מתקפת הונאה קריפטו ב-WalletConnect גונבת עשרות אלפי דולרים

מתקפת ההונאה סביב WalletConnect: כך נעלמו עשרות אלפי דולרים מארנקי קריפטו

זה מתחיל כמעט תמיד באותו רגע קטן של חוסר תשומת לב. הודעה בטלגרם, קישור ב-SMS, פוסט שנראה לגיטימי ברשת חברתית. לחיצה אחת, מסך שמרגיש מוכר, חיבור מהיר של הארנק — ואז הכסף נעלם.

במרכז גל ההונאות האחרון עומד WalletConnect, פרוטוקול פופולרי שמחבר בין ארנקי קריפטו לבין אפליקציות מבוזרות. לפי הדיווחים שעלו בקהילה, יותר מעשרה משתמשים איבדו כספים, ובמצטבר מדובר בעשרות אלפי דולרים. בחלק מההערכות שהופצו בקהילות הקריפטו, הנזק כבר התקרב לכ-75 אלף דולר בתוך שבועות ספורים.

הסיפור כאן חשוב לא רק בגלל הסכום. הוא חשוב כי הוא חושף שוב עד כמה תשתיות נוחות ושימושיות בעולם הווב3 יכולות להפוך לנקודת כניסה נוחה גם עבור נוכלים. לא מדובר בהכרח בפריצה קלאסית לפרוטוקול עצמו, אלא בניצול של המשתמשים — והחוליה הזאת, שוב, מתבררת כחלשה ביותר.

מה זה בכלל WalletConnect, ולמה כולם משתמשים בו?

WalletConnect הוא פרוטוקול תקשורת שמאפשר לארנק קריפטו “לדבר” עם אפליקציות מבוזרות, מה שמכונה dApps. במקום להקליד נתונים ידנית או לעבור בין שירותים, המשתמש סורק קוד QR או מאשר חיבור, והארנק מתחבר לאתר או לאפליקציה.

החיבור הזה הוא חלק מהשגרה של משתמשי קריפטו. קונים NFT, משתתפים בפרויקט DeFi, חותמים על עסקה, מאשרים גישה לאסימונים — הכול זורם דרך ממשקים מהירים שנועדו להפוך טכנולוגיה מורכבת למשהו פשוט יותר.

ופה בדיוק טמון הפרדוקס. מה שנבנה כדי לפשט את החוויה, יוצר גם תחושת ביטחון מזויפת. המשתמש רואה לוגו מוכר, מסך מעוצב היטב והנחיה ברורה לחבר ארנק. ברגע הזה, קל מאוד לשכוח שברקע מתבצעת פעולה בעלת משמעות פיננסית מלאה.

ההונאה לא “פורצת” בהכרח את WalletConnect — היא עוקפת את המשתמש

חשוב לדייק: מהדיווחים עולה שהתוקפים לא היו חייבים לשבור את הפרוטוקול מבפנים. במקרים רבים, הם בנו שכבת הונאה מסביבו. אתרים שהתחזו לדפי חיבור רשמיים, הודעות שנראו כאילו נשלחו מטעם שירות אמיתי, ושפה דחופה שמטרתה לגרום לקורבן לפעול מהר.

זאת שיטת פישינג קלאסית, רק בגרסה מעודכנת לעולם הקריפטו. במקום לבקש סיסמת בנק, מבקשים חיבור ארנק או חתימה על פעולה. במקום לגנוב פרטי אשראי, מניעים את המשתמש לאשר גישה לנכסים דיגיטליים.

הבעיה היא שברגע שמשתמש מאשר פעולה בארנק, לעיתים הנזק מיידי. אין מוקד טלפוני שאפשר לבטל דרכו את העסקה. אין “החזר חיוב” כמו בכרטיס אשראי. בעולם הבלוקצ'יין, אישור שגוי יכול להפוך בתוך שניות להעברת נכסים בלתי הפיכה.

כך נראית מתקפה טיפוסית, שלב אחר שלב

השלב הראשון הוא יצירת אמון. התוקפים מפיצים קישור שנראה רשמי, לעיתים תוך שימוש במיתוג, שפה ועיצוב שמחקים היטב את המקור. לפעמים ההודעה תספר על עדכון אבטחה, תקלה בחיבור, הטבה זמנית או הזדמנות השקעה חדשה.

השלב השני הוא דחיפות. “אשרו עכשיו”, “חברו מחדש את הארנק”, “החשבון שלכם בסיכון”, “נדרש אימות מיידי”. ברגע שמכניסים את המשתמש ללחץ, יכולת הבדיקה שלו נחלשת.

