הפריצה לבנקור מדליקה נורה אדומה לתעשיית הקריפטו

יומיים אחרי שנגנבו ממנה 23.5 מיליון דולר במטבעות דיגיטליים, פלטפורמת הקריפטו בנקור עדיין לא חזרה לפעילות מסחר • פרצת האבטחה מעלה תהיות נוספות סביב פעילותה של החברה, המנוהלת ע"י ארבעה מייסדיה הישראלים • "המקרה הזה צריך לגרום לתעשייה ליותר תשומת-לב לאבטחה"

בעדכון שפרסמה אתמול בלילה, דיווחה פלטפורמת המסחר במטבעות קריפטוגרפיים בנקור (Bancor) כי בלילה שבין יום ראשון ליום שני השבוע, נפרץ ארנק דיגיטלי שהחברה השתמשה בו כדי לבצע עדכון במערכת שלה, ובאמצעותו נגנבו מבנקור אסימוני קריפטו בשווי כולל של כ-23.5 מיליון דולר.

לדברי בנקור, בפריצה נגנבו כ-25 אלף אסימוני את'ריום, ששוויים 12.5 מיליון דולר, 3.2 מיליון אסימוני קריפטו של בנקור (BNT) בשווי כ-10 מיליון דולר, ועוד כ-229 מיליון אסימוני NPXS בשווי כמיליון דולר.

כתוצאה מהפריצה הפסיקה אתמול פלטפורמת המסחר את פעילותה כדי לחקור את "פרצת האבטחה". "אנחנו לוקחים את האירוע הזה ברצינות רבה", נכתב אתמול בהודעה של בנקור בחשבון הטוויטר שלה, "אנחנו משתמשים בכל המשאבים כדי לפתור את העניין, להשיב את הרשת שלנו לפעילות מקוונת ולאתר את הפושעים המעורבים באירוע". בנקור הוסיפה כי "הפרטים של פרצת האבטחה עדיין נחקרים". החברה הדגישה כי "אף אחד מארנקי המשתמשים בפלטפורמה לא נפרץ".

לדברי בנקור, "ברגע שהגניבה זוהתה, הצלחנו להקפיא את אסימוני BNT הגנובים, וכך הגבלנו את הנזק לאקו-סיסטם של בנקור מהפריצה. היכולת להקפיא אסימונים מובנית בפרוטוקול התוכנה של בנקור ונועדה לשמש במצבים קיצוניים כדי לשקם את המערכת מפרצת אבטחה, כשהיא מתירה לבנקור למנוע ביעילות מפני הגנב לברוח עם האסימונים הגנובים". עם זאת, החברה הוסיפה כי "זה בלתי-אפשרי להקפיא אסימוני את'ריום (ETH) או כל אסימון קריפטו אחר שנגנב. ואולם, אנו עובדים כעת יחד עם עשרות בורסות קריפטו כדי לאתר את האסימונים שנגנבו וכדי להקשות על הגנב להנזיל אותם".

את פניהם של הגולשים לאתר בנקור קיבלה אתמול הודעת החברה, שלפיה "בנקור עושה פעולות תחזוקה ותשוב לפעילות מקוונת בקרוב". בניסיון להרגיע את משתמשי הפלטפורמה, נכתב בעמוד הבית של האתר: "בנקור אינה מחזיקה בנכסים שלכם. הארנק והכסף שלכם תמיד בטוחים ונמצאים בהחזקתכם בבלוקצ'יין בכל שעה". 

בנקור נוסדה ב-2016 על ידי ארבעה יזמי הייטק ישראלים: גיא בן־ארצי, גליה בן-ארצי, אייל הרצוג, ויהודה לוי. החברה פיתחה פלטפורמה להמרת מטבעות קריפטו, שמאפשרת לבעליהם לסחור בהם או להמירם במהירות וללא צורך בגורם נוסף. לדברי החברה, היא יצרה רשת של נזילות למטבעות דיגיטליים. החברה פועלת כיום ממשרדים בקומה ה-21 של מגדל אמות אטריום, שנמצא ליד בורסת היהלומים ברמת גן, ומעסיקה כ-50 עובדים.

אתמול דיווח אתר קויין טלגרף (CoinTelegraph) כי ההאקרים שפרצו לבנקור סחרו בחלק מאסימוני הקריפטו שגנבו באמצעות שירות המרת מטבעות ההקריפטו Changelly. קונסטנטין גלאדיש, מנכ"ל Changelly, אישר את הפרטים והוסיף כי "לאחר מכן האסימונים הוקפאו על ידי ארגון בנקור. כעת אנו מסייעים באיתור ההחזקות שנגנבו". 

