כך הפכה גניבת קריפטו לשרשרת אספקה אוטומטית מתוחכמת

תמונה: dreamstime

בעולם הקריפטו של 2025 כבר אין סודות קטנים. כל צילום מסך, כל העתקה ל-Clipboard ואפילו משפט Seed משובש בכוונה יכולים להפוך תוך דקות למפתח תקף. מחקר חדש של GK8 מציג תמונה מדויקת ועדכנית של האיום: לא האקר בודד ולא תקיפה מזדמנת, אלא תעשייה מתועשת, מודולרית ואפקטיבית שפשוט עובדת. בחצי השנה האחרונה לבדה נדבקו יותר מ-2.6 מיליון מכונות בנוזקות Stealer, וכל אחת מהן הזינה עוד ועוד חומר גלם למערכת שמטרתה אחת – מציאת מפתחות קריפטוגרפיים וניקוז נכסים.

ההפתעה הגדולה במחקר היא לא בהיקף ההדבקות, אלא בפרקטיקה. גניבת קריפטו היא כבר לא פעולה ידנית שמצריכה האקר מיומן, היא רצה על מסוע תעשייתי שמחולק לארבע תחנות קבועות לכל תחנה יש תפקיד מוגדר, לכל שלב כלי ייעודי, והכל ביחד יוצר תהליך שעובד במהירות, בדיוק וללא תלות במיומנות אנושית.

ארבע תחנות

כדי להבין איך התוקפים מצליחים להרכיב מפתחות גם משברי מידע, צריך להסתכל על המבנה המודולרי של השרשרת.

1. הדבקה ואיסוף מידע

התקיפה מתחילה בנוזקת Stealer שמורידה מהמכשיר כל מה שזמין: Clipboard, קובצי וולט, צילומי מסך, היסטוריית גלישה, קבצים דחוסים ועוד. זהו שלב שמייצר כמויות עצומות של לוגים גולמיים – "מזבלה דיגיטלית" שממנה הכל ייבנה.

2. פיענוח והפיכת לוגים למפתחות

זהו הלב של התהליך. כמות המידע לא מרשימה בפני עצמה אם אי אפשר להפוך אותה למפתחות תקפים. כאן נכנסים לפעולה פרסרים מתקדמים שמסוגלים לזהות ביטויים חלקיים, לתקן טעויות כתיב, לזהות אותיות דומות, לשחזר משפטים חסרים, ולהוציא מידע גם מתוך תמונות, פדפים או ZIPים מוצפנים. כלים כאלה נמכרים בדרקנט, והבולט שבהם הוא SeedX 4.1.0, שמסוגל לטפל בתקנים כמו BIP-39, Electrum ו SLIP-39 ולהחזיר מפתחות תקפים גם ממשפטים שבורים.

3. סיווג נכסים וזיהוי מטרות

אחרי שאותרו מפתחות נכונים, מגיע שלב המיון. כאן נכנסים לפעולה Checkers שסורקים עשרות רשתות בלוקצ'יין – EVM, Solana, TON ועוד – ומחשבים את השווי המדויק של כל ארנק. המשמעות פשוטה: רק מי שמחזיק ערך אמיתי נכנס להמשך התהליך.

4. עקיפת אבטחה וניקוז

בשלב האחרון המערכת בוחנת את מנגנוני ההגנה של הארנק. Multisig, time locks או החוזים החכמים שמנהלים את הכספים. אם יש חלון פעולה מהיר, מתבצעת העברה אוטומטית. ישנם אפילו גורמי תקיפה שמציעים שירות מלא, כולל עדכוני טלגרם בזמן אמת ועמלה של כ-30 אחוז על כל נכס שנגנב.

מה עושים מכאן?

המודל הזה עובד בגלל הרגלים אנושיים. אנשים מצלמים seed phrases, מעתיקים פרטיים ל-Clipboard או שומרים שברים מהם בקבצים זמניים. בשיטת עבודה רגילה זה נראה זניח. עבור פרסרים, זה זהב. המשמעות לארגונים ברורה: אי אפשר עוד להסתמך על אבטחת מכשירים בלבד. כל תוכן שנכתב, הועתק או נשמר על מחשב עלול להפוך למפתח תקף. כדי לשבור את השרשרת, ארגונים צריכים לעבוד בכמה שכבות:
– להניח פשרה מראש: להתייחס לכל מכשיר כאילו ה Clipboard והצילומים שלו חשופים.
– לא לשמור סודות דיגיטליים: seed phrases לא נוגעים במכשיר עבודה או פרטי.
– להקשיח Custody: להשתמש ב Multisig או uMPC עם הפרדת תפקידים.
– להקטין חשיפה: להשאיר כמה שפחות נכסים חמים ולהעביר את רוב הערך לאחסון קר ובטוח.

"המחקר שלנו חושף מציאות חדשה: גניבת קריפטו אינה עוד פעולה נקודתית, אלא מודל עסקי מסחרי המבוסס על אוטומציה מתוחכמת וכלים מודולריים", אמר ליאור לאמש שותף-מייסד ומנכ"ל GK8, "הנגישות וקנה המידה של איום זה מחייבים את כל החברות המחזיקות בנכסים דיגיטליים לשנות את מודל האבטחה שלהן באופן מיידי. לאור המצב, אי אפשר להסתפק רק בשיטות הגנה מסורתיות, חייבים לעבור למשמורת מרובת-צדדים וליישם מנגנוני אישור מחייבים כדי להתמודד עם תהליך הפשע הממוכן".

המחקר של GK8 מראה תהליך ברור: התקפות הקריפטו הופכות מתוחכמות לא בגלל פרצות חדשות, אלא בגלל האופן שבו המידע שלנו נאסף, מעובד וממופה לערך. וככל שהאוטומציה תשתפר, גם השרשרת הזו תגדל. הצד הטוב הוא שגם ארגונים יכולים לבנות תהליכים נגדיים, יציבים ומבשילים באותה מידה