ספייריקס (SphereX), חברת סטארט אפ ישראלית חדשה, משיקה בימים אלה את הפתרון הטכנולוגי שפיתחה, שנועד להגן על אפליקציות בלוקצ'יין מפני פריצות סייבר. החברה, שהוקמה לפני כשנה על ידי היזמים אייל מרון ואורן פיין, גייסה באחרונה 8.2 מיליון דולר בסבב גיוס ראשון (Seed), שאותו הובילה קרן ההון סיכון Aleph והשתתפו בו קרנות ההון סיכון Pillar.vc האמריקאית, Fabric הבריטית, Mensch Capital Partners הישראלית ועוד משקיעים פרטיים בתחום הבלוקצ'יין.
"SphereX מגדירה את התפיסה החדשה לאבטחת אפליקציות ב-Web3", אמר תומר דיארי, שותף בקרן אלף. "החברה משלבת בין תפיסות שהתפתחו בעולם אבטחת הסייבר המסורתי לבין תפיסות ותובנות חדשות של עולם הבלוקצ'יין, ומעצבת אותן מחדש לטובת הגנה על חוזים חכמים - מה שמסייע להגן על החלק הפגיע ביותר בשרשרת הערך ב-Web3".
המנכ"ל אייל מרון: "לקחנו את כל מקרי הפריצות מהשנים האחרונות, שהמידע שלהם נגיש. עשינו סימולציה מה היה קורה לאותם חוזים חכמים שנפרצו, אילו הם היו מוגנים על ידי היכולת שלנו"
פריצות לאפליקציות בלוקצ'יין מסתיימות בדרך כלל בגניבה של מטבעות קריפטו שקשורים לאותן אפליקציות, ולנזק כספי רב. כך, בשנת 2022 אבדו מטבעות קריפטו בשווי כולל של 2.7 מיליארד דולר כתוצאה מפריצות לחוזים חכמים על בלוקצ'יין, לפי דוח שפירסם באחרונה אתר BanklessTimes.
חוזה חכם (Smart contract) הוא אפליקציית בלוקצ'יין שמאפשרת לשני צדדים או יותר להחליף ביניהם נכסים דיגיטליים כמו מטבעות קריפטו, תוך קיום התנאים שנקבעו בחוזה, ללא צורך בצד נוסף שיתווך ביניהם.
פלטפורמות בלוקצ'יין כמו ביטקוין, את'ריום ואחרות מאפשרות לחוזים חכמים לפעול על גביהן באופן מבוזר ובשקיפות מוחלטת. אבל כמו כל תוכנה, גם לחוזים חכמים יש חשיפה לבאגים ולפרצות בקוד, שאותן האקרים עלולים לנצל לרעה.
הפתרון שפיתחה ספייריקס הוא יצירת חוזה חכם ייחודי, שמשתלב בחוזים חכמים של אפליקציות בלוקצ'יין ומסייע להן, באמצעות מערכות למידת מכונה, להבחין בין הוראות לגיטימיות של משתמשים לבין הוראות חריגות שמאפיינות האקרים, כך שניתן יהיה לבלום את ההוראות החריגות ולמנוע פריצה לתוכנה באמצעותן.
מייסדי ספייריקס אומרים כי "חברות רבות ניסו לאורך השנים האחרונות לפתור את בעיית הפריצות לחוזים החכמים, אך כמות והיקף הפריצות שאירעו בשנים האחרונות הוכיחו שאף אחד מהפתרונות הקיימים אינו יעיל מספיק כדי למנוע את המתקפות החוזרות ונשנות".
ספייריקס מעסיקה כיום 11 עובדים באחד מחללי העבודה של WeWork בתל אביב. מרון, מנכ"ל ספייריקס, ופיין, סמנכ"ל הטכנולוגיות (CTO) של החברה, הכירו במהלך שירותם הצבאי ביחידת המודיעין 8200, שבה שניהם מילאו תפקידי פיקוד בכירים. לפני שהקימו את החברה, כיהן מרון בתפקיד מנהל אבטחת מידע (CISO) בבנק לאומי.
