בעולם שבו מיליוני דולרים זזים בלחיצת כפתור, לפעמים פעולה אוטומטית אחת יכולה להפוך לאסון. משתמש קריפטו איבד לאחרונה כמעט 50 מיליון דולר ב-USDT (מטבע קריפטו יציב הצמוד לערך הדולר), לא בגלל האקר ששבר מערכת או חולשה טכנולוגית, אלא בעקבות העתקה פשוטה של כתובת ארנק מהיסטוריית העסקאות.
המקרה החריג הזה מאיר זרקור על אחת ההונאות השקטות והמסוכנות בשוק - כזו שלא מתמקדת בחולשות קוד, אלא בחולשות ההרגלים האנושיים.
לרכישת מטבעות דיגיטליים. וואלה קריפטו >>
איך זה קרה?
על פי חוקרי בלוקצ'יין, התוקף ביצע מתקפה מוכרת בשם address poisoning (הרעלת כתובת). מדובר בשיטה שבה נשלחת לקורבן העברה קטנה מאוד מארנק שמחקה ויזואלית כתובת לגיטימית - עם אותם תווים ראשונים ואחרונים. כך, כשאותו משתמש חוזר להיסטוריה ומעתיק כתובת, הוא עלול לא לשים לב, ולבחור בכתובת של התוקף כיעד שליחת הכספים.
הנתונים מראים שהמשתמש דווקא פעל בזהירות. הוא ביצע תחילה עסקת בדיקה קטנה לכתובת הנכונה. דקות לאחר מכן, כשהעתיק כתובת שוב מהיסטוריית הפעילות, נשלחה העברה מלאה של כ-50 מיליון דולר - אבל לכתובת המזויפת.
חוקרי אבטחה ציינו שהדמיון בין הכתובות היה מינימלי אך קריטי. שלושת התווים הראשונים וארבעת האחרונים היו זהים, וזה הספיק כדי להטעות גם עין מנוסה. הארנק עצמו היה פעיל כשנתיים, ושימש בעיקר להעברות של USDT, מה שמחזק את ההנחה שלא מדובר במשתמש חדש או חסר ניסיון. זמן קצר לפני האירוע, הכספים אף נמשכו מבורסת הקריפטו בינאנס, מה שמעיד על ניהול שוטף של כספים ולא על ארנק רדום.
זאת אפילו לא פריצה
אנליסטים בתחום מדגישים שזה אולי החלק המטריד ביותר בסיפור. מדובר במתקפה שלא שוברת מערכות, אלא מנצלת דפוסי התנהגות אנושיים. העתק-הדבק, קיצור דרך שכולנו משתמשים בו, הפך כאן לנקודת תורפה קריטית.
לאחר הגניבה, התוקף המיר את המטבעות ה-USDT לאתריום, פיצל את הכספים למספר ארנקים, וחלקם אף הועברו דרך Tornado Cash, שירות שמקשה על מעקב אחר תנועות כספים בבלוקצ'יין, שמערבל ומטשטש את העקבות של נתיבי הכספים.
תזכורת כואבת
המקרה הזה לא עומד לבד. בשנת 2025 נרשמו הפסדים של כ-3.4 מיליארד דולר כתוצאה מפריצות והונאות קריפטו - הנתון הגבוה ביותר מאז 2022. מעניין לציין שרוב הסכום הגיע ממספר מצומצם של אירועים חריגים במיוחד, ולא מגל רחב של מתקפות קטנות.
שלושה מקרים בלבד היו אחראים לכ-69% מההפסדים השנה, בראשם פריצה בהיקף של כ-1.4 מיליארד דולר לבורסת הקריפטו Bybit. מספיק אירוע אחד, טעות אחת, כדי לייצר נזק עצום.
הסיפור הזה הוא תמרור אזהרה לכל מי שפועל בעולם הקריפטו. לא כל סיכון מגיע מהאקרים עם קוד מתוחכם. לפעמים, האיום הגדול ביותר מסתתר בהרגלים הקטנים ביותר, ובחולשות האנושיות שלנו. בדיקה ידנית של כתובת, שימוש ברשימות כתובות שמורות, ואפילו האטה רגעית לפני שליחה - כל אלה יכולים להיות ההבדל בין פעולה שגרתית לאובדן של עשרות מיליונים.