הארנק נפרץ או נחתמה עסקה חשודה: מה עושים מיד?

עסקה לא מוכרת מופיעה בארנק. מטבעות מתחילים להיעלם. אתר שביקש חתימה נסגר לפתע, או שנציג תמיכה שקיבל מידע רגיש מפסיק לענות.

ברגע כזה הלחץ עלול לגרום למשתמש לבצע פעולות מהירות בלי להבין אם הן באמת עוזרות. הוא מנתק את האתר, משנה את סיסמת הארנק ומניח שהסכנה חלפה — אך החוזה עדיין מחזיק בהרשאה להעביר את המטבעות. במקרה אחר הוא שולח מטבע נוסף לארנק שנפרץ כדי לממן עמלת רשת, ותוכנה אוטומטית של התוקף מעבירה אותו מיד.

התגובה הנכונה תלויה בשאלה מה בדיוק נחשף.

יש הבדל מהותי בין אתר שרק חובר לארנק, הרשאת טוקנים שניתנה לחוזה, משפט שחזור שנגנב, מחשב שנדבק בתוכנה זדונית וחשבון בבורסה מרכזית שנפרץ. הפעולה שיכולה לפתור מצב אחד עלולה להיות חסרת תועלת במצב אחר.

כאשר ארנק במשמורת עצמית נפרץ, אין חברה שיכולה לאפס את המפתחות או לבטל עסקה שכבר אושרה. לכן המטרה הראשונה היא לא „לתקן” את הארנק הישן, אלא לעצור את ההתקפה, להציל את מה שעוד נשאר ולמנוע מהבעיה לעבור גם לארנק החדש. (MetaMask Help Center)

השלב הראשון: מפסיקים לפעול מתוך לחץ

אם האירוע התחיל באתר, בהודעה פרטית או בשיחה עם „נציג”, מפסיקים מיד את הקשר.

לא לוחצים על קישור נוסף שנשלח כדי „לבטל את העסקה”.
לא מתקינים תוכנת אבטחה שהנציג מציע.
לא מאפשרים שליטה מרחוק במחשב.
לא מוסרים קוד אימות נוסף.
לא מזינים את משפט השחזור באתר „שחזור”.
ולא מעבירים את הנכסים ל„ארנק בטוח” שמישהו אחר סיפק.

תוקפים רבים ממשיכים ללוות את הקורבן גם לאחר שהתעורר חשד. הם מסבירים שנדרשת חתימה נוספת כדי לבטל את הקודמת, או שיש להעביר עמלת רשת כדי לשחרר את הכספים. הפעולה השנייה עלולה להיות זו שמעניקה להם את הגישה המלאה.

אם הותקנה תוכנה לא מוכרת, תוסף דפדפן, קובץ או כלי שליטה מרחוק, יש להתייחס למכשיר עצמו כאל מכשיר חשוד. במצב כזה אין ליצור עליו ארנק חדש, לשנות ממנו סיסמאות או להזין בו משפט שחזור חדש. קודם עוברים למכשיר אחר שנחשב נקי ומעודכן.

לפני הכול: מבררים מה באמת קרה

יש לפתוח את סייר הבלוקצ׳יין של הרשת ולבדוק את הכתובת ואת הפעולות האחרונות.

המטרה היא לענות על כמה שאלות:

• האם נכסים באמת יצאו מהארנק?

• האם העסקה הושלמה או עדיין ממתינה?

• איזה נכס הועבר ולאיזו כתובת?

• האם זו הייתה העברה רגילה, החלפה או הרשאה?

• האם ניתנה גישה למטבע מסוים או לכל האוסף?

• האם פעולות לא מוכרות מופיעות בכמה רשתות?

• האם כל החשבונות שנוצרו מאותו משפט שחזור נפגעו?

• האם הפעילות ממשיכה גם לאחר שהאתר נותק?

צילום מסך של הארנק אינו מספיק. סייר הבלוקצ׳יין מציג אם העסקה אושרה, איזה חוזה הופעל ומה עבר בפועל בין הכתובות.

חשוב גם לא להניח שכל ירידה ביתרה היא פריצה. ייתכן שהמטבע הוסתר מהממשק, הועבר לחשבון אחר של אותו ארנק, נעול בחוזה או מוצג ברשת אחרת. מצד שני, אם קיימת עסקה יוצאת שלא חתמתם עליה, צריך להתייחס אל המפתח או להרשאה כאל מידע שנחשף.

