מפתח Whitehat שחרר כ-2 מיליון דולר שננעלו בחוזה ICO מ-2016 על Ethereum

כ-2 מיליון דולר שננעלו במשך תשע שנים בחוזה ICO ישן על Ethereum שוחררו כעת בעזרת מפתח Whitehat, לפי דיווחים של CoinDesk ו-The Block. על פי הפרסומים, מדובר בכספים שהיו תקועים מאז 2016 בחוזה חכם מתקופת גל ה-ICO המוקדם, ושכעת חולצו באמצעות מה שהוגדר כפעולת Whitehat — כלומר, שימוש טכני שנועד להציל כספים ולא לנצל אותם לרעה.

נכון לשלב זה, הפרטים המלאים על אופן החילוץ, מבנה החוזה, והזהות המלאה של כל הגורמים המעורבים לא הובהרו במלואם בפומבי. לכן חשוב להיצמד לעובדות שדווחו: הכספים היו נעולים במשך שנים, והחילוץ בוצע בעזרת מפתח שפעל במסגרת Whitehat exploit, ולא במסגרת תקיפה זדונית.

למה הסיפור הזה חשוב עכשיו

לכאורה, זה סיפור טכני על חוזה ישן. בפועל, הוא נוגע באחת השאלות המרכזיות בעולם הקריפטו: מה קורה כשקוד שנכתב לפני כמעט עשור ממשיך להחזיק כסף אמיתי, אבל כבר לא נבנה לפי סטנדרטים מודרניים של אבטחה, בדיקות וניהול סיכונים.

Ethereum של 2016 לא היה Ethereum של היום. זו הייתה תקופה מוקדמת הרבה יותר, לפני שנים של התבגרות טכנולוגית, לפני מתודולוגיות audit נפוצות כמו היום, ולפני שהשוק למד בדרך הקשה עד כמה חוזים חכמים עלולים לכלוא נכסים בלי דרך פשוטה לשחרר אותם.

מבחינת קוראי קריפטו בישראל, זה מקרה שמזכיר אמת בסיסית: בבלוקצ'יין, גם טעות ישנה יכולה להישאר איתנו שנים. לפעמים עד שמישהו עם מספיק הבנה טכנית, סבלנות ואחריות מוצא דרך לפתור אותה.

מה זה בעצם Whitehat exploit

בעולם אבטחת המידע, Whitehat הוא אדם שמנצל חולשה או פרצה כדי להגן על משתמשים או להציל נכסים — לא כדי לגנוב. במקרה הזה, לפי הדיווחים, המפתח השתמש ביכולת טכנית שהייתה קיימת בחוזה או באופן שבו הוא פעל, כדי לשחרר כספים שהיו נעולים.

עם זאת, צריך להיזהר בניסוח. עצם השימוש במונח Whitehat לא אומר שכל ההיבטים המשפטיים, ההסכמיים או הטכניים הובהרו עד הסוף. בדיווחים שפורסמו לא נקבעו כאן מסקנות רגולטוריות חד-משמעיות, ולא הוצגה תמונה מלאה של כל האישורים שניתנו או של כל ההשלכות האפשריות. לכן נכון יותר לומר: לפי הדיווחים, מדובר בפעולה שנעשתה במטרה לחלץ כספים, ולא בתקיפה שנועדה להפיק רווח בלתי מורשה.

תזכורת מתקופת ה-ICO של 2016

שנת 2016 הייתה שנה מוקדמת מאוד ביחס לשוק הנוכחי. הנפקות טוקנים דרך ICO היו אז כלי גיוס נפוץ בהרבה, לעיתים על בסיס קוד פשוט יחסית ולעיתים בלי מנגנוני הגנה שהפכו מאז לסטנדרט. חלק מהפרויקטים הצליחו, חלק נעלמו, וחלק השאירו אחריהם חוזים חכמים עם כספים תקועים, הרשאות חסרות או לוגיקה שלא עמדה במבחן הזמן.

