Длинная история Mt.Gox

Длинная история Mt.Gox

Mt.Gox — одна из старейших биткоин-бирж. Именно она стала символом и культовым явлением начала крипто-эпохи. Сейчас сайт Mt.Gox — неприглядный с точки зрения пользовательского интерфейса набор пресс-релизов, отчетов и сообщений. Но так было не всегда.

Mt.Gox

Зарождение

Домен mtgox.com был зарегистрирован в 2007 году Джедом МакКалебом — создателем файлообменных сетей eDonkey2000 и Overnet1, а в крипто-эре он больше известен как сооснователь Ripple и Stellar. Изначально сайт должен был стать площадкой для торговли карточками из популярной игры «Magic: The Gathering» — отсюда и название: Magic The Gathering Online eXchange. Live-версия сервиса была запущена в конце 2007 года и просуществовала в таком виде примерно 3 месяца. Однако затем МакКалеб потерял интерес к проекту и в 2009 использовал этот же сайт для рекламы своей карточной игры The Far Wilds.

В интервью 2013 года МакКалеб рассказал, как скитающийся сайт превратился в криптобиржу, которая была запущена 18 июля 2010: «Я впервые прочитал о биткоине в статье на Slashdot и подумал, что это классная идея. Меня всегда интересовали вещи, с помощью которых интернет может сделать жизнь людей более свободной… В то время не существовало удобного способа покупать и продавать биткоины, а я хотел [их] купить. И так, в качестве побочного проекта, я сделал Mt.Gox и купил на ней свои первые биткоины».

Уже в 2011 году МакКалеб продал биржу японской компании Tibanne, CEO которой являлся Марк Карпелес. Карпелес переписал бэкэнд сайта, и вскоре Mt.Gox превратился в самую популярную биткоин-биржу.

Кто такой Марк Карпелес? Инсайды

Когда цена биткоина взлетела с $13 в начале 2013 до более $1200, Карпелес, как крупнейший акционер Mt.Gox, обогатился. Давая интервью Reuters в апреле 2013, он был крупнейшим игроком биткоин-индустрии. Mt.Gox не предлагала акции компании сотрудникам, и к моменту последней хакерской атаки компания имела в запасе 100,000 биткоинов (около $50 миллионов на тот момент). Карпелесу принадлежало 88% акций, а МакКалебу — 12%, что стало известно после утечки бизнес-плана.

На заре Bitcoin Foundation Карпелес вложил в него 5000 биткоинов и стал одним из учредителей фонда, наряду с Гэвином Андресеном, Питером Весснесом, Роджером Вером, Чарльзом Шремом и Патриком Мерком (23 февраля 2014 года он покинул совет директоров — в разгар падения Mt.Gox).

На вопрос о причине продажи Mt.Gox МакКалеб ответил: «Mt.Gox — классный [проект] и должен существовать, но с технической стороны он не интересен, и мне не интересно управлять им в долгосрочной перспективе». Однако схожий облик создался в прессе и у покупателя Mt.Gox — Марка Карпелеса.

Wired сделали Карпелеса олицетворением «первой волны» крипто-придпринимателей, написав, что «в течение первых нескольких лет биткоин в основном управлялся гиками с маленьким опытом в сфере финансов» и назвав Карпелеса «самым выдающимся примером». Ссылаясь на инсайдеров, издание отмечало, что Карпелес «был больше программистом, нежели CEO, и все же иногда отвлекался даже от своих технических обязанностей, когда они были больше всего нужны».