ארבעה תרחישים — וארבע תגובות שונות

מצב ראשון: הארנק רק חובר לאתר חשוד

חיבור רגיל לאפליקציה מבוזרת מאפשר בדרך כלל לאתר לראות את הכתובת הציבורית, היתרות והיסטוריית הפעילות. הוא אינו מעניק לו אוטומטית את המפתח הפרטי או יכולת להעביר מטבעות.

במקרה כזה יש לנתק את האתר מתוך רשימת החיבורים של הארנק ולבדוק אם נחתמו לאחר החיבור הרשאות או עסקאות נוספות.

עם זאת, ניתוק האתר בלבד אינו מבטל הרשאות שכבר נרשמו בבלוקצ׳יין. חוזה שקיבל גישה לטוקנים עשוי להמשיך להחזיק בה גם כאשר האתר כבר אינו מופיע ברשימת האתרים המחוברים. (MetaMask Help Center)

אם רק בוצע חיבור, לא נחתמה שום בקשה ולא נמסר מידע סודי, אין בהכרח צורך לנטוש מיד את כל הארנק. עדיין כדאי לבדוק את היסטוריית הפעילות ולהסיר את החיבור החשוד.

מצב שני: נחתמה הרשאה זדונית לחוזה

הרשאת טוקנים מאפשרת לחוזה להשתמש בכמות מסוימת של מטבע בשם בעל הארנק. בהרשאה בלתי מוגבלת, החוזה עשוי לקבל גישה לכל היתרה של אותו טוקן, גם בעתיד.

אם משפט השחזור לא נחשף ואין עסקאות לא מוכרות שאינן מוסברות בהרשאה, ייתכן שהבעיה מוגבלת לחוזה מסוים. במקרה כזה צריך לבטל את ההרשאה במהירות.

ברשתות תואמות Ethereum ניתן לבדוק ולבטל הרשאות באמצעות עמוד בדיקת ההרשאות של סייר הרשת, כלי ההרשאות של הארנק או שירות ייעודי מוכר. הביטול עצמו הוא עסקת בלוקצ׳יין, ולכן הוא דורש עמלת רשת ואינו נכנס לתוקף עד שהעסקה מאושרת. (MetaMask Help Center)

כדאי לבדוק לא רק את החוזה האחרון, אלא את כלל ההרשאות הפעילות באותה כתובת ובכל רשת שבה נעשה שימוש. לעיתים המשתמש חתם על הרשאה לפני שבועות ורק כעת התוקף התחיל לנצל אותה.

יש לשים לב להבדל:

ניתוק אתר עוצר את החיבור לממשק.

ביטול הרשאה מבטל את יכולת החוזה להשתמש בטוקנים שאושרו לו.

אם כבר החלו העברות לא מוכרות, או אם לא ברור מה בדיוק נחתם, העברת הנכסים לכתובת חדשה עשויה להיות בטוחה יותר מהסתפקות בביטול הרשאה אחת.

מצב שלישי: משפט השחזור או המפתח הפרטי נחשפו

זהו המצב החמור ביותר בארנק במשמורת עצמית.

מי שמחזיק במשפט השחזור או במפתח הפרטי יכול לשחזר את הארנק במכשיר אחר ולחתום על עסקאות בלי סיסמת האפליקציה, בלי הטלפון ובלי מכשיר הארנק המקורי.

החלפת הסיסמה אינה פותרת את הבעיה.
החלפת קוד הנעילה אינה פותרת אותה.
הסרת התוסף אינה פותרת אותה.
ואפילו ביטול כל ההרשאות אינו מונע מהתוקף לחתום בעצמו על עסקאות חדשות.

צריך ליצור ארנק חדש לחלוטין, עם משפט שחזור חדש שאינו קשור למפתח הישן, בסביבה נקייה. לאחר מכן מעבירים אליו את כל הנכסים שעוד נותרו ומפסיקים להשתמש בכל החשבונות שנוצרו ממשפט השחזור שנחשף. זהו גם סדר הפעולות שממליצים עליו מרכזי התמיכה של ארנקים מרכזיים במקרה של פגיעה במפתחות. (MetaMask Help Center)

הארנק החדש אינו חשבון נוסף תחת אותו משפט שחזור. יצירת „Account 2” באותה אפליקציה אינה מספיקה, משום שגם החשבון החדש נגזר בדרך כלל מאותן מילים שנגנבו.