המסחר בקריפטו לא בטוח
 המסחר בקריפטו לא בטוח

המטבע איבד 70% מהשיא

סטארט-אפ הבלוקצ'יין בנקור עלה לכותרות ביוני 2017, לאחר שהצליח לגייס בהנפקת מטבע קריפטו (ICO) כ-153 מיליון דולר - אחד מגיוסי ה-ICO הגדולים בשנה שעברה. אסימוני הקריפטו של בנקור, BNT, נסחרים היום לפי שער של 2.4 דולרים, המשקף להם שווי שוק של כ-122 מיליון דולר, לפי נתוני אתר קויין מרקט קאפ (CoinMarketCap).

מחירו של ה-BNT צנח בחודש האחרון בכ-26% והשלים ירידה של 49% מתחילת השנה. באמצע ינואר הגיע ה-BNT למחיר שיא של כ-10 דולר, אבל מחירו הנוכחי נמוך ביותר מ-70%. בשווי השוק הנוכחי שלו, האסימון של בנקור ניצב במקום ה-74 מבין כ-1,600 מטבעות קריפטו, לפי נתוני CoinMarketCap.

גליה בן-ארצי מבנקור אמרה לפני כשלושה חודשים ל"גלובס" שבנקור אינה מוטרדת כלל מהירידות בשער האסימון הדיגיטלי שלה. בן ארצי סיפרה כי לבנקור יש 11 אלף משקיעים מכל העולם. לדבריה, "תעשיית הקריפטו מאפשרת שקיפות גבוהה ליזמים בתחום". עם זאת, בן ארצי הוסיפה כי "יש הרבה מאוד סיכונים בשוק הקריפטו. יש הרבה מאוד עיניים על הפרויקט של בנקור ועל הכסף שהושקע בו. לכן, אבטחת הסייבר תופסת מקום חשוב מאוד בתעשיית הבלוקצ'יין".

בהתייחסות לאקזיט שהיא ואחיה גיא עשו ב-2010 עם הסטארט-אפ מייטופיה (MyTopia) אמרה בן-ארצי ל"גלובס" כי מבחינתה כיזמת הייטק, "זאת הייתה התחלה טובה". ואולם, הסטארט-אפ אפ קויין (AppCoin), שהאחים בן ארצי הקימו ב-2012 יחד עם יזמים נוספים, ושפיתח זירת מסחר למטבעות דיגיטליים שיווקיים, נסגר ב-2016 ללא הצלחה משמעותית. בהתייחס לפרויקט זה אמרה בן-ארצי: "פרויקט AppCoin היה אכזבה, אבל יותר מבחינת התהליך ולא מבחינת התוצאה. המציאות העסקית שנחשפתי אליה שם הייתה מאכזבת, עם דינמיקות רעות סביב כסף. המסע הזה לימד אותי על כסף".

בהתייחסות לגיוס ההון של בנקור ביוני 2017, אמרה בן-ארצי כי "ככל שהגיוס גדול יותר, הוא מאפשר ליצור רשת חזקה יותר של נזילות למטבעות קריפטו". בן-ארצי הסבירה כי יש כיום כ-70 אסימוני קריפטו שונים שנסחרים על גבי הפלטפורמה המבוזרת של בנקור, ולדבריה, "בנקור נהפכה לבורסת קריפטו מבוזרת מובילה בעולם". היא ציינה כי אסימון בנקור הוא אסימון שירות, המשמש אך ורק להמרה בין מטבעות קריפטו שונים על פלטפורמת בנקור, ולכן אינו נחשב לנייר ערך.

גיוס ההון העצום שביצעה בנקור בתוך זמן קצר, עורר עניין תקשורתי רב, אבל גם ביקורת מכיוון פעילים בקהילת הקריפטו. כך למשל, ביוני 2017 פרסמו שני חוקרים מומחים בקריפטו מאוניברסיטת קורנל, הפרופ' אמין גור סירר והדוקטורנט פיל דיין, מאמר שכותרתו "בנקור היא פגומה" (Bancor Is Flawed). הם העלו שם טענות מפורטות, שלפיהן הקוד של בנקור אינו רציני (כל הפלטפורמה, לטענתם, היא קוד של 40 שורות בג'אווסקריפט), החישובים המתמטיים לא מוכחים וההנחות הכלליות חסרות בסיס. מייסדי בנקור השיבו בתגובה על כל הטענות במאמר מפורט שפרסמו באינטרנט. 