השלב השלישי הוא החיבור. המשתמש מגיע לאתר שנראה אמיתי, מחבר את הארנק ומאשר בקשה. לפעמים מדובר בבקשת גישה לאסימונים, לפעמים בחתימה על פעולה שנראית טכנית ולא מזיקה, ולפעמים — במקרים חמורים יותר — בחשיפת פרטי שחזור או מידע רגיש אחר.

השלב האחרון הוא הריקון. ברגע שהגישה ניתנת או החתימה מאושרת, התוקפים יכולים להעביר נכסים, לנצל הרשאות שניתנו להם או לבצע פעולות נוספות דרך הארנק. מבחינת הקורבן, הכול קורה מהר מאוד. מסך אחד נסגר, אפליקציה נטענת מחדש, והיתרה כבר לא שם.

המספרים שמדאיגים את הקהילה

לפי הנתונים שהופיעו בטקסט המקורי, במהלך החודש האחרון נרשמו יותר מ-500 דיווחים על גניבות כספים בשיטות דומות. לא כל הדיווחים בהכרח קשורים לאותו קמפיין הונאה, אבל התמונה הרחבה ברורה: פישינג בעולם הקריפטו הפך לשיטה בהיקף גבוה, שיטתית ויעילה.

עוד נתון בולט הוא שכ-30% מהנפגעים היו משתמשים חדשים. זה נתון הגיוני, אבל גם מטריד. משתמשים חדשים נוטים להכיר את המונחים, אבל פחות להבין את המשמעות העמוקה של “חתימה”, “הרשאה” או “חיבור ארנק”. מבחינתם, זו לעיתים רק עוד לחיצה בדרך לשימוש בפלטפורמה.

ובשורה התחתונה: לפי הדיווחים, בשבועות האחרונים אבדו כך כ-75 אלף דולר. זה לא מספר שמטלטל את שוק הקריפטו העולמי, אבל זה בהחלט סכום שממחיש עד כמה ההונאה הזאת אפקטיבית ברמת המשתמש הבודד.

מה הופך משתמשים חדשים לפגיעים במיוחד?

העולם הזה עמוס במושגים, ממשקים וקיצורים. מי שנכנס לראשונה לקריפטו רואה הרבה מאוד חלונות אישור, בקשות חתימה, חוזים חכמים וקישורים לשירותים חיצוניים. בלי ניסיון, הכול נראה חלק מהמערכת.

זאת בדיוק הסכנה. בעולם הרגיל, רוב המשתמשים כבר יודעים לחשוד במייל שמבקש סיסמה. בעולם הבלוקצ'יין, לא כולם מבינים שגם “אישור חיבור” יכול להיות מסוכן, ושגם בקשה שנראית טכנית לגמרי עשויה להוביל לאובדן כספים.

מעבר לכך, קהילת הקריפטו בנויה במידה רבה על מהירות. הזדמנות חדשה, השקה, פרויקט שנפתח, חלון זמן קצר. התרבות הזאת מעודדת תגובה מהירה, אבל אבטחה טובה כמעט תמיד דורשת את ההפך: לעצור, לבדוק, לחשוב.

מקרים בשטח: כך זה נראה אצל הקורבנות

אחד המקרים שתוארו הוא של יוסי, משתמש ישראלי שקיבל הזמנה מחבר להצטרף להשקעה חדשה בתחום הקריפטו. מבחינתו זה נראה טבעי. ההודעה הגיעה ממקור מוכר, הקישור הוביל לאתר שנראה אמין, והממשק היה משכנע.

ואז הגיע רגע החיבור. יוסי הזין את פרטי הארנק או אישר את הפעולה שנדרשה ממנו, ובתוך זמן קצר גילה שהכספים נמשכו. לפי הדיווח, הוא איבד כ-10,000 שקלים כמעט מיד.

במקרה אחר, שדווח מאירופה, קבוצת משתמשים קיבלה הנחיות שנחזו להגיע מטעם WalletConnect. האתר שאליו הופנו נראה מקצועי, מדויק, כמעט אחד לאחד. ביום אחד בלבד נעלמו מהקבוצה עשרות אלפי דולרים.

אלו לא מקרים חריגים במובן הטכני. להפך. הם חריגים רק בכאב שהם משאירים אחריהם. טכנית, זו אותה נוסחה מוכרת: תחזות, לחץ, חיבור, אישור, אובדן.

למה אתרי ההונאה האלה עובדים כל כך טוב?

כי התוקפים מבינים מוצר, עיצוב והתנהגות משתמשים. הם לא בונים “אתר מפוקפק”. הם בונים חוויה שנראית אמינה. לוגו נכון, צבעים נכונים, טקסטים קצרים, הנחיה ברורה. לפעמים אפילו כתובת URL שמזכירה מאוד את המקור.