הכתובת החדשה צריכה להיווצר ממשפט שחזור אחר לגמרי — או מארנק חומרה שהוגדר באופן נקי ויצר מפתחות חדשים.

מצב רביעי: חשבון בבורסה מרכזית נפרץ

בבורסה מרכזית המפתחות מוחזקים בידי הפלטפורמה, ולכן סדר הפעולות שונה.

אם זוהתה כניסה לא מוכרת, שינוי בהגדרות, כתובת משיכה חדשה או עסקה שלא בוצעה בידי המשתמש, צריך להשתמש מיד באפשרות נעילת החשבון, כאשר היא קיימת, ולפנות לתמיכה מתוך האתר או האפליקציה הרשמיים.

נעילת חשבון יכולה לעצור מסחר, העברות ומשיכות בזמן שהאירוע נבדק. לדוגמה, מנגנון הנעילה של Coinbase מוציא את כל המכשירים ומפסיק זמנית פעולות רגישות, ו־Kraken מנחה משתמשים שחושדים בפגיעה בחשבון ליצור קשר מיידי דרך טופס האבטחה שלה. (Kraken Support)

במקביל יש:

• לשנות את סיסמת הבורסה ממכשיר נקי.

• להחליף גם את סיסמת הדוא״ל.

• להוציא מכשירים והפעלות שאינם מוכרים.

• לבדוק אם נוספו כתובות משיכה.

• לבדוק אם שונה מספר הטלפון או אמצעי השחזור.

• להחליף את האימות הדו־שלבי אם קיים חשד שנחשף.

• לבדוק את חשבון הבנק וכרטיסי התשלום המקושרים.

• לדווח לבורסה על העסקאות הלא מוכרות.

אם הדוא״ל נפרץ, החלפת סיסמת הבורסה בלבד אינה מספיקה. התוקף יכול להשתמש בתיבת הדוא״ל לאיפוס נוסף, להסתרת התראות או לאישור כתובות משיכה.

כיצד יודעים אם נחשף משפט השחזור או רק חוזה?

לא תמיד ניתן לדעת מיד, אבל דפוס הפעילות מספק רמזים.

כאשר נעלם רק טוקן מסוג מסוים, וההעברה בוצעה באמצעות חוזה שקיבל הרשאה, ייתכן שהאירוע מוגבל ל־Token Approval.

כאשר יוצאים מהארנק גם המטבע המקומי של הרשת, כמה סוגי טוקנים ונכסים ברשתות שונות — עולה החשד שהמפתח עצמו נחשף.

אם מופיעות עסקאות שנחתמו ישירות מהכתובת, בלי קשר להרשאה מוכרת, יש להתייחס לארנק כאל פרוץ.

אם הזנתם את משפט השחזור באתר, שלחתם אותו לאדם, צילמתם אותו במכשיר שנדבק בתוכנה זדונית או ייבאתם אותו לתוסף לא מוכר — אין צורך להמתין להוכחה נוספת. מתייחסים אליו כאל סוד שנחשף ומעבירים את הנכסים לארנק חדש.

במקרה של ספק, עדיף להניח שהחשיפה רחבה יותר. מחיר הטעות של נטישת ארנק ישן הוא בעיקר זמן ועמלות; מחיר הטעות של המשך השימוש במפתח שנגנב יכול להיות יתרת הנכסים כולה.

כיצד יוצרים ארנק חדש בצורה בטוחה?

אין ליצור את הארנק החדש באותה סביבה אם קיים חשד שהמחשב או הטלפון נפגעו.

עדיף להשתמש במכשיר אחר, בפרופיל דפדפן חדש או במערכת שנבדקה ונוקתה. מתקינים את הארנק רק מהמקור הרשמי, מייצרים משפט שחזור חדש ושומרים אותו אופליין.

אם הארנק הישן היה מחובר לחשבון Google,‏ Apple או שירות כניסה אחר, וקיים חשד שגם חשבון זה נחשף, אין להשתמש באותו חשבון ליצירת הארנק החלופי. ההנחיות העדכניות של MetaMask ממליצות ליצור סביבת ארנק נפרדת שאינה קשורה לחשבון המקוון החשוד. (MetaMask Help Center)

לפני העברת סכום גדול:

1. מעתיקים את הכתובת הציבורית החדשה.

