Баг на Robinhood позволял брать миллионные кредиты
Что может быть лучше для трейдера, чем за счет своих умений закрыть день в плюсе, например, на 20%? А что если те же самые сделки вместо 20% приносили бы вам 200%? А 2000%? Мобильное приложение Robinhood, специализирующееся на биржевой торговле акциями и криптовалютами, неумышленно предоставило трейдерам такую возможность. Пользователи Reddit обнаружили баг в коде платформы и окрестили его «чит-кодом на бесконечные деньги» — он позволял брать для покупки акций неограниченное количество кредитных средств. Такая маржинальная торговля принесла одним невиданную прибыль, а другим — неподъемные долги. Как именно трейдеры Robinhood использовали баг в коде? Как компания решила проблему? Какие последствия ждут тех, кто воспользовался багом, и может ли это рассматриваться как мошенничество? Все ответы — в материале DeCenter.
Ситуация
Robinhood — популярное биржевое приложение на смартфон, с помощью которого торгуют акциями, криптовалютами и финансовыми деривативами. Аудитория площадки — 6 млн человек, которые в одночасье получили возможность радикально изменить свое финансовое положение — либо стать сказочно богатыми, либо влезть в сказочные долги.
Суть в том, что в рамках платной подписки «Robinhood Gold» биржа предоставляет функции маржинальной торговли. Всего за $5 в месяц пользователи получают возможность тратить на спекуляции заемные средства. Потенциальная сумма кредита напрямую зависит от рейтинга аккаунта, а также от баланса на счету: чем он больше — тем больше денег можно занять (но сумма займа не может превышать сумму баланса). Например, если на вашем аккаунте $5000 и у вас безупречная репутация — вы можете купить акций на сумму до $10 000, половина из которых — кредит от Robinhood. Такая практика удобна как трейдерам, так и бирже. Пользователи получают шанс увеличить прибыль за счет больших объемов, а биржа может вернуть себе средства из активов заемщика даже в случае его неудачи.
Однако в последних числах октября трейдеры заметили необычный баг и поделились информацией о нем на Reddit. Он позволял воспользоваться гораздо большим кредитным плечом, чем положено. В частности, один из трейдеров поведал историю, как имея на балансе $2000, он купил 100 акций AMD на сумму около $3800. Однако когда он закрыл сделку и продал акции, то обнаружил, что теперь может занять в два раза больше, чем ранее. А затем — еще больше. Суммарно он увеличил размер кредитного плеча в 25 раз — до $50 000.
Посты на Reddit стали мгновенно собирать тысячи лайков и сотни комментариев, в результате чего появились целые инструкции по использованию ошибки системы. Ситуация стала достоянием общественности, и энтузиасты начали брать бесконечные кредиты в надежде увеличить свой профит.
Как именно работал баг
Чтобы воспользоваться уязвимостью в коде, не нужно было иметь даже минимальных знаний программирования. Более того, не надо было устанавливать никаких плагинов, пользоваться командной строкой или вводить команды в браузере. «Дыра» в системе была доступна всем подписчикам «Robinhood Gold» без какого-либо намека на вмешательство в программный код с их стороны. Биржа позволяла использовать лазейку открыто — прямо через стандартный интерфейс.
Схема простая. Чтобы активировать «бесконечный кредит» на Robinhood, достаточно было:
Используя заемные средства, купить акции, поддерживающие торги опционами. Например, акции AMD, Ford, GE и так далее.
Продать колл-опционы по этим акциям. Покупатель приобретает право на покупку акций в будущем, но по фиксированной сегодня цене. Формат сделки подразумевает, что продавец получит деньги за продажу опциона сейчас, а спустя указанное время — еще и за сами акции.
И все — можно было брать новый кредит — в 2 раза больше прошлого. Дело в том, что система Robinhood почему-то думала, что пользователь сразу же получает деньги не только за продажу опциона, но и за сами акции. Поэтому биржа ошибочно раздувала «кредитный лимит». Взяв займ на $4000, можно было провернуть трюк с колл-опционами и вскоре взять новый займ — уже на $8000, затем — на $16 000 и так далее.
Миллионы прибыли и убытков
Уникальные возможности, открывшиеся на Robinhood, не давали трейдерам покоя. Ведь чем большими суммами ты оперируешь, тем большую прибыль ты можешь получить. «Накликав» желаемый кредит, пользователи могли не только продавать колл-опционы, но и совершать другие операции с заемными средствами в надежде извлечь выгоду. Однако есть и другая сторона медали — помимо того, что можно больше заработать, можно и больше потерять.
По итогу особо увлекшихся игроков ждал один из двух сценариев:
Колоссальная прибыль. Например, один из ловкачей, имея на счету всего $4000, открывал позиции на $1.2 млн и извлекал из этого прибыль. Другой — на $1,7 млн, имея на счету даже меньше — $3000. Естественно, большинство оперировало более «скромными» суммами, но впечатляло это не меньше. Согласитесь, мало кто может себе позволить закрывать сделки на $314 000, имея на счету только $5000.
