ראשיגלובס פיננסיכל הכותרותשוק ההון והשקעותנדל''ן ותשתיותמשפטטכנולוגיהגלובליניהול וקריירהדעותשיווק ופרסוםמגזין Gתרבותוול סטריט ג'ורנל
מטבעות דיגיטליים 90 מיליון דולר של בכירים איראנים נגוזו: מלחמת הקריפטו עולה מדרגה
ראשי
גלובס פיננסי ראשי מניות מניות בחו''ל ארביטראז' אופציות מט''ח אג''ח ק. נאמנות קרנות סל חוזים עתידיים מכירות בשורט מדריכים פיננסיים כלכלת ישראל
כל הכותרות המומלצות העיתון הדיגיטלי
שוק ההון והשקעות נדל''ן ותשתיות משפט טכנולוגיה גלובלי מטבעות דיגיטליים ניהול וקריירה תרבות
מדורים נוספים שיווק ופרסום בארץ דעות מגזין G The Wall Street Journal המשרוקית
פודקאסטים
תיק אישי
English Website גלובס ועידות וכנסים
גלובס שלי נושאים שמעניינים אותי כתבות ששמרתי הניוזלטרים שלי ספריית הכתבות שקראתי תיק ההשקעות שלי אודות

אודות גלובס

גלובס על גלובס דוח אמון 2024

פרוייקטים ושיתופי פעולה

שלומות עיצוב נדל''ן אימפקט לכל הפרויקטים
רכישת מינוי גלובס שאלות ותשובות מרכז העזרה נגישות הגדרות לוח גלובס פרסמו אצלנו תנאי שימוש מדיניות פרטיות
מטבעות דיגיטליים (קריפטו)

90 מיליון דולר של בכירים איראנים נגוזו: מלחמת הקריפטו עם ישראל עולה מדרגה

בצל העימות הצבאי, נחשפת זירה מקבילה של לוחמה: קבוצת ההאקרים הפרו־ישראלית "הדרור הטורף" העלימה עשרות מיליוני דולרים מבורסת הקריפטו המזוהה עם משמרות המהפכה • בתגובה ניסתה קבוצה פרו־איראנית לפגוע בחברת קריפטו ישראלית, אך ללא נזק ממשי

אסף גלעד 24.06.2025
תשתיות בנק ספ'א הותקפו, והמשכורות לחיילי משמרות המהפכה הוקפאו / צילום: Shutterstock
תשתיות בנק ספ'א הותקפו, והמשכורות לחיילי משמרות המהפכה הוקפאו / צילום: Shutterstock

במשך שנים בכירים במשמרות המהפכה ובמשרדי הממשלה באיראן עקפו את הסנקציות הבינלאומיות שהוטלו עליהם בעזרת בורסת הקריפטו המקומית נוביטקס (Nobitex). למעשה, ככל שהסנקציות העמיקו, כך שגשג המסחר במטבעות קריפטו בבורסה האיראנית. על פי פירמת צ'יינאליסיס, כ־11 מיליארד דולר הועברו מיד ליד דרך נוביטקס מאז שהוקמה לפני שמונה שנים ועד יום רביעי האחרון, אז החליטה קבוצת ההאקרים הפרו־ישראלית "הדרור הטורף" להשתלט עליה ולגנוב מטבעות קריפטו בהיקף של 90 מיליון דולר.

אתמול בנקים, היום מיליונים בקריפטו: קבוצת האקרים מכה באיראן
הברזים התייבשו - והכסף ממשיך לזרום: כך מתפרנס חמאס תוך כדי המלחמה

הקבוצה, שפועלת זה שנים נגד תשתיות בנקאות, דלק, תעשייה וצבא באיראן, לא פרצה לרשת הבלוקצ'יין אלא לארנקים הדיגיטליים שמנהלים בעלי החשבונות. כ־55 מיליון דולר נגנבו במטבע USDT - מטבע דיגיטלי צמוד־דולר, 7 מיליון דולר במטבע דוג'קוין, 5 מיליון דולר במטבע טון, 2 מיליון דולר בביטקוין, עוד מיליון דולר באת'ריום, וכל השאר במטבעות שוליים יותר.

