אחת למספר חודשים חדשות המיינסטרים מפציצות בכתבה עם ניחוחות קליקבייט על כך שמשקיע ביטקוין איבד גישה ל"קוד הביטקוין" שלו ובעקבות זאת איבד עשרות או מאות מיליוני דולרים. כמובן שזה נשמע מפחיד, וזה צריך לשמש כנורת אזהרה, אך בסופו של דבר באמצעות הפרקטיקות הנכונות ניתן לשמור בצורה בטוחה על מטבעות דיגיטליים ואף להתאים את אופי האבטחה למי שאתם ולגובה הסכומים.
הזמנתי את אור ויינברגר, מייסד שותף ומנכ"ל Brute Brothers, סטארטאפ שהוקם כדי לסייע לאנשים לשחזר מפתחות פרטיים וגישה לארנקיהם הדיגיטליים, לשוחח על דרכו בתחום, על הסיבות להקמת הסטארטאפ ועל איך אפשר להתמודד עם אבטחת מטבעות דיגיטליים.
ספר קצת על עצמך בבקשה 🙂
בן 35, נשוי + 2, מתגורר בכפר סבא בשנים האחרונות. בעשר השנים האחרונות עובד יחד עם אחי איתי על מוצרים ופרוייקטי תוכנה שונים בתחום הסייבר, בעיקר עבור גופים גדולים כמו בנקים.
עולם הסייבר ובדגש על סיסמאות תמיד סיקרן אותי בצורה יוצאת דופן ולכן לפני כשנה החלטנו יחד עם אחותי מיכל להפוך את התחביב האישי שלי והתחום המסקרן הזה למשהו שאנחנו עושים במשרה מלאה.
כיצד נחשפת לביטקוין ושוק המטבעות הדיגיטליים?
נחשפתי לביטקוין בשנת 2012 כשקרוב משפחה התעניין בכרייה ושאל אותי על הנושא. לא היה לי מושג על מה מדובר ולמרות שקראתי לא מעט על הנושא בזמנו, לא מצאתי אותו מספיק מעניין בשביל לחקור ולהבין אותו.
מאוחר יותר ב-2013 תפסה לי את העין תגובה של חבר בפייסבוק לפוסט בקבוצה "ביטקוין ישראלי" וזה כבר הוביל אותי לחקור את הנושא לעומק. מאז אני משתדל ללמוד משהו חדש בתחום כל יום ובכל פעם מחדש נדהם מכמה יש לי עוד ללמוד.
העובדה שיש סוג חדש של כסף שניתן לתכנת, לשדרג ולהמשיך לפתח היוותה נקודת מפנה בשבילי בצורה שאני חושב על מהו כסף.
מאז 2013, הספקתי לכתוב לא מעט קוד סביב ביטקוין ושירותים משלימים עבורו והשתדלתי לתרום כמה שיותר מהידע שלי לקהילה.
מהי Brute Brothers, ולמה בחרתם באפיק הזה דווקא?
ביטקוין מאפשרת למשתמשים שליטה מוחלטת בכספם, שליטה זו מגיעה עם מחיר – אבטחת הארנק ושמירה על מילות הגיבוי והסיסמה שקבענו לארנק הן לחלוטין בתחום האחריות של המשתמש. בניגוד לחשבון הבנק, בביטקוין אין מנגנון שחזור סיסמה אוטומטי במידה ושכחנו אותה או פקיד להתקשר אליו ולקבל עזרה.
בברוט בראדרס אנו מנסים לעזור למשתמשים להשיב גישה למטבעות שלהם במידה שאיבדו את הסיסמה לארנק או חלק ממילות הגיבוי שלהם. עבור מטרה זו, פיתחנו סט כלים שמאפשר לנו לבדוק מאות מיליוני סיסמאות אפשריות בכל שניה.
מאז הקמת החברה הספקנו לקבל כבר מעל 500 פניות על ארנקים נעולים ולשחזר בהצלחה כ35% מהארנקים הנעולים שהגיעו לרשותנו.
החברה נותנת פתרון לשלוש בעיות נפוצות: אובדן סיסמה, אובדן חלקי של מילות הגיבוי ועסקאות Cross Chain.
במקרה של אובדן סיסמה, אנחנו מנסים להבין מהמשתמש כיצד הוא בוחר סיסמאות, אילו סיסמאות נפוצות הוא משתמש בהן והמאפיינים שלהן. לאחר מכן, אנו משתמשים בכלים שפיתחנו על מנת לבנות רשימה ענקית של סיסמאות פוטנציאליות סביב אותם פרטי מידע שקיבלנו (הטיות שונות, שגיאות כתיב, שגיאות הקלדה וכו') ובאמצעות מאות כרטיסים גרפיים עוצמתיים אנו מסוגלים להריץ את כל הסיסמאות אל מול הארנק המוצפן ולמצוא את הסיסמה הנכונה.
