Останні кілька тижнів капітально струснули ринок біткоіни і привернули увагу до криптовалюта навіть тих, хто нею не користується і навіть особливо не цікавиться. Біржа MtGox - колись найбільша в Мережі майданчик для обміну біткоіни - закрилася, судячи з усього, назавжди, так і не давши користувачам отримати свої гроші. Таким чином, в тривала майже місяць історії, що почалася з раптового припинення виведення коштів «через технічні неполадки», була поставлена жирна крапка без будь-яких натяків на хепі-енд.
Оскільки клієнти MtGox не мали технічної можливості конвертувати свої кошти в реальні гроші, всесвітньо відома біржа виявилася ізольована від всієї біткоіни-екосистеми. Це призвело до того, що спершу внутрішній курс майданчики сповз до позначки $ 100 за монету, а після торги припинилися зовсім. В останній день лютого керівництво оголосило про банкрутство біржі.
Динаміка зміни курсу BTC на біржі MtGox в останні дні перед закриттям
В рамках наших прогнозів на 2014 рік ми заявляли про те, що всілякі атаки на біткоіни, а також на його пули, обмінні вузли та на самих користувачів стануть одним з основних трендів на найближче майбутнє. Причина, очевидно, криється у високій прибутковості таких кампаній: при відносно малих витратах злочинці можуть зірвати солідний куш. Чи жарт: вартість усіх, хто був усередині MtGox біткоіни становить на даний момент більше $ 300 млн! Втім, куди витекли всі ці гроші - невідомо, так що вся значущість інциденту, який, швидше за все, ознаменує найважливішу віху в історії біткоіни, обтяжується відсутністю відповіді на просте запитання: що ж саме трапилося?
У протоколу Bitcoin є одна важлива властивість під назвою «гнучкість транзакції» (TX Malleability), що не дозволяє успішно пройти двом однакових угод: з кількох перекладів з однаковими реквізитами, але різними ідентифікаторами системою будуть відкинуті як помилкові всі, крім самого останнього. При певних умовах (наприклад, специфічні настройки ПО біржі) це властивість дозволяє зловмисникові двічі генерувати одну і ту ж транзакцію з різними ID, в результаті створюючи видимість того, що перша угода не відбулася, - залізний аргумент для вимоги з біржі повторного перекладу. В результаті махінатор отримує кошти в подвійному обсязі: з минулої вдало первинної транзакції і нібито невдалої наступної.
Чи могло статися пограбування MtGox за участю когось з адміністрації? Цілком!
Саме такий тип атаки став офіційною причиною «тимчасового» припинення виведення коштів з MtGox, що дозволило подумати, ніби біржа була пограбована. Чи могло це статися за участю когось з адміністрації? Цілком.
По-перше, хоч атака, яка експлуатує нюанси «гнучкості транзакції», не обов'язково повинна бути здійснена кимось зсередини, прямий доступ до системи значно полегшує завдання.
По-друге, в разі пограбування, виконаного виключно зусиллями ззовні, у адміністрації повинно було залишитися досить даних про користувача, який регулярно скаржився на непріходящіе кошти і запитував їх висновок знову і знову.
По-третє, недавній злом блогу гендиректора MtGox Марка Карпелеса підняв нову хвилю скандалу і змусив засумніватися в тому, що атака на майданчик була проведена деякими третіми особами: анонімні хакери розмістили пост, в якому звинуватили Карпелеса в обмані, і виклали об'ємний архів з копіями бази даних і звітів про роботу біржі. Крім того, в своєму повідомленні зломщики стверджували, що знайшли на рахунках MtGox майже мільйон біткоіни - стільки ж, скільки, згідно з офіційною заявою, було вкрадено хакерами. На момент написання цієї замітки сайт блога, на жаль, був вже видалений, а від самого Карпелеса ніяких коментарів немає.
У будь-якому випадку все, що залишається робити, - це чекати, поки правоохоронні органи розслідують інцидент і докопуватися до істини, і сподіватися, що в кінцевому підсумку витрати всіх постраждалих учасників біржі будуть компенсовані.
Що ж до майбутнього Bitcoin ... Останні тижні в черговий раз показали нам, що криптовалюта і керуюча нею система вимагають особливого ставлення до безпеки з боку бірж та інших подібних організацій. На жаль, децентралізованого та відсутність відповідального регулятора означають, що ніхто не зможе нав'язати біткоіни єдиний стандарт безпеки. Стало бути, все в руках біткоіни-ентузіастів і кріптовалютного спільноти: вони повинні співпрацювати виключно з тими компаніями, чия репутація бездоганна, розуміння технології вичерпно, ставлення до безпеки понад усе, а бажання рухатися вперед з метою домогтися ще більшого довіри користувачів безмежно. Тільки в цьому випадку у біткоіни є майбутнє.
Чи могло статися пограбування MtGox за участю когось з адміністрації?Чи могло це статися за участю когось з адміністрації?