Никто не помнит первого взлома Mt. Gox. Это была небольшая сумма, даже по меркам 2011 года, и биржа возместила убытки всем пользователям.
Однако этот инцидент должен был стать значимым, поскольку он положил начало целой серии атак на другие биткоин-платформы, которые начались уже на следующий день. К тому времени, когда пыль улеглась шесть недель спустя, произошло четыре отдельных кражи, в результате которых было потеряно более 178'000 BTC.
История Биткоина, часть 15: Рождение Silk Road
Первый взлом биткоин-биржи
Лето 2011 года было лучшим временем для интернета. Твиттер еще был хорош, деплатформинг еще не стал реальностью, а свобода слова воспринималась как должное. Тогда можно было говорить что хочешь, как хочешь и кому хочешь, а если человеку это не нравилось, он мог выключить компьютер и пойти погулять на улицу, что решало проблему.
Однако в середине 2011 года любой здравомыслящий человек никуда не ходил, потому что всё, что имело значение, происходило в Интернете и было захватывающим.
Для любителей незаконного, мятежного и инновационного июнь 2011 года может стать самым идеальным месяцем в Интернете. Он начался с того, что 1 июня Gawker (американский интернет-таблоид) трубил о Silk Road, а кульминацией стало то, что 25 июня хакерская группа LulzSec опубликовала свой последний дамп данных, содержащий миллионы паролей и конфиденциальных данных десятков корпораций.
Среди всего этого хаоса было два примечательных биткоин-взлома, которые не были делом рук LulzSec. Первый, 19 июня, стал первым взломом биржи в истории биткоина, а второй произошел днем позже как прямой результат этого взлома.
Mt. Gox получает Goxxed
До того, как Mt. Gox стала синонимом неудачи, породив глагол, описывающий действие, связанное с перекредитованием, это была успешная биржа, которая находилась в центре всего, что происходило с биткоином. Однако первый взлом произошел чуть больше года спустя после того, как она стала биткоин-биржей, и всего через три месяца после того, как Марк Карпелес возглавил ее.
Инцидент произошел в результате смены владельца, что дало право бывшему владельцу на долю дохода, а администратору — на доступ к аудиту своих доходов.
Goxxed — это сленговое выражение, уничижительный термин, появившийся в сообществе биткоин-энтузиастов, отсылающий к Mt. Gox.
19 июня кто-то взломал учетную запись администратора и сгенерировал огромное количество BTC в книге заявок Gox. Это привело к тому, что цена BTC упала с доллара до цента. Затем хакеры купили подешевевшие BTC на свои собственные счета и вывели полученную по дешевке прибыль.
Они были не единственными, кто получил прибыль от флэш-продажи BTC: другие пользователи Mt. Gox тоже воспользовались этой возможностью.
«Я Кевин, вот мой рассказ»
Рассказывая о том, как он нажился на этом «казусе», пользователь Bitcointalk «toasty» написал 20 июня 2011 года:
Я Кевин, и я тот парень, который вчера купил 259 684 BTC менее чем за $3000. Я действительно хотел сохранить это в тайне, но я больше не чувствую, что могу. Вот моя версия произошедшего.
Я, как и многие из вас, наблюдал, как гигантский ордер на продажу сжигает все заявки. Mt. Gox не исполняет сделки очень быстро, поэтому мы наблюдали, как этот огромный ордер медленно пожирает все заявки на покупку, имеющиеся в наличии. Цена началась с отметки около $17,50, а через несколько минут опустилась ниже $10. В этот момент я понял, что это не просто крупный продавец, готовый на некоторые потери. Это была попытка обвалить рынок, продав сразу огромный процент от общего количества биткоинов на рынке.
Несмотря на то, что биржа в то время «работала медленнее патоки», toasty в конце концов «разместил ордер на покупку, сумев купить столько биткоинов, сколько мог по цене $0.0101». Сайт на некоторое время перестал отвечать на запросы, вероятно, из-за того, что многие люди нажимали F5, чтобы посмотреть, что происходит.
Когда я снова зашел, то увидел в своем аккаунте: 06/19/11 17:51 Куплено BTC 259 684.77 по $0.0101.
Я только что купил более 250 000 BTC за $2613. По торгуемой цене непосредственно перед этим крупным ордером на продажу эта сумма стоила бы почти $5 миллионов. После того как я восстановил дыхание, я попытался понять, что делать.
Два страйка за два дня
Несмотря на установленные ограничения на вывод средств, и toasty, и настоящий хакер смогли вывести значительное количество монет — только toasty удалось слинять с 643 BTC. После этого на форуме Bitcointalk развернулась бурная дискуссия о том, кто виноват в краже и имеет ли toasty право на свои выкупленные биткоины. Стоимость 2643 BTC, потерянных в результате взлома Mt. Gox, оценивалась в $47'000, и биржа полностью возместила убытки пользователям, потерявшим средства в результате инцидента. Однако она была бессильна предотвратить второй взлом, который произошел в течение 24 часов после первого.
20 июня 2011 года, когда toasty признавался в своей беспринципной торговле и размышлял, что делать со своими богатствами, биткоин-сообщество потряс второй удар. Пользователи сервиса кошельков MyBitcoin[.]com сообщили, что их счета были взломаны, а BTC украдены. Быстро выяснилось, что в ходе взлома был получен доступ к базе данных Mt. Gox и что идентичные пароли и имена использовались юзерами и на MyBitcoin.
Псевдонимный оператор MyBitcoin признал: «Мы пришли к выводу, что примерно у 1% пользователей из-за утечки файла паролей Mt. Gox были украдены их биткоины на MyBitcoin». В общей сложности было украдено 4019 BTC на сумму $72'000, при этом MyBitcoin покрыл эти убытки.
Лето лулзов
Июнь 2011 года был бурным месяцем, когда мир начал осознавать потенциал биткоина. Этот период сопровождался чередой взломов, организованных LulzSec, и жёстким троллингом со стороны правоохранительных органов.
В течение следующего месяца в этих двух взаимосвязанных мирах (LulzSec принимали пожертвования в биткоинах и были так же увлечены этой криптовалютой, как и многие другие пользователи) происходили новые события:
- 18 июля группа Anonymous, связанная с LulzSec, активизировалась и взломала сайт британской газеты The Sun. Они разместили на нём фальшивую историю о том, что владелец газеты Руперт Мердок якобы скончался после употребления палладия.
- 26 июля польская биржа Bitomat столкнулась с серьёзной проблемой: был утерян файл кошелька, содержащий 17'000 BTC. Три дня спустя был взломан Mybitcoin — сервис кошельков, который уже подвергался атаке в июне, и злоумышленники украли 154'406 BTC, из которых только половина была возвращена. Чтобы компенсировать потери в 17'000 BTC, Bitomat был выставлен на продажу.
- В августе 2011 года нашелся покупатель — Марк Карпелес, генеральный директор Mt. Gox. Он согласился покрыть долг и пригласил пользователей Bitomat на свою биржу в Токио. Этот шаг был предпринят отчасти для того, чтобы восстановить веру в ещё не окрепшую экосистему Биткоина.
Последующие взломы, связанные с Mt. Gox, будут более масштабными и тяжёлыми для её генерального директора, но до этого были ещё годы.