עבור המשתמש, במיוחד במובייל, קשה לראות את ההבדלים. תו אחד חסר, סיומת דומיין שונה, עמוד ביניים שנראה כמעט זהה. כשמוסיפים לזה לחץ זמן או התלהבות מהשקעה אפשרית, שיעור ההצלחה של ההונאה עולה.

יש כאן גם עניין פסיכולוגי עמוק יותר. משתמשים נוטים לסמוך על תהליכים שהם כבר ביצעו בעבר. אם בעבר הם חיברו ארנק דרך מסך דומה, הם ישחזרו את אותה התנהגות גם מול זיוף איכותי.

הבעיה האמיתית: חתימה לא מובנת היא סיכון פיננסי

אחת הנקודות שפחות ברורות למשתמש הממוצע היא שלא חייבים “לתת סיסמה” כדי להיפגע. בעולם הקריפטו, חתימה על הודעה או אישור הרשאה יכולים להיות שווי ערך למתן גישה מסוכנת.

במילים פשוטות: הארנק שלכם הוא לא רק מקום שבו נשמרים מטבעות. הוא גם כלי שמאשר פעולות. אם אישרתם לאתר זדוני לבצע פעולה בשם הארנק, ייתכן שנתתם לו מסלול חוקי לגמרי להעביר נכסים או לנצל הרשאות.

לכן, השאלה הקריטית איננה רק “האם האתר אמיתי”, אלא גם “מה בדיוק אני מאשר עכשיו”. משתמשים רבים עדיין לא קוראים את חלונות האישור, או לא מבינים אותם. התוקפים בונים על זה.

מה אפשר לעשות כדי לא ליפול בפח?

החדשות הטובות הן שיש צעדים פשוטים יחסית שיכולים לצמצם משמעותית את הסיכון. הם לא מבטיחים חסינות מלאה, אבל הם בהחלט מקשים על התוקפים.

  • להיכנס לאתרים ישירות: במקום ללחוץ על קישורים מהודעות, עדיף להקליד את הכתובת ידנית או להשתמש בסימנייה שנשמרה מראש.
  • לבדוק היטב את כתובת ה-URL: לא רק את שם האתר, אלא את כל הכתובת. תווים דומים, סיומות לא שגרתיות ותוספות קטנות הן דגל אדום.
  • להפעיל אימות דו-שלבי היכן שאפשר: 2FA לא יפתור כל תרחיש, אבל הוא מוסיף שכבת הגנה במערכות ושירותים תומכים.
  • לא למהר לאשר: כל בקשת חיבור, חתימה או הרשאה צריכה לקבל כמה שניות של בדיקה. בעולם הקריפטו, פזיזות עולה כסף.
  • לבצע בדיקות נוספות לפני חיבור ארנק: לחפש הודעות רשמיות, לבדוק ערוצים מאומתים, ולהשוות את הכתובת לאתר הידוע.

לצד זה, כדאי להפריד בין ארנק לשימוש שוטף לבין ארנק שמחזיק סכומים גדולים. זו כבר שכבת משמעת תפעולית, אבל היא יכולה להציל כספים במקרי הונאה.

היכן 2FA עוזר — והיכן פחות

הרבה מדריכי אבטחה ממליצים בצדק על אימות דו-שלבי. אבל חשוב להבין את המגבלות שלו. אם מדובר בחשבון שירות, פלטפורמת מסחר או דוא"ל — 2FA יכול להיות קריטי.

לעומת זאת, אם המשתמש עצמו אישר פעולה זדונית דרך הארנק, אימות דו-שלבי לא תמיד יעצור את האירוע. לכן אסור לבנות רק על שכבת אבטחה אחת. בעולם הקריפטו, ההגנה האפקטיבית ביותר מתחילה בהרגלי שימוש נכונים.

מה משמעות האירוע לתעשיית הקריפטו?

האירוע הזה הוא תזכורת לא נוחה לכך שאימוץ המוני של טכנולוגיה לא נמדד רק בביצועים, מהירות או נוחות. הוא נמדד גם ביכולת של משתמשים להבין סיכון, לזהות הונאה ולקבל החלטות נכונות תחת לחץ.

ככל שיותר אנשים נכנסים לעולם הבלוקצ'יין, כך התמריץ של פושעים דיגיטליים גדל. הכסף שם, העסקאות מהירות, והיכולת להשיב נכסים מוגבלת. זה כר פורה במיוחד למתקפות מבוססות הנדסה חברתית.

במילים אחרות, לא מספיק לבנות פרוטוקולים טובים. צריך גם לתווך אותם נכון. להסביר טוב יותר למשתמשים מהי חתימה, מהי הרשאה, מה ההבדל בין אתר אמיתי למתחזה, ואיך נראים דפוסי הונאה עדכניים.

