונה על הגיבוי, חברת קוינקאבר, קיבלה אמנם את המפתחות הפרטיים אך לא יכלה לבדוק מפאת הסכם הסודיות אם ניתן אכן לפתוח את הארנק. על מנת שבסופו של דבר ניתן יהיה לשחזר את המפתח הפרטי הרלבנטי באמצעות הגיבוי שנעשה אצל קוינקאבר, עדיין ובראש ובראשונה, חייב להישמר העתק של המפתח הפרטי אצל פיירבלוקס, על מנת שבשעת השחזור, ניתן יהיה לאמת שזהו אכן המפתח המשוחזר.
סטייקהאונד טוענת בכתב התביעה כי "אין המדובר במצב פשוט בו המפתחות הפרטיים פשוט 'אבדו' לנתבעות מסיבה זו או אחרת, אלא שהלכה למעשה, הנתבעות עוד מלכתחילה, לא העבירו את המפתחות הפרטיים הרלבנטיים לאותו מתחם עבודה כמתחייב וכמוסכם לקוינקאבר, לצורך גיבוי. המשמעות הינה כמובן דרמטית והרת אסון ונזק: הנתבעות איבדו לתובעת למעשה באופן בלתי חוזר את הגישה לנכסים הדיגיטליים שהתובעת הפקידה בארנק אלקטרוני שסופק על ידי הנתבעות, וגרמו לכך שכ-38,178 מטבעות ETH של התובעת ירדו לטמיון.
התובעת, StakeHound SA, מנפיקה למשתמשים בשוק המטבעות המבוזרים "טוקנים" דיגיטליים ייחודים לה, בתמורה למטבעות מבוזרים מקוריים המועברים לבעלותה ביחס של אחד לאחד.
על פי כתב התביעה, התובעת התקשרה עם פיירבלוקס על מנת לקבל שירותי ארנק דיגיטלי וכן שירותי הגנה לרבות הצפנה, אחסון וגיבוי לנכסים הדיגיטליים שבבעלותה. סטייקהאונד אומרת בתביעה שפיירבלוקס מספקת תשתית מאובטחת להעברה, אחסון והנפקת נכסים דיגיטליים, ובעיקר אבטחת ארנקים דיגיטליים ואבטחת העברות על גבי שרשראות הבלוקים. תשתית זו מסייעת לגופים פיננסיים להגן על נכסים דיגיטליים מפני גניבה או פגיעה בזדון או אובדן נתונים, וזאת באמצעות מערך אבטחה המוצפן באמצעות מפתחות ציבוריים ופרטיים.
סטייקהאונד מתארת את הפתרון של פיירבלוקס וטוענת שהוא מעין מנעול אשר לצורך פתיחתו נדרשים שלושה מפתחות בעלי צורת קידוד שונה, אך רק שילובם יחדיו, אל תוך פתח המנעול, יאפשר את פתיחתו בהצלחה. לכך יש להוסיף, כי כל מפתח נשמר אצל גורם אחר כדי להגביר את רמת האבטחה.
המפתח הפרטי הוא למעשה הוכחת הבעלות על המטבע הדיגיטלי בפני שרשרת הבלוקים. גיבוי של המפתח הפרטי יאפשר שחזור של המטבעות הדיגיטליים בכל ארנק אחר. אם משתמש מאבד את המפתח הפרטי, בעיני מערכת המטבעות המבוזרים - אין למשתמש מטבעות בבעלותו, כיוון שאין לאותו משתמש את ההוכחה הדרושה לכך שהמטבעות אכן בבעלותו.
בפברואר האחרון דיווחה חברת פיירבלוקס, שמפתחת תשתית מאובטחת להעברות נכסים קריפטוגרפים בין ארגונים, כי היא גייסה 133 מיליון דולר בסבב C. את ההשקעה הובילו Coatue, Ribbit והשתתפו בה המשקיעים הקיימים Paradigm, Galaxy Digital, Swisscom Ventures, Tenaya Capital ו-Cyberstarts Ventures.