"אידיאולוגיה, לא כסף"

אלא ש"הדרור הטורף" איננה עוד קבוצת האקרים שעוסקת בגניבת כסף. למעשה, איש מבין חבריה לא גרף אפילו סנט אחד לכיסו: הכספים נשלחו לארבע כתובות מזויפות, שבמקום מספרים סידוריים נשאו סיסמאות בגנות משמרות המהפכה ואיראן - מה שהוביל בפועל למחיקת המטבעות. "בקהילת הקריפטו לא הבינו מדוע הכספים נשלחו לכתובת אבודה ולמעשה נשרפו", אומר בן סמוחה, מייסד ומנכ"ל אתר התוכן CryptoJungle. "עלתה ביקורת על כך שההאקרים לא חילקו את הכסף לקורבנות משמרות המהפכה, למשל. הסיבה היא שהעברת כסף לחשבונות של הקורבנות הייתה מאלצת את חברי הקבוצה להיחשף".

העובדה שקבוצת "הדרור הטורף" העלימה את הכסף האיראני ולא נטלה אותו לעצמה היא "סימן לכך שייתכן שזו קבוצה שפועלת בשביל אידיאולוגיה ולא בעבור כסף", אומר אילון אביב, שותף בקרן ההון סיכון קוליידר. "זה ככל הידוע האירוע היחיד בהיסטוריה של הקריפטו שבו פורצים לקחו מטבעות ולא שלשלו אותם לכיסם".

אביב מסביר שאחת הסיבות לכך היא שחלק הארי מההון שנעלם היה במטבעות USDT שמונפקים על ידי חברה בשם תת'ר (Tether), שמעניקה אחריות למטבעות שהיא מנפיקה. "זה אומר שתת'ר תוכל, ככל הנראה, לשפות משתמשים רגילים אבל להימנע מפיצוי של אנשי משמרות המהפכה. ייתכן שייבנה מנגנון כזה".

"נוביטקס מזוהה עם הציר השיעי. זוהו לא מעט העברות בין הבורסה הזו לבין ארנקי קריפטו של משמרות המהפכה, החמאס, החות'ים, וערוצי טלגרם כמו Gaza Now וערוצים שתומכים באל קעידא", אומר ניר הירשמן, מנכ"ל פורום חברות הקריפטו, הבלוקצ'יין וה־Web 3 בישראל. "קיים דיווח כבר מ־2022 ששני בכירים איראנים העבירו 100 אלף דולר לחשבונות שם".

עוד קודם לכן הפכה איראן לצרכנית כבדה של ביטקוין באמצעות הפעלת "מכרות" דיגיטליים - שרתי ענק שהוצבו במרכזים שונים במדינה על מנת לכרות מטבעות ביטקוין ובכך להתמודד עם הסנקציות המערביות שדיללו את יתרות המטבע הזר שברשותה, וביתר שאת לאחר יציאת טראמפ מהסכם הגרעין ב־2018.

משטר האייתוללות הכיר בכריית קריפטו כתעשייה והנהיג מדיניות רישוי מקלה לכורים המציעה חשמל זול תוך שימוש בעודפי הגז והנפט שלה. נוצרו גם שיתופי פעולה עם משקיעים סינים, שסייעו בהקמת חוות ביטקוין גדולות באזורי הסחר החופשי ובמחסנים מרוחקים. כך הכרייה הפכה לענף יצוא משגשג, דבר שייצר לה ולבכירי הממשל עודפים של מאות מיליוני דולרים במטבעות דיגיטליים. על פי הערכה, ב־2023 כ־100 אלף מתוך 180 אלף שרתי כריית הביטקוין באיראן השתייכו לגורמי מדינה או לחברי משמרות המהפכה.

אולם הענף המשגשג הפך לחרב פיפיות: כריית הביטקוין הפכה כה גדולה עד כי משאבי החשמל הופנו אליה על חשבון רשת החשמל הארצית - דבר שגרם להפסקות חשמל חוזרות ונשנות במדינה החל מ־2019. עם זאת, איראן צמצמה את כריית הביטקוין שלה בשנה האחרונה, ככל הנראה בשל אתגרי החשמל, לכדי 0.12% מכלל ייצור הביטקוין העולמי.