О таком примере подробно рассказал Джесси Пауэлл, CEO Kraken, который совместно с Роджером Вером помогал Mt.Gox справиться с последствиями первой атаки в 2011 году. По его словам, Карпелес в те напряженные дни был странно равнодушен. Пауэлл специально прилетел в Токио из Сан-Франциско и всю неделю они с Вером, Карпелесом, другими сотрудниками, а также просто с биткоин-энтузиастами занимались восстановлением работы биржи. Они отвечали на запросы в техподдержке, фиксили сайт и — поскольку через пару дней он все еще был оффлайн — они намеревались работать все выходные. Однако, когда они пришли в офис, выяснилось, что Карпелес решил взять отгул. «Я думал, что это полное сумасшествие и совершенно деморализующе для всей команды», — вспоминает Пауэлл. В понедельник Карпелес вернулся к работе, но провел день за наполнением конвертов. «Я думал: “Чувак, почему ты это делаешь? Это можно сделать в любое время. Сайт оффлайн. Ты должен вывести его в онлайн”», — рассказывает Пауэлл. Кстати, именно он был назначен доверенным лицом после объявления банкротства биржи, и в 2015 Kraken начал принимать заявки на возмещение убытков от кредиторов Mt.Gox, а также объявил о предоставлении пользователям Mt.Gox до $1 миллиона для торгов в качестве бонуса.

Пауэлл встречался с Карпелесом в январе 2014 года, до того как стало известно о последней атаке. Они обедали в Токио, и, как вспоминает Пауэлл, Карпелес казалcя совершенно не обеспокоенным будущим Mt.Gox — он был увлечен новым проектом Bitcoin Cafe. Это должно было быть стильное место в духе французского бистро, располагающееся в Токио, в том же здании что и офисы Mt.Gox (по происхождению Карпелес — француз). Конечно, для оплаты там должны были использоваться биткоины — по словам инсайдера, Карпелес был «очень горд, что сможет использовать [для принятия биткоинов] кассовый аппарат, взломанный с помощью кода, который сам написал». Тот же человек сообщал, что на кафе Mt.Gox потратила $1 миллион в биткоинах и якобы именно этот проект отвлекал Карпелеса от управления биржей в самый критический момент. Кафе должно было открыться в конце 2013 года, но этого так и не произошло. «Возможно, для них это был свет в очень темном мире, [где нужно] целыми днями вести дела с банками и [отвечать на] клиентские жалобы. Я уверен, что Марк был в сильном стрессе долгое время и, возможно, Bitcoin Cafe было проектом для развлечения», — говорит Пауэлл.

«Помимо кафе он любил проводить время, фикся сервера, настраивая сети и устанавливая гаджеты... возможно, стараясь отвлечься от реальных проблем, с которыми столкнулась компания», — отметил собеседник Wired. Также знакомые с Карпелесом вспоминали, что он мог запросто бросить дела, чтобы заказать телевизор с плоским экраном или ланчи для персонала биржи на $400. «Марку нравилась идея быть CEO, но повседневная реальность утомляла его… Ему нравится, когда его восхваляют, и ему нравится, когда его называют королем биткоина. Он всегда говорит о том, что он член Mensa (организация для людей с высоким IQ. — DeCenter) и имеет IQ выше среднего», — рассказали анонимные инсайдеры.

Многие говорили, что, зная Mt.Gox изнутри, предвидели катастрофу. Разработчик из Токио, пришедший на деловую встречу в офис Mt.Gox в 2013 году, отметил, что у компании не было системы управления версиями — стандартного инструмента в любой профессиональной разработке. Без него любой сотрудник может случайно переписать или стереть код другого, если они работают над одним файлом. Тот же разработчик отметил, что крупнейшая биржа только в 2014 ввела тестовую среду, что означает, что ранее изменения ПО, не прошедшие тестирование, попадали напрямую к пользователям. А одобрить изменения мог только Карпелес. И потому некоторые из них, типа устранения багов (и даже уязвимостей в безопасности), могли дожидаться внимания Карпелеса неделями. «Исходный код был в полном беспорядке», — сказал еще один инсайдер.

Первая атака

19 июня 2011 года Mt.Gox была взломана, хакерам удалось украсть более $8.5 миллиона, и биржа вышла в оффлайн на несколько дней.

Предположительно, хакер смог получить доступ к бирже через скомпрометированный компьютер аудитора Mt.Gox. Он искусственно снизил цену биткоина на бирже до 1 цента и перевел монеты на собственный адрес, а затем продал. Кроме того, около 650 биткоинов были приобретены по этой заниженной цене обычными пользователями.

В этот раз сервису удалось справиться с кризисом и даже вернуть пользовательские средства.