המקרה הנוכחי לא מלמד בהכרח על כל שוק ה-ICO, אבל הוא כן מזכיר עד כמה ההיסטוריה של Ethereum עדיין חיה על הרשת. חוזים ישנים לא נעלמים רק כי השוק עבר הלאה. אם הם מחזיקים כספים, אם אין להם מנגנון שדרוג, ואם אף אחד לא טיפל בבעיה בזמן — הם יכולים להפוך לפצצה מתקתקת או, במקרה הזה, לתיק חילוץ מורכב.

למה Ethereum במרכז

Ethereum ממשיכה להיות הבית של חלק גדול מהחדשנות בתחום החוזים החכמים, אבל גם של הארכיון החי של ניסויים מוקדמים, קוד מיושן והבטחות מהעבר. זה חלק מהכוח שלה, וזה גם חלק מהסיכון. רשת שמארחת פעילות עצומה לאורך שנים צוברת שכבות של היסטוריה טכנולוגית, ולא כל שכבה כזו מתיישנת בצורה מסודרת.

דווקא בגלל זה, מקרים כאלה מעניינים לא רק מפתחים, אלא גם משקיעים, חוקרים, עורכי דין ואנשי ציות. הם מחדדים את הפער בין הרעיון של "קוד הוא חוק" לבין המציאות, שבה לפעמים צריך מומחיות אנושית כדי לשחזר גישה לכספים, לתקן טעות ישנה או להבין מי בכלל מוסמך לפעול.

ומה ל-SEC יש לעשות עם זה?

הסיפור עצמו, כפי שדווח, עוסק בעיקר בחילוץ טכני של כספים מחוזה ישן. עם זאת, אי אפשר לנתק אותו מהצל הרחב יותר של תקופת ה-ICO ומהוויכוח הרגולטורי שנמשך עד היום, במיוחד בארה"ב. ה-SEC הפכה לאורך השנים את תחום ה-ICO לאחד ממוקדי הבדיקה המרכזיים שלה, בעיקר בשאלות של ניירות ערך, שיווק לציבור, וגיוסי הון דרך טוקנים.

במקרה הספציפי הזה, המקורות שצוינו לא מבססים טענה רגולטורית חדשה מצד ה-SEC, ולא נכון לייחס אירוע אכיפה או קביעה משפטית אם כזו לא פורסמה. ועדיין, עצם העובדה שמדובר בחוזה מתקופת ה-ICO מסבירה מדוע הישות הזו מופיעה בהקשר הרחב: כל דיון בכספים ישנים מהעידן ההוא נוגע, לפחות בעקיפין, גם לשאלות רגולטוריות שעדיין מלוות את הענף.

מה עדיין לא ידוע

יש לא מעט פרטים שנשארו לא ברורים מהדיווחים הראשוניים. למשל: האם כל הכספים הושבו בפועל לבעליהם המקוריים או לגורם מייצג? האם הייתה הסכמה חוזית מסודרת מראש? האם קיימים סיכונים משפטיים נלווים? והאם יש חוזים דומים נוספים שעדיין תקועים על Ethereum וממתינים לפתרון?

כל עוד אין תיעוד מלא, audit פומבי או הודעה מפורטת מטעם הגורמים המעורבים, עדיף להתייחס לפרשה הזו כאל אירוע טכני חשוב אך כזה שהתמונה המלאה שלו עדיין מתגבשת.

השורה התחתונה

החילוץ של כ-2 מיליון דולר מחוזה ICO ישן הוא לא רק אנקדוטה מהעבר של Ethereum. זה תזכורת חדה לכך שקוד בלוקצ'יין אינו נעלם, ושבעיות תכנון מ-2016 יכולות להגיע לכותרות גם ב-2026. עבור קהילת הקריפטו, זה מחזק את החשיבות של ביקורות קוד, מנגנוני חירום, ניהול הרשאות ותיעוד ברור — במיוחד כשכסף אמיתי נשאר על השרשרת במשך שנים.

זה גם מחדד נקודה פחות זוהרת אבל קריטית: לפעמים החדשנות האמיתית היא לא בעוד השקה נוצצת, אלא ביכולת לתקן באחריות טעויות ישנות בלי לייצר נזק חדש.

המידע בכתבה זו מובא לצורכי מידע בלבד ואינו מהווה ייעוץ השקעות, ייעוץ פיננסי או המלצה לפעולה.