המלחמה גלשה לסייבר

ההתקפה על בורסת הקריפטו האיראנית לא נותרה ללא מענה. ביום חמישי האחרון הודיעה קבוצת ההאקרים הפרו־פלסטינית המזוהה עם איראן "הנדלה", שפגעה בחברת הקריפטו הישראלית "אגורה" (Agura), חברה אלמונית שהוקמה ב־2018 בידי היזמים רן דרור ואסף אזולאי, שמאפשרת לחברות או יחידים להנפיק מטבעות קריפטו משלהם או להקים בורסות קריפטו. למרות האיום של ההאקרים הידועים לשמצה, אומר סמוחה כי "לא נראה שיש פה נזק ממשי. הם לא הוכיחו כמה מטבעות הם גנבו. הם גם טוענים שהשתלטו על המערכת, אבל נראה שהיא כבר לא פעילה מספר שנים וכי היזמים פנו להקים חברות אחרות".

באופן שכזה, במקביל למלחמה הישירה בין ישראל לאיראן, מתייצבות זו מול זו שתי קבוצות האקרים - האחת, הדרור הטורף, מזוהה עם ישראל ובנות בריתה, והשנייה, הנדלה, מזוהה עם איראן.

מי היא קבוצת ההאקרים שמצליחה פעם אחר פעם לפגוע באיראן?

קבוצת ההאקרים "הדרור הטורף" (בפרסית: Gonjeshke Darande, באנגלית: Predatory Sparrow) הפכה בשנים האחרונות לאחת מקבוצות הסייבר הידועות ביותר במזרח התיכון. מאז הופעתה הפומבית הראשונה ביולי 2021, בצורת מתקפת סייבר על הרכבות באיראן, הקבוצה פועלת בעקביות נגד יעדים רגישים המזוהים עם המשטר האיראני, זאת תוך שילוב תקיפות טכנולוגיות עם הצהרות מתריסות. היא טוענת כי הינה גוף עצמאי הפועל ממניעים פוליטיים, אך רמת התחכום והסלקטיביות ביעדים, כמו גם הצלחת התקיפות, מעוררות הערכה רווחת כי מדובר בזרוע דיגיטלית סמויה של מדינה, כאשר ההערכות המרכזיות בתקשורת הזרה מכוונות לישראל.

רק בשבוע שעבר, לאחר פרוץ המלחמה עם איראן, ביצעה הקבוצה שתי תקיפות בקנה מידה חריג: ב־17 ביוני תקפה את בנק ספאה, אחד הבנקים הגדולים באיראן, המזוהה עם משמרות המהפכה. לפי הודעתה, הבנק שימש לעקיפת סנקציות בינלאומיות ולמימון פעולות טרור במזרח התיכון, כולל תוכנית הגרעין האיראנית. יום לאחר מכן, ב18 ביוני, הודיעו הדרור הטורף כי תקפו את בורסת הקריפטו המרכזית של איראן, Nobitex. מהבורסה נגנבו למעלה מ־90 מיליון דולר, והקבוצה טענה כי היא "שרפה" את הנכסים ולא עשתה בהם שימוש, זאת כהוכחה וכהצהרה על כך שהמניע הוא פוליטי ולא כלכלי.

לטענת הקבוצה, Nobitex היא "לב מנגנון העוקף את הסנקציות ומשמש למימון פעולות טרור גלובליות", והפריצה נועדה לחשוף את המבנה האמיתי של הפלטפורמה. הקבוצה אף פרסמה את קוד המקור של הבורסה והזהירה כי תחשוף עוד פרטים, זאת כמעין לוחמה פסיכולוגית מקבילה למתקפה עצמה.

מדובר בהמשך ישיר לדפוס פעולה שהחל כאמור בקיץ 2021. אז, תקפה הקבוצה את מערכת הרכבות באיראן, עצרה קווים והציגה בלוחות הדיגיטליים את מספר הטלפון של לשכת חמינאי. כעבור יממה נפגע גם אתר משרד התחבורה.