2. משווים את תחילת הכתובת ואת סופה.

3. מבצעים העברת ניסיון קטנה, אם הזמן והמצב מאפשרים.

4. בודקים בסייר שהנכס הגיע לכתובת הנכונה.

5. ממשיכים להעביר את יתרת הנכסים.

אין להזין את משפט השחזור הישן בתוך הארנק החדש. פעולה כזאת רק משחזרת את אותם מפתחות שכבר נחשפו.

באיזה סדר מעבירים את הנכסים?

אם קיימת שליטה מלאה בארנק הישן והפעילות החשודה אינה אוטומטית, מתחילים בדרך כלל בנכסים בעלי הערך הגבוה ביותר או באלה שנמצאים בסיכון מיידי.

ברשתות הדורשות מטבע מקומי לתשלום עמלות, צריך להשאיר מספיק ממנו כדי להשלים את יתר ההעברות. בהנחיות ההגירה של MetaMask מומלץ להעביר את טוקני ה־Gas אחרונים, משום שבלעדיהם לא ניתן לשלם על העברת שאר הנכסים. (MetaMask Help Center)

עם זאת, אם קיים חשד לתוכנת Sweeper — אין לפעול בצורה רגילה.

כאשר כל מטבע שנכנס נעלם מיד

תוכנת Sweeper היא סקריפט אוטומטי שעוקב אחר ארנק שנפרץ ומעביר ממנו נכסים במהירות לכתובת של התוקף.

אחד הסימנים הוא שמטבע הרשת שנשלח לארנק כדי לשלם עמלה נעלם כמעט מיד, עוד לפני שהמשתמש מצליח לבצע את ההעברה שתכנן. הסקריפט יכול לפעול מהר יותר מאדם ולעקוב אחר עסקאות ממתינות לפני שהן מאושרות. (MetaMask Help Center)

במצב כזה אין לשלוח שוב ושוב אתר, סולנה או מטבע אחר לצורך עמלות. כל ניסיון חדש עלול רק להגדיל את ההפסד.

חילוץ נכסים מארנק שעליו פועל Sweeper יכול לדרוש עסקאות מתוזמנות, חבילות פרטיות או סיוע טכני מקצועי. אין לקבל עזרה מאדם אקראי שפונה בהודעה פרטית ומבטיח „לנצח את הבוט”. נפגעי פריצות הופכים לעיתים למטרה נוספת של מתחזים המציעים שירותי שחזור.

עד לקבלת סיוע אמין, מפסיקים להשתמש בכל החשבונות הקשורים לאותו משפט שחזור ולא מפקידים אליהם נכסים נוספים.

האם ניתן לבטל עסקה שכבר בוצעה?

עסקה שאושרה ונרשמה בבלוקצ׳יין ציבורי אינה ניתנת בדרך כלל לביטול בידי הארנק, התמיכה או סייר הבלוקצ׳יין.

אם העסקה עדיין ממתינה, חלק מהארנקים והרשתות מאפשרים לנסות להחליף אותה בעסקה אחרת או להאיץ אותה. הפעולה אינה מובטחת, והיא תלויה ברשת, במבנה העסקה ובשאלה איזו עסקה תאושר ראשונה.

לאחר שהעסקה הושלמה, המיקוד עובר לעצירת ההעברות הבאות, שמירת ראיות ומעקב אחר הכתובת המקבלת. מרכז התמיכה של MetaMask מדגיש שעסקאות חסרות הרשאה אינן ניתנות להיפוך בידי החברה ושאין לה יכולת להחזיר נכסים שנשלחו. (MetaMask Help Center)

אם הכספים הועברו לכתובת של בורסה מרכזית, קיימת לעיתים אפשרות לדווח לבורסה במהירות ולבקש שתשמר את המידע או תגביל את החשבון המקבל. אין ביטחון שהכספים יוקפאו או יוחזרו, אך הזמן משמעותי.

החלפת סיסמה: מתי היא עוזרת ומתי לא?

סיסמת הארנק המקומית בדרך כלל מגינה על האפליקציה במכשיר. היא אינה משנה את המפתח הפרטי בבלוקצ׳יין.