בניגוד לסיסמאות, מילות הגיבוי לארנק (נקראות גם "סיד") לא נבחרות על ידי המשתמש אלא ניתנות לו על ידי הארנק. מאחר שכל מילה בסיד מגיעה מתוך מילון ידוע מראש של 2048 מילים, אנחנו לא צריכים מידע נוסף מהמשתמש ונוכל לשחזר כל סיד שחסרות בו עד 4 מילים.
לבסוף, עסקאות Cross Chain הן המקרה המצער שבו אדם שלח מטבע מסוג אחד לכתובת של מטבע מסוג אחר. דוגמאות טובות הן משתמשים ששולחים בטעות מטבעות ETH לכתובות ברשת ETC וגם משתמשים ששולחים ETH לכתובת ETH, אך על רשת BEP/BSC של בייננס.
בד"כ במקרים האלו השחזור מובטח ומדובר בתהליך טכני קצר שמאפשר לנו לגשת ולשחזר את הגישה לארנק.
מה סיפור ההצלחה הגדול ביותר שהיה לכם עד כה?
לאחרונה פנה אלינו אדם שהשתמש במכשיר לדג'ר ובזמן ההתקנה החליט לשמור את מילות הגיבוי שלו בצורה ייחודית בכך שהוא תרגם 12 ממילות הגיבוי לעברית והיתר השאיר באנגלית. לאחר שמכשיר הלדג'ר הפסיק לפעול, אותו אדם ניסה לקחת את מילות הגיבוי ולשחזר אותן במכשיר חדש אך הבין שטעה ולא הצליח להגיע לרשימת המילים הנכונה ולכן פנה אלינו.
זה אולי נשמע כמו משימה יחסית קלה לפתרון, אבל חשוב לזכור שלעיתים קרובות למילים בעברית יש מספר משמעויות באנגלית. לדוגמה, ניתן לתרגם את המילים Accuse ו-Blame לאותה המילה בעברית – "להאשים".
לאחר שבנינו את כל הפרמוטציות האפשריות עבור כל מילה מתוך ה-12 שתורגמו לעברית והרצנו אותן באמצעות הכלים שלנו, לא מצאנו אף סיד שהוביל אותנו למטבעות האבודים. רק לאחר שהנחנו שאחת המילים שגויה לחלוטין, גילינו שאותו אדם תרגם לא נכון את אחת מהמילים והצלחנו להגיע לסיד הנכון. בארנק היו 34 ביטקוין ושמחנו מאוד לשחזר אותם עבור אותו אדם.
מה בעיניך הן הבעיות החמורות ביותר כיום כשמדובר באבטחת המטבעות הדיגיטליים? הן מצד הפרט והן מצד עסקים
אני חושב שרוב הבעיות של הפרט הן בנושאי גיבוי. זה טבעי שרוב האנשים שנכנסים לתחום מגיעים בעקבות תנודות במחיר המטבע ולא כי הטכנולוגיה מעניינת אותם.
לכן, הרבה פעמים אנשים רק רוצים "לתפוס" את המחיר הטוב ביותר ופותחים ארנק במהירות מבלי לקרוא את ההוראות ולהבין את הפרטים הטכניים הנדרשים על מנת להבטיח שתהיה להם גישה למטבעות גם אם יקרה משהו למכשיר או במידה והם ישכחו את הסיסמה לארנק.
לדוגמא, המון אנשים בעבר לא טרחו לשמור את מילות הגיבוי שלהם כי הם לא הבינו את החשיבות של הנושא. כיום, רוב הארנקים עושים עבודה טובה ומכריחים את המשתמש לוודא שהוא שמר את מילות הגיבוי כראוי. אך עדיין, לאחר שמשתמשים מוודאים את מילות הגיבוי, הרבה מהם שומרים אותם בקובץ טקסט על הדסקטופ או במייל למרות כל האזהרות.
בנוגע לעסקים, חלקם עובדים עם ארנקי מולטיסיג (Multi Signature), פיצ'ר מתקדם של ביטקוין שבו המשתמש צריך לבחור את מספר המפתחות שיווצרו ואת מספר המפתחות שידרשו לחתימה בכל עסקה.
הדוגמה הפשוטה היא ארנק של 2 מתוך 3, כלומר המשתמש יוצר בתחילת הדרך 3 מפתחות שונים עבור אותו הארנק כאשר כל 2 מתוך המפתחות נדרשים על מנת לבצע שימוש במטבעות בארנק. מספר המפתחות הנדרשים לחתימה יכול להיות שונה ומגוון אך הוא נקבע ברגע יצירת הארנק ולא ניתן לשנות אותו לאחר מכן. רוב הקשיים נגרמים בגלל חוסר הגמישות במולטיסיג, לא ניתן לגרוע מפתחות שנחשפו או ששייכים לעובדים שכבר לא חלק מהארגון וכל שינוי במאזן החתימות דורש יצירה של ארנק חדש.
כיצד היית ממליץ לאנשים לאבטח את המטבעות שלהם?