Неподъемные долги. Нет трейдеров, которые всегда играют в плюс, и те, кто использовал опцию «бесконечного кредита», не исключение. Для некоторых «чит-код» стал фатальным. Например, один из пользователей записал видео о том, как, имея $2000 на счету, он «накрутил» $50 000 и потерял их все. Купленные им акции Apple начали падать в цене, а дальше — дело техники. Или другой случай, когда человек с $15 000 на счету приумножил свой кредитный лимит до $1.3 млн, но по результатам торгов остался в минусе на $190 000.
Как Robinhood решила проблему
Когда информация о баге вышла за пределы Reddit и просочилась в СМИ, администрация Robinhood начала бить тревогу и немедленно взялась за решение проблемы:
Приостановила аккаунты, заподозренные в манипуляциях с ошибкой в коде.
Обновила площадку, устранив ошибку.
Увы, но баг просуществовал достаточно долго, чтобы проблему можно было решить так просто. С момента первого сообщения о «глюке» и до первой статьи в СМИ от Bloomberg прошло около недели. Поэтому трейдеры уже успели закрыть немало сделок, принесших золотые горы или колоссальные долги. Некоторые наверняка успели вывести средства. Более того, есть люди, которые имеют к багу не прямое, а косвенное отношение. Это ни в чем не повинные пользователи, которые покупали колл-опционы у трейдеров, использующих кредитные средства Robinhood. Фиктивные деньги разошлись по всей бирже и вышли за ее пределы.
Что будет с трейдерами?
Но что делать с этими новоиспеченными богачами и должниками? С одной стороны, виноваты те, кто намеренно использовал уязвимость кода. С другой, это администрация Robinhood допустила лазейку по своей оплошности — пользователи получали деньги, не применяя никаких запрещенных методов.
Виноваты обе стороны, но руководством биржи в отношении любителей наживы пока что никаких решений не принято. Наиболее вероятных сценариев для Robinhood три:
Аннулировать заработанные средства, а долги — оставить.
Оставить все как есть.
Аннулировать заработанные средства и списать долги.
Сложно представить, что биржа решится на первый вариант — это откровенно несправедливая и выигрышная для биржи позиция. Такое решение, несомненно, повлечет за собой внимание регуляторов, а трейдеры получат весомые основания для иска в суд. Один из участников Reddit уже подметил, что «Robinhood Markets Inc нарушает статью §220.122 Кодекса федеральных правил из-за своих неточных расчетов покупательной способности». Идти по этому сценарию — слишком высокий риск для биржи.
Во втором случае Robinhood позволит забрать куш счастливчикам. Это более справедливо: если оставлять долги, то и заработок тоже. Поэтому второй вариант выглядит уже более реалистично. Ловкачам придется нести ответственность за манипуляции и принятые решения. Для биржи это неплохой вариант, ведь он позволит сохранить финансовый баланс без убытков (если, конечно, трейдеры в конечном счете отдадут все долги). Согласно политике Robinhood, если у пользователя нет денег для возмещения долгов, это не освобождает его от обязательств по их выплате. Более того, профессор Джорджтаунского университета Дональд Ланжерорт считает, что клиентов биржи могут еще и призвать к ответственности по статье за мошенничество с ценными бумагами, так как те намеренно использовали лазейку в системе.
Однако наиболее вероятным видится все же третий вариант — аннулировать заработанное и списать долги. Во-первых, биржа не зря приостановила все аккаунты, значит, все же собирается с ними что-то делать. Во-вторых, это адекватно, ведь был использован некорректный способ кредитования, а значит, все заработки и долги тоже являются некорректными. По предварительным подсчетам, биржа в таком случае останется в минусе на $100 000, потому что к трейдерам, которые не знали об уязвимости и заработали на «должниках», никакие санкции применяться не будут.
Мнение о том, что за дыру в системе должна нести ответственность именно Robinhood, достаточно популярно, причем не только со стороны различных аналитиков (например, на CNBC между экспертами прошло несколько дискуссий на эту тему). Оплошность биржи привлекла внимание крупнейших регуляторов — SEC и FINRA, которые занялись расследованием дела и могут серьезно оштрафовать Robinhood за финансовую безответственность.
К слову, это уже не первая оплошность у Robinhood. В декабре прошлого года площадка привлекла внимание регуляторов, когда запустила программу по депозитам со ставкой в 3% и заявила, что вклады защищаются Вашингтонской Корпорацией по защите прав инвесторов в ценные бумаги. Однако та незамедлительно отреагировала, сказав, что никаких гарантий Robinhood не давала. Затем последовали разбирательства, в результате которых Robinhood снизила процентную ставку почти в 2 раза — до 1.8%. В свете этих событий сегодня биржа находится под бдительным присмотром регуляторов.
А как считаете вы, кто больше виноват в этой ситуации и кто должен понести ответственность за все убытки? Биржа Robinhood или ее предприимчивые пользователи?