לכן:

אם רק סיסמת האפליקציה נחשפה, אך משפט השחזור והמכשיר נשארו בטוחים — החלפתה יכולה לעזור.

אם המכשיר נגנב, יש לשנות את הסיסמה ולבחון העברת נכסים, בהתאם להגנות הקיימות במכשיר.

אם משפט השחזור נחשף, החלפת הסיסמה אינה מגינה על הארנק.

אם חשבון בבורסה נפרץ, שינוי סיסמה הוא חלק חשוב מהתגובה, אך צריך גם לנעול את החשבון, לטפל בדוא״ל, להחליף אימות דו־שלבי ולבדוק את הגדרות המשיכה.

המפתח הוא להבין מה הסיסמה מגינה עליו. סיסמת תוכנה אינה מסוגלת לבטל עותק של מפתח פרטי שכבר נמצא אצל התוקף.

מטפלים גם בדוא״ל, בטלפון ובמחשב

אירוע קריפטו עשוי להיות רק התסמין הראשון של פגיעה רחבה יותר.

אם התוקף השיג גישה לדוא״ל, הוא יכול לקרוא הודעות אימות, לאפס סיסמאות ולמחוק התראות. אם השתלט על מספר הטלפון, הוא עשוי לקבל קודי SMS. אם קיימת תוכנה זדונית במחשב, כל סיסמה חדשה שתוקלד בו עלולה להיחשף שוב.

לכן יש לבדוק ממכשיר נקי:

• מכשירים המחוברים לחשבון הדוא״ל.

• כתובות שחזור ומספרי טלפון שנוספו.

• כללי העברה אוטומטית וסינון בדוא״ל.

• תוספים לא מוכרים בדפדפן.

• תוכנות שהותקנו לאחרונה.

• התראות אבטחה וכניסות ממיקומים לא מוכרים.

• חשבונות נוספים שבהם נעשה שימוש באותה סיסמה.

יש ליצור סיסמאות חדשות וייחודיות, להפעיל אימות דו־שלבי שאינו מבוסס רק על SMS כאשר הדבר אפשרי, ולנתק הפעלות שאינן מוכרות.

אם קיים חשד ממשי לתוכנה זדונית, סריקה בסיסית אינה תמיד מספיקה כדי להחזיר את האמון במכשיר. במקרים משמעותיים כדאי לקבל סיוע מקצועי, ולעיתים לבצע התקנה נקייה של מערכת ההפעלה.

שומרים ראיות לפני שהמידע נעלם

גם כאשר נראה שאין אפשרות להחזיר את הכסף, חשוב לתעד את האירוע.

יש לשמור:

• כתובת הארנק שנפגעה.

• כתובות שאליהן הועברו הנכסים.

• מזהי העסקאות.

• הרשת, המטבע והסכום.

• תאריך ושעה.

• כתובת האתר החשוד.

• צילומי מסך.

• התכתבויות.

• שמות משתמש ומספרי טלפון.

• כתובות דוא״ל.

• פרטי חשבון בבורסה.

• קבצים או תוכנות שהותקנו.

• אישורי רכישה והפקדה.

אין למחוק מיד את ההתכתבות, גם אם היא מביכה או מכילה מידע אישי. התיעוד יכול לעזור לבורסה, לחברת ניתוח בלוקצ׳יין או לרשויות להבין את מסלול הכספים.

אין גם לשלוח לאדם לא מוכר קובצי ארנק, משפטי שחזור, מפתחות פרטיים או גיבויים „לצורך חקירה”. חוקר אמין יכול לעבוד עם כתובת ציבורית ומזהי עסקאות בלי לקבל שליטה בארנק.

למי מדווחים בישראל?

במקרה של חשד לאירוע סייבר ניתן לדווח למערך הסייבר הלאומי באמצעות טופס מקוון ולקבל סיוע ראשוני ממרכז 119, הפועל מסביב לשעון. המערך מדגיש שהדיווח אליו אינו מחליף הגשת תלונה במשטרה כאשר מדובר בעבירה פלילית או בהונאה. (Government of Israel)

כאשר נגנבו נכסים או בוצעה הונאה, כדאי לפנות גם למשטרת ישראל ולצרף את כל המידע הטכני שנשמר.

בנוסף יש לדווח במהירות:

• לבורסה שממנה יצאו הכספים.