הגיוסים הגדולים בהנפקות של מטבעות דיגיטליים בשנה האחרונה
 הגיוסים הגדולים בהנפקות של מטבעות דיגיטליים בשנה האחרונה

לא מעט סימני שאלה הועלו ביממה אחרונה על ידי אלפי העוקבים של בנקור בערוץ הטלגרם שלה וגם ברשת החברתית טוויטר. אודי ורטהיימר, יועץ ומפתח בכיר בתחום הביטקוין, הפעיל גם באיגוד הביטקוין הישראלי, הסביר היום ל"גלובס" כי יש לא מעט צדק בטענות נגד בנקור. "כשבנקור שחררו את המערכת שלהם לאוויר לפני כשנה, הם הכניסו כל מיני 'מתגי שליטה' במערכת, שנותנים להם שליטה ייחודית גם על האסימונים וגם על הכסף בה", אמר ורטהיימר. "אף שבנקור קוראים לזה 'מערכת מבוזרת', בעצם יש להם שליטה משמעותית עליה. הם טוענים שהשליטה הזאת הייתה חיובית בתקרית הזאת, כי היא אפשרה להם למנוע הפצה של אסימוני בנקור שנגנבו מהחוזה שלהם. מצד שני, כמו שזה נראה מהמידע שפורסם עד כה, מה שאפשר את הפריצה היה 'דלת אחורית' בארנק הדיגיטלי שלהם. מדובר בארנק תוכנה מיוחד, שנמצא בשליטת בנקור, שדרכו הם יכלו לשלוט בכספים שהיו במערכת. לפי הדיווחים, הפורץ השיג גישה לארנק, ודרכו הוציא את המטבעות שנגנבו".

"אני מקווה שהמקרה הזה יגרום לתעשייה ליותר תשומת-לב לאבטחה. גם בנקור וגם פרויקטים אחרים בתחום משתמשים במונח 'מבוזר', אבל אני חושב שזה בסדר שתהיה ריכוזיות בתחומים מסוימים, אנחנו צריכים את זה כדי להגן על הכספים. יש כיום הייפ גדול סביב זירות הקריפטו המבוזרות. חוץ מזה, הרשויות בעולם מסתכלות יותר ויותר על התחום, ורשות ני"ע בארה"ב, למשל, הודיעה באחרונה שהדרך לקבוע אם אסימון קריפטו ייחשב לנייר ערך או לא, היא לבחון אם לחברה יש שליטה על המטבע ואם המשקיעים מצפים שהחברה תעשה משהו עם השליטה הזאת כדי לייצר להם תשואה. לכן, כיום רואים הרבה מאוד חברות שמנסות להתנער מהשליטה שלהן במטבעות שהנפיקו. כך למשל, ריפל (שמטבע הקריפטו שלה XRP הוא השלישי בשווי השוק שלו, אחרי ביטקוין ואת'ריום - ר"ק), אומרים שאין להם שום שליטה במטבע שלהם".

במאמר שפרסם באתר מדיום לפני כשנה, ציין ורטהיימר כי אף שבנקור טוענים שהם זירת מסחר מבוזרת, לאורך כל הזמן יש להם שליטה בכספים שמוחזקים בפלטפורמה שלהם. ורטהיימר ציין כי לבנקור יש כמה יכולות ייחודיות: "הם יכולים להקפיא את כל האסימונים ברשת, כך שאף אסימון לא יועבר שלא בהסכמתם; יש להם יכולת להשמיד כל אסימון שנמצא ברשת באופן שרירותי, אפילו אם הוא בארנק פרטי; ויש להם גם יכולת לייצר תמיד אסימונים חדשים, מתי שהם רוצים. למשל, אם מישהו, לטענת בנקור, גונב מהם אסימונים, הם יכולים מיד להשמיד אותם ולייצרם מחדש". לפיכך, לדברי ורטהיימר, "בנקור הם הרבה יותר ריכוזיים מבנק, אף שהם קוראים לעצמם פלטפורמה מבוזרת. בתגובה למאמר שפרסמתי, בנקור טענו שהם חוששים מפריצות, ושהכלי שלהם הוא אמצעי אבטחה וגיבוי עבורם. למיטב ידיעתי, זאת הפעם הראשונה שבנקור משתמשים בכלי הזה של הקפאת אסימונים".

ב-ICO של בנקור הונפקו בסך-הכול 79.3 מיליון מטבעות BNT, כשמחציתם נמכרו לציבור המשקיעים ומחציתם הוקצו לשימוש עתידי, כולל נתח של 10% שהוקצה לצוות המייסדים, היועצים והתורמים הראשונים לפיתוח של בנקור, 20% לשותפויות, מענקים ובונוסים ועוד 20% לתקציב התפעול לטווח הארוך של הפלטפורמה. המטבעות נמכרו לראשונה במכירה מוקדמת למשקיעים ב-12 ביוני 2017, במחיר של 13.7 דולר ל-BNT, וה-ICO הציבורי בוצע 5 ימים לאחר מכן, ב-23 ביוני, במחיר של 3.9 דולרים ל-BNT.

