Бесконечная история: обрушат ли цену биткоина выплаты инвесторам Mt. Gox?

Уже в конце октября администратор по процедуре банкротства Нобуаки Кобаяши начнет рассматривать заявки на возмещение убытков кредиторов биткоин-биржи Mt. Gox. К 14 февраля следующего года он должен предоставить суду план реабилитации и возмещения средств.


Ожидается, что именно после этой даты пользователи начнут получать долгожданные компенсации, в рамках которой Mt. Gox предположительно распределит между инвесторами около 160 000 биткоинов. Это достаточно внушительная сумма (около $1 млрд по текущему курсу), и как уже предупредил бывший инвестор биржи и глава исследовательской группы WizSec Ким Нильссон, поток выплат в рамках программы гражданской реабилитации может полностью обрушить рынок.

Тем не менее появление такого крупного количества биткоинов, даже если инвесторы не бросятся массово их распродавать, а будут это делать частями, действительно может оказать колоссальное давление на рынок и привести к снижению цены первой криптовалюты.

Таким образом, Mt. Gox, некогда наиболее крупная и влиятельная биткоин-биржа в мире продолжает играть важную роль в сегодняшней повестке дня всей индустрии. В этой связи ForkLog предлагает вспомнить хронологию ее создания и краха, а также попытаться сделать некоторые выводы из этой истории, где хитрым образом переплелись криминальные сюжеты, теории заговора, а также банальная халатность и авантюризм главного действующего лица Марка Карпелеса.

Как все начиналось

Сайт mtgox.com был зарегистрирован еще в 2007 году, и его первоначальным владельцем был небезызвестный американский разработчик и предприниматель Джед Маккалеб, позже ставший создателем проектов Ripple и Stellar. Примечательно, что изначально сайт создавался с целью запуска торговой платформы для карточек фэнтези-игры Magic: The Gathering, и именно поэтому и было выбрано такое название — Mt. Gox означало Magic The Gathering Online eXchange.

В 2010 году Маккалеб оказался заражен «вирусом» биткоина, и уже в июле того же года сайт трансформировался в биржу, пользователи которой могли выставлять ордера на покупку и продажу криптовалюты, вносить депозиты и выводить средства. К началу 2011 года Mt. Gox стала по-настоящему популярной: суточный оборот биржи исчислялся десятками тысяч долларов, что на то время, учитывая низкую цену биткоина, было весьма впечатляющим показателем.

Проект занимал у Маккалеба практически все время, а сама биржа уже стала объектом внимания хакеров, и в марте 2011 года он продал сайт компании Tibanne. Владельцем этой компании был французский предприниматель и разработчик Марку Карпелесу, который ранее выбрал своим местом жительства Сделка оказалась для него весьма выгодной — по ее условиям Карпелес фактически бесплатно получал 88% доли в компании, выплачивая Маккалебу 50% доходов биржи в первые шесть месяцев после покупки.

Вероятно, история исключительной халатности, которая сопровождала Mt. Gox всю историю существования биржи, началась уже тогда. Помимо необычайно благоприятных для него условий самой сделки, Карпелес, например, совершенно проигнорировал тот факт, что на балансах компании уже на тот момент предположительно не хватало 80 000 BTC. Весьма любопытно звучали некоторые части договора о приобретении Mt. Gox, под которым стояла его подпись.

«Продавец не может с достоверностью сказать, отвечает ли mtgox.com каким-либо применимым регуляторным требованиям на федеральном уровне или на уровне штата или законодательству какой-либо страны… Покупатель соглашается обеспечить Продавцу защиту от любого судебного преследования в отношении Покупателя или Продавца касательно mtgox.com или чего-либо иного, приобретаемого по условиям данного соглашения».
Нажмите, чтобы раскрыть...
Первые серьезные проблемы

Через несколько месяцев после того, как Карпелес стал владельцем Mt. Gox, биржа начала испытывать первые неприятности. 13 июня 2011 года биржа сообщила о взломе, в результате которого с 478 аккаунтов было похищено 25 000 BTC (около $400 000 по курсу на тот момент). Еще через четыре дня, 17 июня, на Pastebin была выложена база данных пользователей биржи, однако компания никак не отреагировала на этот инцидент.

18 июня Карпелес заявил о новых выявленных случаях взлома аккаунтов, а 19 июня в 17:15:36 UTC на Mt. Gox началась подлинная драма — один из пользователей выставил ордеры на продажу нескольких сотен тысяч биткоинов. Это неизбежно привело к краху курса криптовалюты на бирже: в течение получаса он обрушился с $17 до $0.01. Самая крупная зафиксированная сделка по продаже 261383.7630 BTC по $0.01 была выполнена в 17:51:16 UTC — для понимания масштабов случившегося можно отметить, что эта сумма составляла порядка 4% от находившихся в то время в обращении 6,5 млн биткоинов.