החברה הוקמה ב-2018 על ידי המנכ"ל מיכאל שאולוב שייסד את Lacoon Mobile Security, שנמכרה לצ'ק פוינט לפני כ-6 שנים תמורת 100 מיליון דולר. סמנכ"ל הטכנולוגיות הוא עידן עפרת שהיה ממייסדי C4 Security שנרכשה על ידי אלביט מערכות וסגן הנשיא למו"פ הוא פבל ברנגולץ ששימש כסמנכ"ל ב-Safend. בשיחה עם כלכליסט אמרו מנהלי החברה בעת הגיוס כי "הם נותנים מענה ביטוחי להעברות של עד 30 מיליון דולר".
תגובת חברת הפינטק הישראלית "פיירבלוקס": "בחודש דצמבר 2020 צוות המחקר של פיירבלוקס (Fireblocks) שיתף פעולה עם בקשה של חברת סטייקהאונד (Stakehound) לבנות סדרה של מפתחות פרטיים BLS שנוגעים ל-staking project של מטבעות ETH 2.0. המפתחות הפרטיים שנוצרו בהקשר לפרויקט זה נוהלו מחוץ לפלטפורמת פיירבלוקס ולא היוו חלק ממבנה ארנק ה-MPC או תהליכי הגיבוי של הפלטפורמה.
"כשנחשפו אי סדרים מסוימים סביב מפתחות ה-BLS הפרטיים במהלך תרגול שגרתי של התאוששות מאסון, פיירבלוקס השעתה באופן מיידי את הכתובות שעשויות היו להיפגע והציעה את סיועה ללקוח. אנו חוקרים באופן אקטיבי את המצב ומסייעים לכל הצדדים הנוגעים בדבר לפתור את העניין.
"יש להדגיש: אף אחד מהמפתחות הפעילים של פיירבלוקס לא הושפע וכל ההון של הלקוחות הוא בטוח. כל המפתחות של הלקוחות מגובים וניתנים לשחזור. מפתחות ה-BLS הפרטיים בפרויקט זה לא היו חלק ממבנה ארנק ה-MPC של פיירבלוקס. המפתחות יוצרו על ידי הלקוח ואוחסנו מחוץ לפלטפורמת פיירבלוקס. הלקוח לא אחסן את הגיבוי למפתחות באמצעות ספק שירות צד ג', כפי שמורות ההנחיות שלנו. אנו נמשיך לעדכן אודות המצב והפתרון של אירוע ברגע שמידע עדכני יהיה זמין".
מיכאל שאולוב, מנכ"ל פיירבלוקס ואחד ממייסדיה: "כל הטענה של התובעת אינה נכונה וכל השתלשלות האירועים שהם מתארים לא קשורה למציאות ואם היתה רשלנות היא היתה בצד שלהם. מעולם לא איבדנו מפתחות של ארנקים וכולם מגובים על ידינו כל עשר דקות בשלושה מקומות שונים וכל המפתחות שלנו יוצרים גיבוי אצלהם ובצד שלישי.
"מה שקרה בפועל - הלקוח התעסק בפעילות שנקראת סטקינג שיוצרת ריבית למטבעות איתריום לקראת שחרור גרסה חדשה של איתריום 2. הם לקחו כסף קריפטו מאנשים עד עליית המטבע החדש בתמורה לריבית עתידית. במסגרת שהם יצרו יש סיסמא שהלקוח צריך ברגע שהרשת החדשה תוקם. פיירבלוקס אינה יוצרת את הסיסמא לרשת כי היא עדיין לא קיימת. זו טכנולוגיה שאנחנו לא יודעים לתמוך. קבוצת המחקר שלנו עזרה להם לפתח יישום שהם הריצו כדי לייצר את הסיסמא שהם היו צריכים לגבות אותה ולספק הנחיות לגיבוי שלה. הם לא גיבו את הסיסמא ולא עשו וידוי לסיסמא.
"היינו מעורבים בתהליך וסיפקנו את התוכנה. הם העבירו לנו מפתח שלא היה חלק מהמערכת והם היו צריכים להעביר הנחיות וניסינו לעזור להם, אבל הם החליטו להגיש תביעה".