"מתייחסים ברצינות לאירוע"

מחברת בנקור נמסר ל"גלובס" בתגובה לדיווח על הפריצה כי "פרטי הפריצה עדיין נחקרים ואנו נשתף במידע נוסף כשנוכל. אנו מתייחסים ברצינות רבה לאירוע ומנצלים כל משאב אפשרי כדי לפתור את הבעיה. מה שידוע לנו זה שפורץ גנב מבנקור 13.5 מיליון דולר (החברה מתייחסת לחלק שנגנב באסימוני את'ריום ובאסימוני NPXS, ולא לאסימוני בנקור הגנובים בשווי כ-10 מיליון דולר שאותם, לדבריה, "הקפיאה" - ר"ק).

"אף אחד מארנקי המשתמשים של בנקור לא נפרץ ולא נגנב כסף מאף משתמש. אנו עובדים עם עשרות בורסות קריפטו כדי לאתר את הכספים שנגנבו ולהקשות על הגנב להנזיל אותם. נוסף על כך, זיהינו את הגורם לפרצת האבטחה, פתרנו את הפגיעות ואנו עובדים קשה כדי להחזיר את רשת בנקור לפעילות מקוונת בהקדם האפשרי. נמשיך לפרסם עדכונים בערוצי הטלגרם והטוויטר של בנקור". 

סטארט-אפיסטים סדרתיים: הפנים מאחורי בנקור / יסמין יבלונקו ורועי קצירי

בנקור (Bancor) הוקמה ב-2016 על ידי ארבעה יזמים ישראליים: גיא בן־ארצי, המכהן כמנכ"ל החברה; גליה בן-ארצי, מנהלת הפיתוח העסקי של החברה, אייל הרצוג, CPO; ויהודה (יודי) לוי, CTP.

ביוני 2017 הנפיקה החברה את המטבע הדיגיטלי BNT במחיר ראשוני של 13.7 דולר ליחידה, אך כאשר נפתחה ההנפקה לציבור ירד מחיר המטבע ל-3.9 דולר ליחידה. בינואר 2018 הגיע השווי של ה-BNT לשיא ועמד על 10.6 דולר ליחידה, אך מאז ירד ערכו ב-77%. שווי השוק של המטבע היום עומד על 122 מיליון דולר.

אייל הרצוג (43), הקים עד כה חמישה סטארט-אפים, מתוכם שלושה נסגרו לאחר שגייסו השקעת סיד ממשקיעים פרטיים. הידוע שבהם, מטהקפה, נמכר בסכום שלא הניב רווח למשקיעים. את מטהקפה הקים הרצוג יחד עם אריק צ'רניאק ושני מייסדים נוספים ב-2003. הפלטפורמה החלה כפלטפורמת וידאו מבטיחה שהתחרתה ביוטיוב, עם שמועות על מכירה ליאהו תמורת 200 מיליון דולר וסך גיוסי הון של למעלה מ-50 מיליון דולר. הרכישה לא התממשה, צ'רניאק ומייסד נוסף פרשו ומכרו את חלקם בחברה, מרכז הפיתוח של החברה בישראל נסגר, וכמחצית מעובדיה פוטרו. ב-2012 היא נמכרה לסוכנות טאלנטים הוליוודית בשם The Collective .

ב-2012 הקים הרצוג יחד עם גיא בן ארצי, יודי לוי, עדי כרמון סקופ ויזם נוסף את חברת AppCoin - מרקט-פלייס ליצירה וניהול של מטבעות וירטואליים שיווקיים. החברה גייסה סיד סכום לא ידוע, ונסגרה ב-2016.

מלבד שתי חברות שהקים עם הרצוג, יודי לוי הקים ב-2006 את מייטופיה (MyTopia) בה היו שותפים גם גליה וגיא בן-ארצי. לאחר גיוס סיד של 2 מיליון דולר, החברה נרכשה ב-2010 על ידי 888 של גיגי לוי, תמורת 18 מיליון דולר, מתוכם 12 מיליון במזומן. החברה פיתחה משחקי אונליין חברתיים, ביניהם משחקי קזינו ופוקר פופולריים. בחברה השקיעו SK Telecom Ventures ו-Benhamou Global Ventures. 

האחים גליה (36) וגיא (37) בן-ארצי, בנוסף לסטארט-אפים שהקימו עם הרצוג ולוי הקימו ב-2006 את הסטארט-אפ Particle Code שאותו מכרו ב-2011 תמורת סכום שאינו ידוע לחברה אמריקאית בשם Appceleratot. אביהם של גליה וגיא הוא אמציה בן-ארצי, איש הייטק ותיק ואחיה של שרה נתניהו, אשת ראש הממשלה.