אבטחת מידע היא כבר לא “נושא למומחים בלבד”

פעם היה נוח לחשוב שאבטחת מידע היא תחום ששייך לאנשי סייבר, מפתחים או מנהלי מערכות. היום זה פשוט לא נכון. כל משתמש קצה שמחזיק ארנק דיגיטלי, מנהל גישה לנכס.

וזה משנה את כללי המשחק. פתאום טעות אנוש קטנה הופכת לאירוע כספי אמיתי. פתאום מסך שנראה תמים הוא נקודת קבלת החלטות קריטית. בעולם כזה, מודעות היא לא תוספת. היא חלק מהמוצר.

לכן ההמלצה להיעזר בקורסים, סדנאות או תכני הדרכה על התנהלות בטוחה בקריפטו היא לא המלצה שולית. היא מהלך בסיסי. מי שנכנס לעולם הזה בלי להבין את מודל הסיכון שלו, נכנס חשוף.

טבלת סיכום: עיקרי האירוע והלקחים המרכזיים

נושא מה קרה למה זה חשוב
מוקד ההונאה תוקפים ניצלו את המיתוג וההיכרות עם WalletConnect כדי להפנות משתמשים לאתרים מתחזים המשתמשים חשבו שהם מבצעים חיבור לגיטימי לארנק
שיטת הפעולה פישינג דרך SMS, דוא"ל ורשתות חברתיות, עם קישורים שנראים אמינים זו שיטה זולה, מהירה ויעילה שמבוססת על טעות אנוש
היקף הפגיעה יותר מעשרה משתמשים דיווחו על אובדן כספים, ובשבועות האחרונים דווח על כ-75 אלף דולר שנגנבו מדובר בנזק מוחשי ולא באיום תיאורטי בלבד
המשתמשים הפגיעים ביותר כ-30% מהנפגעים היו משתמשים חדשים חוסר היכרות עם חתימות, הרשאות ופישינג מגדיל את הסיכון
סוג הסיכון לא בהכרח פריצה לפרוטוקול, אלא הונאה שמובילה את המשתמש לאשר פעולה מסוכנת החוליה החלשה היא לרוב התנהגות המשתמש, לא רק התשתית
דרכי הגנה בדיקת כתובות URL, הימנעות מלחיצה על קישורים חשודים, 2FA ובדיקת כל בקשת חיבור כמה הרגלים פשוטים יכולים לצמצם משמעותית את הסיכון
משמעות רחבה הונאות קריפטו ממשיכות לגדול במקביל לעלייה באימוץ הטכנולוגיה אבטחת מידע הפכה לחלק בלתי נפרד משימוש יומיומי בקריפטו

5 שאלות שכל קורא צריך לשאול את עצמו

לפני החיבור הבא, לפני הלחיצה הבאה, ולפני כל אישור בארנק — שווה לעצור ולשאול:

  • האם הגעתי לאתר הזה דרך קישור שקיבלתי, או דרך כתובת שבדקתי בעצמי?
  • האם אני באמת מבין מה המשמעות של בקשת החתימה או ההרשאה שמופיעה לי עכשיו?
  • אם אני חדש בתחום, האם יש לי מספיק ידע כדי לזהות ניסיון פישינג איכותי?
  • האם אני מחזיק סכומים משמעותיים בארנק שמחובר באופן קבוע לשירותים שונים?
  • כשהודעה מפעילה לחץ ודחיפות, האם אני עוצר לבדוק — או פשוט פועל?

השורה התחתונה

מתקפת ההונאה סביב WalletConnect היא לא חריג חד-פעמי. היא חלק מדפוס רחב יותר: ככל שעולם הקריפטו הופך נגיש יותר, כך גם ההונאות סביבו נעשות מתוחכמות, משכנעות ומהירות יותר.

המסר המרכזי מהאירוע הזה חד מאוד. בעולם מבוזר, האחריות מבוזרת גם היא — אבל בפועל, חלק גדול ממנה נופל על המשתמש. מי שלא בודק קישורים, לא מבין אישורים, ופועל מתוך לחץ, הופך למטרה קלה.

אבטחת מידע, במובן הזה, היא לא רק שכבת הגנה טכנית. היא הרגל. היא משמעת. והיא אולי הכלי החשוב ביותר שיש היום לכל מי שמחזיק נכסים דיגיטליים.

המאבק בהונאות של ההווה מתחיל בפעולות קטנות: בדיקה, עיכוב, חשד בריא, ולמידה מתמדת. בעולם הקריפטו, זה לא רק חכם יותר. זה הכרחי.

אם אתה מעוניין במידע נוסף בנושא אבטחת מידע Mail Thumb

צור קשר ונוכל להמליץ לך בחינם על ספקים מובילים בתחום