Вскоре новость о случившемся стала распространяться, и в течение ближайшего получаса на Mt. Gox и других биржах наблюдалась огромная волатильность: курс «прыгал» от $1 до $20. К тому времени Карпелес, наконец, «проснулся» и приступил к расследованию случившегося. В итоге он пришел к заключению, что хакер скомпрометировал старый административный аккаунт Маккалеба, и остановил работу биржи.

В этот же день на одном из интернет-форумов был выложен полный список пользователей Mt. Gox, их адреса электронной почты и хеши паролей. В общей сложности список содержал данные 61 016 аккаунтов с балансами на более чем $8,75 млн. При этом многие из паролей представляли собой простые незащищенные MD5-хеши, которые можно было взломать обычным брутфорсом.

События на Mt. Gox отразились и на других биржах — некоторые из них в целях предосторожности также остановили работу. В 21:00 UTC Mt. Gox официально подтвердила взлом биржи, а также пообещала, что все мошеннические транзакции будут “откручены” назад и средства будут снова зачислены на аккаунты пострадавших пользователей. Еще через некоторое время последовало сообщение, что масштабы ущерба оказались не столь велики — в общей сложности было похищено около 2000 BTC (около $30 000 на то время).

21 июня Mt. Gox начала принимать от пользователей заявки на восстановление аккаунтов, обрабатывая их вручную. Для этого использовался целый арсенал мер, включая предоставление старого и новых паролей и верификацию почтового адреса. В отдельных случаях биржа просила указать последний известный пользователю баланс на бирже и предоставить копии подтверждающих личность документов.

23 июня, желая продемонстрировать пользователям, что Mt. Gox по-прежнему контролирует биткоины, Марк Карпелес осуществил транзакцию в размере 424242.42424242 BTC, переведя эти средства с холодного хранилища на адрес биржи. А уже 26 июня, через неделю после взлома, Mt. Gox возобновила работу. Мошеннические транзакции были действительно откручены назад за счет собственных средств компании. Хеши паролей были защищены при помощи SHA-512, дополнительную безопасность должен был обеспечить еще один уровень верификации пользователей. Курс биткоина стабилизировался в районе $16.50, никто не пытался больше продать или вывести крупные суммы. Казалось, теперь все будет хорошо.

Лишь внешний блеск

После того как Mt. Gox справилась с первым серьезным вызовом, работа биржи на какое-то время стабилизировалась. Более того, к 2013 году она фактически стала крупнейшим игроком на рынке, обрабатывая более 70% всех биткоин-транзакций. Не менее важной фигурой стал и сам Марк Карпелес — француз раздавал многочисленные интервью ведущим СМИ, а также вошел в состав учредителей Bitcoin Foundation. Расширился и офис Mt. Gox в фешенебельном токийском квартале Шибуя.

Тем не менее, несмотря на внешний успех и благополучие, компания испытывала серьезные проблемы технологического и юридического характера. Так, вскоре после банкротства Mt. Gox ее бывшие сотрудники в интервью Wired заявили, что биржа не использовала никаких систем контроля на основе программных средств. Фактически это означало, что один сотрудник мог случайно изменить код, написанный другим сотрудником, но ни истории изменений, ни надежного механизма возврата к рабочей версии попросту не было.

Также выяснилось, что Карпелес был единственным, кто мог одобрить изменения в исходном коде сайта, из-за чего устранение багов и проблем с безопасностью могло занять несколько дней, а иногда и недель. Тестовая среда для контроля качества была внедрена только весной 2013 года, почти через два года после того, как Карпелес приобрел биржу.

Более того, Mt. Gox не имела ни системы финансового учета, ни механизмов выверки офлайн-балансов для управления резервами, онлайн-балансов для ликвидности и балансов наличных средств, необходимых для ежедневной работы биржи. Отчетность также осложняло параноидальное желание Карпелеса хранить большую часть биткоинов в холодном хранилище. Как считал глава Mt. Gox, после инцидента 2011 года это должно было стать надежной мерой против хакеров.

Не избежала Mt. Gox и судебных исков. В мае 2013 года американская компания Coinlab выдвинула против нее иск на $75 млн, обвинив биржу в нарушении условий договора, по которому Coinlab должна была начать обслуживать североамериканских клиентов Mt. Gox.

Еще более удивительно то, что в условиях ужесточения финансового контроля после кризиса 2008 года и событий 11 сентября 2011, Карпелес почему-то совершенно не обеспокоился получением каких-либо лицензий со стороны американских властей. И это при том, что значительная часть пользователей биржи была именно из США.

В результате в том же мае 2013 Министерство национальной безопасности США (DHS) выдало ордер на арест средств на аккаунте