Вторая атака и банкротство

К началу 2014 года Mt.Gox был крупнейшей площадкой для торговли биткоинами и отвечал за 70% всех биткоин-транзакций. К концу февраля того же года биржа была банкротом. В результате атаки Mt.Gox потеряла более 740,000 биткоинов пользователей и 100,000 биткоинов из собственных средств, что на тот момент составляло 7% совокупной эмиссии и равнялось примерно $546 миллионам. В официальном заявлении компания сообщила, что «с высокой долей вероятности биткоины были украдены». Однако все случилось не в один день.

7 февраля Mt.Gox остановила выводы биткоинов, объяснив это стремлением «получить ясную техническую картину валютных процессов». В пресс-релизе, вышедшем спустя несколько дней, Mt.Gox сообщила, что баг в ПО биткоина позволял изменять детали транзакций, заставляя систему думать, что биткоины так и не были отправлены, то есть осуществлять двойное расходование. Mt.Gox заявила, что занимается устранением этой уязвимости совместно с разработчиками Bitcoin Core. Биржа продолжала сообщать о предпринимаемых шагах для нормализации работы и о «скором возобновлении выводов». К середине февраля некоторые пользователи биржи заявляли, что задержки в выводе средств составляют более трех месяцев. «Прославился» в то время и протестующий Колин Бургес: он дежурил у токийского офиса Mt.Gox с плакатом «Mt.Gox Where Is Our Money». Вскоре появились сообщения, что компания покинула здание.

24 февраля биржа остановила торги, и ее сайт ушел в оффлайн. Хотя появлялись сообщения, что транзакции приостановлены временно, 28 февраля компания объявила о банкротстве, подав на защиту от банкротства сначала в Японии, а через две недели — в США. «В нашей системе были слабости, и наши биткоины исчезли. Мы создали проблемы и неудобства для многих людей и мне очень жаль, что это случилось», — сказал Карпелес на пресс-конференции, устроенной в Токио для объявления банкротства. К тому моменту пользователи уже подали коллективные иски против биржи в окружные суды Чикаго и Иллинойса, подозревая ее в мошенничестве, и защита от кредиторов, предоставляемая согласно закону о банкротстве, помогла бирже отсрочить судебные разбирательства.

За это время бирже удалось снизить свою задолженность с 850,000 до 650,000 биткоинов: 20 марта 2014 года Mt.Gox сообщила об обнаружении 199,999.99 биткоина (около $116 миллионов на тот момент) в старом кошельке, который использовался биржей до июня 2011. Однако в апреле Mt.Gox отказалась от плана гражданской реабилитации и подала в токийский суд прошение о ликвидации. Некоторые пользователи при этом были убеждены, что руководство скрывает часть средств, чтобы не возмещать их, а другие, напротив, считали, что Mt.Gox никогда не владела таким количеством биткоинов, о котором публично заявляла. Они предполагали, что Карпелес сфабриковал цифры, чтобы «придать вес» Mt.Gox.

В августе 2015 года Карпелес был арестован в Японии: ему предъявили обвинение в мошенничестве, незаконном присвоении средств и манипулировании компьютерной системой биржи для искусственного увеличения баланса аккаунтов. После допроса его обвинили в присвоении 315 миллионов иен ($2.6 миллиона) в биткоинах, принадлежавших пользователям и хранившихся на бирже в виде депозитов. По данным следствия, он перевел эти деньги на свой аккаунт примерно за 6 месяцев до февральских событий. Карпелес провел в заключении почти год, после чего вышел под залог в $100,000 в июле 2016.

К маю 2016 кредиторы Mt.Gox требовали возмещения $2.4 триллиона, однако попечитель биржи Нобуаки Кобаяши заявил, что долг биржи составляет лишь $91 миллион.

Ход атаки

Еще в конце февраля 2014 года из попавшего в сеть кризисного плана Mt.Gox стало известно, что атака «оставалась незамеченной в течение нескольких лет». А исследование, опубликованное компанией по безопасности WizSec в апреле 2015, показало, что атака осуществлялась с сентября 2011, когда были украдены приватные ключи от горячих кошельков Mt.Gox (они были просто скопированы из файла wallet.dat). Таким образом хакеры не только получили доступ к существующим депозитам, но и могли тратить поступающие на скомпрометированные адреса биткоины. В этом же отчете всплывает имя Александра Винника — технического эксперта биржи BTC-e (как он сам себя называет), который разыскивался Министерством юстиции США и был арестован в Греции в июле прошлого года.