• לבורסה שאליה הגיעו, אם ניתן לזהותה.

• לספק הארנק.

• לאתר או לרשת החברתית שבה הופיע המתחזה.

• לבנק או לחברת האשראי, אם היו מעורבים.

• לשירות הדוא״ל, אם החשבון נפרץ.

הדיווח אינו מבטיח החזר, אך הוא יכול לסייע בהקפאת חשבון משמורני, בשימור מידע ובמניעת פגיעה במשתמשים נוספים.

ממה צריך להיזהר לאחר הפריצה?

לאחר פרסום האירוע עשויים להגיע אנשים שמציעים:

„להחזיר את הכספים מהבלוקצ׳יין”.
„לפרוץ לארנק של הגנב”.
„להפעיל תוכנת שחזור”.
„לשלם עמלת Gas כדי לשחרר את הנכסים”.
„לקבל גישה למאגר סודי של בורסות”.
„להקפיא את הכתובת תמורת תשלום”.

חלקם משתמשים במידע הציבורי שבבלוקצ׳יין כדי להציג ידע שנראה מרשים. הם יכולים לציין את הסכום המדויק שנגנב ואת כתובת היעד — מידע שכל אדם יכול לראות בסייר.

אין לשלם מראש ל„האקר”, למסור לו את משפט השחזור או להתקין תוכנה שהוא שולח. שירות חקירה לגיטימי אינו מבטיח מראש שהכסף יוחזר ואינו צריך לקבל שליטה בארנק כדי לעקוב אחר עסקאות ציבוריות.

סדר פעולות לפי סוג האירוע

רק התחברתם לאתר חשוד

1. מנתקים את האתר מהארנק.

2. בודקים אם נחתמו עסקאות או הרשאות.

3. בודקים את היסטוריית הפעילות בסייר.

4. מסירים הרשאות שאינן מוכרות.

5. ממשיכים לעקוב אחר הכתובת.

נחתמה הרשאה חשודה

1. מבטלים את ההרשאה ברשת הרלוונטית.

2. בודקים הרשאות נוספות בכל הרשתות.

3. בודקים אם כבר יצאו נכסים.

4. שוקלים העברה לארנק חדש אם היקף החתימה אינו ברור.

5. מפסיקים להשתמש באתר ובחוזה החשודים.

משפט השחזור נמסר או נחשף

1. עוברים למכשיר נקי.

2. יוצרים ארנק בעל משפט שחזור חדש.

3. מעבירים אליו את הנכסים שנותרו.

4. משאירים מספיק מטבע רשת עד לסיום ההעברות.

5. מפסיקים להשתמש בכל החשבונות הקשורים למילים הישנות.

6. לא מפקידים דבר נוסף לארנק שנפרץ.

זוהה Sweeper

1. מפסיקים לשלוח מטבעי Gas לארנק.

2. לא מתחרים ידנית בבוט.

3. שומרים את כל המידע והעסקאות.

4. פונים לסיוע מקצועי ממקור שנבדק היטב.

5. מתייחסים לכל החשבונות מאותו משפט שחזור כפרוצים.

חשבון בבורסה נפרץ

1. נועלים את החשבון דרך הערוץ הרשמי.

2. פונים מיד לתמיכת הבורסה.

3. מחליפים את סיסמת הדוא״ל והבורסה ממכשיר נקי.

4. מבטלים הפעלות ומכשירים לא מוכרים.

5. מחליפים אימות דו־שלבי.

6. בודקים כתובות משיכה ועסקאות.

7. מודיעים לבנק או לחברת האשראי אם נדרש.

טעויות נפוצות שמגדילות את הנזק

לשנות רק את סיסמת הארנק
הפעולה אינה עוזרת כאשר המפתח הפרטי או משפט השחזור נגנבו.

להסתפק בניתוק האתר
החוזה עלול להמשיך להחזיק בהרשאות On-chain.

לשלוח עוד Gas לארנק עם Sweeper
הבוט עלול להעביר גם אותו מיד.

ליצור כתובת חדשה תחת אותו משפט שחזור
התוקף יכול לגזור גם את החשבונות האחרים מאותו סוד.

ליצור את הארנק החדש במכשיר החשוד
תוכנה זדונית עלולה לגנוב גם את המפתחות החדשים.