לכל שיטה שבוחרים יש יתרונות וחסרונות ואני חושב שאין תשובה אחת שמתאימה לכולם. ככל שהאדם יותר טכני הוא יוכל להגן על המטבעות שלו בצורה טובה יותר. אנשים לא טכניים יצטרכו לעשות פשרות מסוימות בנושאי אבטחה שונים. לעיתים אנחנו רואים אנשים לא טכניים המאבדים גישה לארנקים כאשר הם עוקבים אחרי מדריכים או מבצעים פעולות טכניות שהם לא מבינים אותן לעומק ומסתבכים לאחר מכן.
חשוב להבין שלכל ארנק, בין אם זה ארנק לטלפון, למחשב או ארנק חומרה, יש שני אלמנטים שצריך להגן עליהם. הראשון הוא הגישה לרכיב הפיזי וניתן להגן עליו יחסית בקלות ע"י סיסמה/PIN/זיהוי ביומטרי. האלמנט השני הוא מילות הגיבוי שהן רצף של 12 או 24 מילים, בד"כ באנגלית שאנו נקבל מהארנק שלנו ונתבקש לשמור במקום בטוח. למי שיש גישה למילות הגיבוי יש גישה למטבעות שלכם ללא קשר אם יש לו או אין לו גישה למכשיר הפיזי שעליו התקנתם את הארנק שלכם.
חשוב מאוד לא להעלות את מילות הגיבוי לשום מדיה אלקטרונית, לא לצלם בטלפון, לא לכתוב בטיוטה במייל ולא לשמור על הדסקטופ בקובץ טקסט.
הדרך הנכונה לשמור על מילות הגיבוי היא או באמצעות דף ועט ולאחר מכן לניילן על מנת להמנע מנזקי מים, או באמצעות מוצרים יעודיים לתחום זה כמו Seedplate, Blockplate או HODLR.swiss.
לאחר שהחלטתם כיצד אתם מתכוונים לשמור את מילות הגיבוי שלכם לכשתקבלו אותן, להודלר הממוצע אני אציע את הדרך הבאה:
סכומים קטנים (עד כ-2000 ש"ח) על הטלפון באמצעות ארנק קוד פתוח ותיק ועם בסיס משתמשים גדול – Blue Wallet הוא בחירה מעולה.
סכומים גדולים בארנק חומרה, גם הוא בקוד פתוח וכולל רכיב Secure Element שמונע גישה למטבעות גם במידה ותוקף השיג גישה פיזית למכשיר שלכם. דוגמאות טובות לארנקים כאלו הן Bitbox02, Passport ו-ColdCard.
ישנו פתרון חדש לניהול ואבטחת מפתחות פרטיים אשר צובר תאוצה בעיקר בקרב גופים מוסדיים ונקרא MPC. תוכל להרחיב על הפתרון, ומה דעתך עליו?
פתרון MPC או Multi Party Computation הוא פתרון מעולה לגופים מוסדיים שרוצים או לנהל את הכספים שלהם, או לנהל כספים כשירות Custodian ללקוחותיהם. הפתרון דומה במאפייניו למולטיסיג כאשר נדרשות מס' חתימות על מנת לשחרר כספים מהארנק, אך עם מספר יתרונות כאשר המשמעותי ביותר ביניהם זה היכולת להוסיף, לגרוע ולהחליף מפתחות מבלי לייצר ארנק חדש או לשנות את כתובתו.
כיצד לדעתך ייראו המשך אימוץ מטבעות דיגיטליים? האם הנטייה היא לכיוון החזקה פרטית, או המשך הישענות על צדדים שלישיים?
אני חושב שבעולם שבו הקהל הרחב מאמץ את ביטקוין, רוב המשתמשים יבחרו לבטוח בגוף צד שלישי שינהל עבורם את הכסף וכנראה שהבנקים יצטרכו לעשות את ההתאמות הנדרשות על מנת לספק את השירות הזה.
בשירותי הבנקאות כיום יש שתי אופציות, לנהל לעצמך את הכסף לחלוטין ולעבוד במזומן והאופציה השניה היא למסור את כל השליטה בכסף שלך לבנק. האופציה הראשונה לא באמת אפשרית כי המדינה מגבילה את השימוש במזומן והאופציה השניה גרמה להרבה אנשים כבר לאבד את כל החסכונות שלהם בעבר.
אני מקווה שבעתיד ובאמצעות ביטקוין תהיה אופציה שלישית שהיא שירות Custodian כאשר הבנק מחזיק רק מפתח אחד מתוך מספר מפתחות הנדרשים על מנת לגשת למטבעות וכך נוכל להנות גם מרמת אבטחה גבוהה יותר אך גם להבטיח שהבנק לא יכול לגשת לכספים שלנו ללא הרשאה מתאימה.
תודה רבה על זמנך אור, שמחתי לארח אותך! 🙂
תודה על האירוח, שמחתי להיות כאן.