В этой долгоиграющей краже были небольшие перерывы, и вторая крупная фаза скрытых ограблений выпала на 2012−2013 годы, так что к середине 2013 с Mt.Gox было выведено около 630,000 биткоинов. Из-за бага в системе Mt.Gox полностью по своей вине потеряла еще порядка 40,000 биткоинов, поскольку настройки wallet.dat позволяли повторное использование адресов и система ошибочно воспринимала некоторые из осуществляемых хакером переводов как депозиты, ссужая некоторые аккаунты крупными суммами. Поступившие на адреса Винника средства переводились на биржу BTC-e и продавались или отмывались. По данным отчета WizSec, около 300,000 из украденных биткоинов прошли через BTC-e (на данный момент биржа закрыта, а ее домен арестован ФБР). Через те же скомпрометированные адреса отмывались и другие украденные монеты — в том числе с бирж Bitcoinica и Bitfloor. А по некоторым предположениям, Mt.Gox не досчиталась 80,000 биткоинов еще до того, как ее приобрел Карпелес.

Незадолго до

Серьезные проблемы внутри Mt.Gox начались еще осенью 2013. Федеральные агенты арестовали $5 миллионов на банковском счете компании, потому что Mt.Gox не была зарегистрирована как платежная организация. Тогда же, в 2013, иск против Mt.Gox на $75 миллионов подал ее бывший бизнес-партнер — CoinLab — из-за несоблюдения условий сделки, по которым к CoinLab должны были перейти американские клиенты биржи.

Уже в конце 2013 пользователи отмечали задержки в выводе на несколько месцев, и Mt.Gox переместилась с 1 на 3 место по объему торгов.

Наши дни

В марте курс биткоина пошатнулся, упав за месяц практически в 2 раза. В числе причин называли «распродажу» биткоинов, устроенную попечителем биржи Кобаяши. Из отчета, направленного в окружной суд Токио 7 марта, стало известно, что за три месяца он продал биткоины на сумму $400 миллионов. Однако сам Кобаяши отрицал, что спровоцировал падение биткоина. «После консультации с крипто-экспертами я продал биткоины и биткоин кэш, но не в ходе обычных биржевых торгов, а так, чтобы избежать влияния на рыночную цену, при этом максимально убедившись в безопасности транзакции… Пожалуйста, не ищите связь между продажей биткоинов и биткоин кэша и их рыночной ценой, основываясь на предположении, что они были проданы в тот же момент, что и переведены с адресов под моим управлением — это предположение неверно», — написал Кобаяши в отчете для кредиторов, опубликованном на сайте биржи 17 марта. Тогда же, в марте, сообщалось, что у Mt.Gox стало достаточно активов для возмещения пользователям более $1.4 миллиарда.

22 июня Окружной суд Токио удовлетворил петицию кредиторов, поданную в ноябре 2017, и постановил начать процесс гражданской реабилитации Mt.Gox. В своем твиттере Карпелес написал, что «завален e-mail'ами о гражданской реабилитации Mt.Gox» и пообещал просмотреть их все, предупредив, что это займет какое-то время.

Кобаяши должен отчитаться о состоянии активов Mt.Gox на встрече кредиторов, которая состоится 26 сентября в Токио. Все пользователи, претендующие на возмещение убытков, должны подать соответствующую заявку с предоставлением доказательств на законное владение требуемыми средствами до 22 октября.

В августе, в официальном пресс-релизе биржа сообщила, что подать заявку можно на сайте Mt.Gox, с помощью специально разработанного инструмента, или по электронной почте. Кобаяши должен предоставить суду план реабилитации и возмещения пользовательских средств к 14 февраля 2019 года.

Таким образом, дело Mt.Gox не окончено, равно как и множество исков к самому Карпелесу.

Подписаться
на DeCenter в Telegram