איך מתייחסים אליכם אנשים כשאתם מדברים על בלוקצ'יין או מטבעות קריפטו?
מרון: "אנחנו מגיעים ממקום שבו ההבנה של מרחב הבלוקצ'יין היא הבנה שמדובר בעולם שיש בו הרבה מאוד פוטנציאל דיסטרפטיבי והרבה חדשנות, ושיש בו גם פערים שצריך לדעת לסגור אותם. זה חלק מהמקום שלנו כחברה ומהתפקיד שלנו".
פיין: "הרבה אנשים נרתעים מעסקי הבלוקצ'יין כי הם איבדו אמון בתחום הזה, ולא בכדי. יש לכך, לדעתי, שתי סיבות עיקריות. הסיבה הראשונה היא שהיו הרבה מאוד מקרים של הונאה בתחום, כשהפרשות המפורסמות ביותר היו הקריסות של בורסת הקריפטו FTX ושל מטבע הקריפטו טרה-לונה. הסיבה השנייה היא שבפלטפורמות בלוקצ'יין מבוזרות רבות האבטחה לא הייתה טובה מספיק, ואז חוזים חכמים נפרצו וגנבו לאנשים כסף. הבשורה שאנחנו מביאים עם SphereX זה פתרון אבטחה מבוזר. בסופו של דבר, אנחנו מאפשרים לאפליקציות בלוקצ'יין להמשיך להיות מבוזרות, באופן שימנע הונאות, אבל בנוסף גם מאובטחות היטב, כך שלא ייגנבו מהן כספים".
לאיזה שוק פונה החברה שלכם?
מרון: "השוק שאליו אנחנו פונים זה כל מי שבונה אפליקציות מעל בלוקצ'יין ומפתח במסגרת זו חוזים חכמים".
בתחום הבלוקצ'יין פועלות כיום שתי חברות טכנולוגיה ישראליות גדולות ומוכרות, StarkWare ו-Fireblocks. גם סטארקוויר וגם פיירבלוקס הוערכו כל אחת בשווי של 8 מיליארד דולר כשגייסו מאות מיליוני דולרים בשנה שעברה. בעוד סטארקוויר מציעה פתרונות להאצה ולהרחבה של תשתיות בלוקצ'יין תוך אבטחה והגנה על פרטיות המשתמשים בהן, פיירבלוקס מציעה פתרונות לאבטחת הנכסים הדיגיטליים המועברים באמצעות תשתיות בלוקצ'יין.
בשונה מהפתרונות של פיירבלוקס או של סטארקוויר, הפתרון של ספייריקס מתמקד באבטחת חוזים חכמים על בלוקצ'יין. "בניגוד לתשתיות הבלוקצ'יין, שיש להן אבטחה מתקדמת, החוזים החכמים זה אזור פרוץ יחסית - ובגלל הפריצות לחוזים הולכים לאיבוד מיליארדי דולרים. זה לא קורה בגלל שמישהו הונה או רימה את המשתמשים, אלא פשוט בגלל באג באפליקציה", אומר פיין.
ומי כבר התנסה בטכנולוגיה שלכם?
מרון: "אנחנו רק משיקים את המוצר שלנו השבוע. אבל מעבר לזה שיש לנו כמה דיזיין פטרנז (תבניות עיצוב) שאנחנו עובדים איתם, עשינו בקטסטינג (בדיקה לאחור) של הטכנולוגיה. היתרון במרחב של הבלוקצ'יין הוא שכל המידע פומבי. אז לקחנו את כל מקרי הפריצות מהשנים האחרונות, שהמידע שלהם נגיש, ועשינו בקטסטינג של כל הפריצות האלה באמצעות הטכנולוגיה - עשינו סימולציה מה היה קורה לאותם חוזים חכמים שנפרצו, אילו הם היו מוגנים על ידי היכולת שלנו. בגדול, אפשר להגיד שהיינו מונעים כמעט את כל אותן פריצות, שהתבססו על ניצול חולשות בקוד, וכך יכולנו למנוע נזקים של מיליארדי דולרים".