"היזהרו מפני מה שאתם קוראים באינטרנט", כך התריעו ברשות ניירות ערך האמריקנית (ה-SEC) לפני כמה חודשים בעקבות פרסומי כזב על אישור בקשות לקרנות סל עוקבות ביטקוין. "מקור המידע הטוב ביותר על מה שקורה ב-SEC הוא ה-SEC", הוסיפו אנשי הרשות בפוסט שהעלו לחשבון הרשמי ב-X, לשעבר טוויטר.
אתמול התברר באופן אירוני כי גם הערוצים הרשמיים של ה-SEC אינם מקור אמין לגבי החלטות ה-SEC. אמש, בסביבות השעה 23:25, פורסמה החשבון הרשמי ב-X של הרשות הודעה על אישור הבקשות להנפקת קרנות סל המאפשרות התחשבנות ישירה בביטקוין (Spot Bitcoin ETF), הודעה שרבים ממתינים לה מזה כ-7 שנים.
מיד לאחר מכן התברר כי הידיעה היתה שקרית, כאשר גארי גנסלר, יו"ר ה-SEC, צייץ מחשבונו האישי כי החשבון הרשמי של הרשות ב-X נפרץ, והפורץ פרסם דרכו ציוץ לא מאושר. גנסלר הבהיר כי ה-SEC לא אישרה למסחר קרנות סל עוקבות ביטקוין, וכי ההודעה הקודמת איננה נכונה.
2FA היה יכול למנוע את המבוכה
הודעת האישור הכוזבת, ולאחריה ההבהרה מצד גנסלר, גרמו לתנודתיות חריגה מאוד במסחר בביטקוין. בתוך זמן קצר קפץ שער הביטקוין ב-2% עד למחיר של 47,850, ומיד לאחר מכן קרס ביותר מ-7% ל-44,670 דולר, כל זה בטווח של פחות מ-20 דקות.
בעקבות התקרית נפתחה בדיקה ראשונית על ידי צוות האבטחה של X, אשר הגיע למסקנה כי הפריצה לא אירעה בשל חולשת אבטחה בשרתי החברה אלא בשל רשלנות של אנשי ה-SEC. "בהתבסס על החקירה שביצענו", מסר צוות האבטחה, "הפריצה אירעה בעקבות השתלטות על מספר טלפון המקושר לחשבון הרשמי של ה-SEC דרך שירות צד שלישי בידי אדם לא ידוע".
בציוץ שפרסם צוות האבטחה של X נמסר גם כי הרשות לא יישמה מנגנון אימות דו-שלבי (2FA) הנחשב כיום כאמצעי אבטחה בסיסי, וייתכן שאם היה מיושם, הפריצה, ההודעה הכוזבת והמהומה בשוק – כל אלה היו יכולים להימנע.
ה-SEC נדרשת כעת לעמוד בנהלים של עצמה
בעקבות המקרה הסנאטורים ג'יי.די ואנס ותום טיליס פנו במכתב ל-SEC ודרשו הסברים על אופן התנהלות הרשות. "לא מתקבל על הדעת שהסוכנות הממונה על פיקוח שווקי ההון תבצע טעות קולוסאלית כזאת", כתבו הסנאטורים.
במכתבם הביעו הסנאטורים דאגה מאופן ההתנהלות הפנימי של ה-SEC מבחינת אבטחת מידע ונהלי סייבר, ודורשים כעת מגנסלר להביא לקונגרס דו"ח שיפרט על אירועי אמש. במכתב הוזכרה דרישות ה-SEC עצמה שנכנסה לתוקף ביולי שנה שעברה המחייבת חברות ציבוריות, בדגש על חברות מתעשיית הקריפטו, שנפגעו מפירצות אבטחה לדווח על כל מקרה כזה בתוך ארבעה ימי עסקים.
גם חברת הקונגרס הרפובליקנית סינתיה לומיס פנתה באופן ציבורי ל-SEC ודרשה הסברים. "הודעות שקריות, כמו זו שנעשתה ברשת החברתית של ה-SEC, יכולה לשמש למניפולציות על השווקים. אנחנו צריכים שקיפות על מה שקרה", כתבה לומיס.