למחוק את כל הראיות
הודעות, כתובות ומזהי עסקאות יכולים להיות חיוניים לדיווח ולחקירה.

לשלם למומחה שחזור שפנה ראשון
נפגעי פריצות הם מטרה מוכרת להונאה נוספת.

להמתין כדי לראות אם התוקף יחזור
כאשר המפתח נחשף, כל דקה יכולה להיות משמעותית.

בדיקת חירום של עשר דקות

בדקה הראשונה:
מפסיקים את הקשר עם האתר או האדם החשוד.

בדקות 2–3:
פותחים את הכתובת בסייר ובודקים מה יצא, מה אושר ומה עדיין נשאר.

בדקה הרביעית:
מחליטים אם מדובר בחיבור, בהרשאה, בחשיפת מפתח או בחשבון בורסה.

בדקות 5–6:
מנתקים את האתר ומבטלים הרשאות, אם זהו סוג האירוע.

בדקות 7–8:
אם המפתח נחשף, יוצרים ארנק חדש במכשיר נקי ומתחילים להעביר נכסים.

בדקה התשיעית:
נועלים חשבונות מרכזיים ומאבטחים את הדוא״ל והאימות הדו־שלבי.

בדקה העשירית:
שומרים את כתובות הארנק, מזהי העסקאות, ההתכתבויות והראיות לצורך דיווח.

הסדר עשוי להשתנות לפי המקרה. כאשר נכסים נעלמים בזמן אמת, הצלת היתרה יכולה לקבל עדיפות. כאשר המחשב עצמו נפגע, אסור למהר וליצור עליו ארנק חדש.

לאחר שהאירוע נרגע

לאחר עצירת הסכנה המיידית צריך להבין כיצד היא התחילה.

בודקים את היסטוריית הדפדפן, אתרי Web3 שחוברו, הרשאות ישנות, תוספים, אפליקציות שהותקנו והודעות שהתקבלו סמוך לאירוע. המטרה אינה רק למצוא „מי אשם”, אלא למנוע מהשיטה לעבוד שוב.

כדאי גם לשנות את מבנה האחסון:

• ארנק קר לעיקר ההחזקה.

• ארנק חם לסכום תפעולי.

• ארנק נפרד לחוזים חדשים ולחלוקות.

• חשבון דוא״ל ייעודי לבורסות.

• אימות חומרתי או Passkey, כאשר נתמך.

• בדיקה תקופתית של הרשאות.

• גיבוי אופליין שאינו נשמר יחד עם המכשיר.

פריצה אחת אינה בהכרח מוכיחה שכל עולם המשמורת העצמית אינו בטוח. היא מצביעה על כך שהמערכת שנבנתה כללה נקודת כשל אחת שצריך לזהות ולתקן.

אין כפתור חירום אחד שמתאים לכל פריצה

הטעות המרכזית לאחר אירוע חשוד היא לחפש פעולה אחת שתפתור הכול.

ניתוק אתר אינו מבטל הרשאה.
ביטול הרשאה אינו מחליף מפתח שנגנב.
שינוי סיסמה אינו משנה משפט שחזור.
וארנק חדש אינו בטוח אם הוא נוצר במחשב שנשאר נגוע.

התגובה הנכונה מתחילה בסיווג האירוע.

כאשר החוזה קיבל הרשאה, מבטלים אותה. כאשר המפתח נחשף, מחליפים את כל הארנק. כאשר הבורסה נפרצה, נועלים את החשבון ומפעילים את התמיכה. וכאשר העסקה כבר הושלמה, מפסיקים לחפש כפתור ביטול ומתמקדים בהצלת מה שנותר, בתיעוד ובדיווח.

בעולם שבו פעולות יכולות להיות בלתי הפיכות, המהירות חשובה — אבל דיוק חשוב לא פחות.

הערת הבהרה:
הכתבה נועדה למטרות מידע והגנה כללית בלבד ואינה מחליפה טיפול מקצועי באירוע סייבר. ממשקי ארנקים, מנגנוני הרשאות ודרכי נעילת חשבונות משתנים בין רשתות ופלטפורמות. במקרה של גניבה פעילה, חשיפת משפט שחזור או חשד להשתלטות על מכשיר, יש להפסיק את הפעילות ולפנות במהירות לספק הרלוונטי, למערך הסייבר הלאומי ולגורמי האכיפה.