באוקטובר של אותה שנה תקפה הקבוצה את מערך תחנות הדלק המסובסדות באיראן, ולמעלה מ־4,000 תחנות שותקו. ביוני 2022 פרסמה תיעוד של פיצוץ במפעל פלדה בבעלות משמרות המהפכה, מהלך שהעיד לראשונה על יכולת השבתה פיזית של תשתיות תעשייתיות מרחוק. מאפיין נוסף של הקבוצה הוא השאיפה להשפיע על דעת הקהל האיראנית, לא רק באמצעות פגיעה במערכות אלא גם על ידי הפצת מידע שמערער את אמון הציבור במוסדות המדינה. למשל, לאחר תקיפת תחנות הדלק בסתיו 2023, היא עודדה אזרחים לפרסם תיעודים של התורים הארוכים והכאוס בתחנות, תוך קריאה לחשוף את מה שלטענתה "המנהיגים מנסים להסתיר מהעולם". הדרור הטורף פועלת גם במרחב הציבורי, זאת באמצעות שני חשבונות ברשת X (לשעבר טוויטר), עם כעשרת אלפים עוקבים בכל אחד מהם. היא מפרסמת שם  הודעות רשמיות מטעם הקבוצה, תיעודים ממתקפות, נימוקים אידיאולוגיים, ולעיתים גם איומים ישירים על יעדים עתידיים. בשונה מקבוצות האקרים מסורתיות, הדרור הטורף אינה דורשת כופר או רווח כלכלי, אלא פועלת תחת אתוס מוצהר של התנגדות למשטר ולמנגנוני דיכוי, מתוך מטרה "לשחרר את המידע ולפגוע במי שמנצל אותו לרעה".

גורמים אמריקאיים ציינו בעבר כי התקפות מסוימות, במיוחד זו של 2021, בוצעו ככל הנראה בתיאום עם ישראל. בישראל לא נמסרה עמדה רשמית, אך בקרב מומחים רווחת התחושה כי הקבוצה אינה פועלת לבדה, אלא כחלק מאסטרטגיה רחבה הכוללת תיאום בין סייבר, תודעה ומדיניות חוץ. המתקפות האחרונות על הבנקים ובורסת הקריפטו מאותתות על שינוי כיוון: מעבר מהשבתה זמנית של שירותים אזרחיים לפגיעה ישירה בכלי המימון של המשטר. הדרור הטורף מבהירה, גם דרך פעולות וגם במסרים, שמטרתה היא לפעול ככוח מתמשך בזירה הגלובלית, ולא כאירוע חד פעמי.                                                                                                                                                   מיטל וייזברג

לדברי מומחים, השבתת האינטרנט באיראן בשבוע האחרון פגעה ביכולות התקיפה של הנדלה - שהפכו לבלתי אפקטיביות. בערוץ הטלגרם של הנדלה, שנוסד חודשיים לאחר טבח ה־7 באוקטובר, פורסמו תקיפות רבות נגד ישראל, בהן מתקפת פישינג נגד אזרחים שנועדה לדוג פרטים אישיים ופיננסיים, השחתת אתרי אינטרנט ישראליים, תקיפת מערכות הרדאר של כיפת ברזל וגניבת מידע ממרכזי הפיתוח של HP בישראל. היא אף טענה שברשותה תמונות אישיות של בני גנץ וגבי אשכנזי.

ההזדהות עם האינטרסים האיראניים הודגשה שוב כשהקבוצה הוציאה מתקפות סייבר במקביל למתקפות הטילים האיראניים על ישראל בשנה שעברה ומאז פרוץ מבצע עם כלביא. עם זאת, אלה התבררו כמתקפות חלשות על ארגונים קטנים.

הבנק של המשטר הושבת

הדרור הטורף, מאידך, הפכה לקבוצה הפעילה בעיקר נגד משמרות המהפכה כבר מאז 2021 וביתר שאת מאז פתיחת מבצע עם כלביא. הקבוצה תקפה לפני מלחמת חרבות ברזל את מערך הרכבות האיראני, את מפעל הפלדה של משמרות המהפכה ולאחר פרוץ המלחמה השביתה 70% מתחנות הדלק באיראן.

בתחום הפיננסי, מלבד השמדת 90 מיליון הדולר שנמצאו בנוביטקס, הקבוצה השביתה את תשתיות הבנק ספ'א (Sepah) המזוהה עם משמרות המהפכה. השבתתו יוצרת עבור משמרות המהפכה בעיה נוספת: מערכת הקצאת הלחם במאפיות במסגרת מדיניות הצנע של איראן מאז פרוץ המלחמה נשלטת בידי מערכת התשלומים של הבנק, ומכיוון שזו לא עבדה - מיהרו הקונים למשוך כסף מזומן ולרוקן את מכשירי הכספומט. הבנק המרכזי עקף את החסימה באמצעות הקצאה לחשבונות בנק פרטיים אחרים. בעיה חמורה יותר עבור משמרות המהפכה כתוצאה מהשבתת הבנק, היא שתשלומי המשכורות לחיילי הארגון הוקפאו.