Эрика Стэнфорд – Лихая крипта. Кто и как зарабатывает на цифровых валютах (страница 29)

Взлом за взломом

Уже 20 июня 2011 года, пока Карпелес привыкал к рычагам управления бурно растущего предприятия, Mt. Gox первый раз взломали. В последующие годы работы обменник взломают еще не раз, но именно этот определил дальнейшую судьбу ресурса задолго до начала всей истории.

Первый хакер Mt. Gox добрался до исходной учетной записи Джеда МакКалеба с администраторскими правами. Этот доступ позволил открыть внутренние системы безопасности Mt. Gox для манипуляций ценой биткойнов в настройках – и поменять ее от 17 долларов к одному центу. Затем хакер купил 2000 биткойнов по этой искусственно заниженной цене и тут же продал обратно по нормальной, в 17 долларов за штуку, чтобы удрать с прибылью. Хакер заработал скромные 34 000 долларов по ценам того времени. После вмешательства его следов никогда больше не видели, и, разумеется, никого так и не поймали. Некоторые клиенты Mt. Gox успели воспользоваться тем же взломом. Суммарно заставшие «скидку» покупатели успели купить еще 650 биткойнов. Новые владельцы скидочного товара справедливо решили, что средства лучше вывести с ресурса, чем оставлять в руках безответственной администрации. Другие клиенты лишь потеряли свои деньги. В убытке оказался и сам обменник. Но главный ущерб был нанесен репутации. Страх нового взлома сквозил по заголовкам отраслевых новостей всего мира[283].

Криптовалютное сообщество предсказуемо охватила паника. Новостей о взломе и громких заголовков хватило, чтобы уронить цену биткойна.

Основные лица в криптовалютном сообществе 2011 года были достаточно хорошо знакомы друг с другом и разделяли мотивацию на сохранение порядка и стабильность в сообществе. Они согласились помочь. Инженеры Mt. Gox работали сверхурочно. Криптовалютные инвесторы явились со всего мира. Некоторые для этого летели через полпланеты – буквально! Добровольцы щедро тратили время, деньги и ресурсы, чтобы помочь с закупкой оборудования и сделать все, что потребуется для исправления проблем с нормальной работой обменника. Впрочем, оно и понятно – все они держали в нем свои биткойны.

Карпелес переживал куда меньше. Пока его команда и добровольцы трудились сверхурочно ради перезапуска обменника, Марка не видели с вечера пятницы до утра понедельника. Свою работу в первый рабочий день недели он начинал с менее значимых вопросов, не имеющих никакого отношения ко взлому. Добровольцы, которые тратили личное время бесплатно, мягко говоря, не впечатлились его взглядом на значимость проблемы[284].

За этим последовала серия новых взломов. Новые преступники реже попадали в новостные заголовки, но причиняли куда больше финансовых проблем и наносили еще больший ущерб безопасности ресурса. Серия взломов Mt. Gox только в 2011 году насчитывала шесть успешных случаев. Один хакер оставил настолько очевидный след, что 300 000 украденных биткойнов получилось вернуть. С преступником договорились, что он отдаст украденное за 1 % от общей суммы (3000 биткойнов), чтобы владельцы не преследовали его по закону. Сейчас такая сумма в биткойнах стоит миллиарды долларов. Но противодействие другим взломам оказалось не столь успешным. Суммарный ущерб составил все те же сотни тысяч биткойнов.

В сентябре того же года одна из хакерских групп перехватила контроль с правами администратора над базой данных пользователей. Ее участники зачислили средства на свои учетные записи, после чего вывели с обменника. Совокупный ущерб операции – 77 500 биткойнов[285]. В следующем месяце другой хакер снова проник в обменник, убедив алгоритмы Mt. Gox, что вместо кражи средств он помещает их на депозит. На какое-то время это позволило замаскировать кражу от поверхностного наблюдения.

Во многих случаях взлома винить за уязвимость стоит только недостаточную защиту Mt. Gox и неумелого администратора ресурса. В ранние годы жизни криптовалюты обменник Mt. Gox выглядел самой главной мишенью любого взломщика. В нем находилось заведомо больше средств, чем в любом рыночном аналоге. В те годы не существовало ни страховки, ни серьезной по современным понятиям кибербезопасности цифровых активов такого рода. Но все же в проблемах защиты ресурса не было ничего такого, с чем бы ни справились грамотно подобранные традиционные наборы современной ему кибербезопасности. Это дорогое решение, установка и запуск сложные, но защитить обменник с их помощью оказалось бы вполне реально. Да и впоследствии даже самые большие расходы на защиту и специалистов все равно составили бы сравнительно малую долю известных нам потерь из-за недостаточной защищенности ресурса.

Ошибки, неполадки, потеря биткойнов

Хотя Mt. Gox управлялся «тоже хакером», в целом обменник работал на полном ошибок и скверно вычитанном программном коде[286]. Вместе с дурным управлением и некоторыми явными ошибками учета это привело к потере администрацией еще большего количества биткойнов. В октябре 2011 года, в тот же месяц, когда совершили самый последний взлом, автоматика обменника случайно перевела 44 300 биткойнов на учетные записи 48 разных пользователей[287]. Некоторые вернули присланные им по ошибке средства, но большинство куда больше обрадовались неожиданному дождю из денег. Ошибка стоила администрации около 30 000 биткойнов. В тот же месяц Марк Карпелес запустил новый цифровой кошелек для хранения и защиты биткойнов. Ошибка в его работе отправила 2609 биткойнов на несуществующий адрес. В суровом мире биткойнов это значит, что деньги сгорели навсегда[288]. Административные ошибки на фоне взломов стоили обменнику все больше и больше с каждым новым случаем.

Хотя внутри ресурса выскакивали опасные неполадки, а биткойны теряли направо и налево, он успешно привлекал новых пользователей. Они заполняли Mt. Gox своими биткойнами, а сам обменник получал долю с каждой сделки. Таким образом, учетные записи всегда казались полными денег.

Поскольку новые деньги заводили быстрее, чем их теряли в неполадках и взломах, никто даже не заметил масштаб проблемы и не побеспокоился вовремя проверить учетные записи, чтобы контролировать общее количество биткойнов на ресурсе.

Вмешательство закона

В 2013 году владелец Mt. Gox заключил договор с американской фирмой Coinlab, на тот момент довольно известной в мире большой криптовалюты, об участии в запуске американских обменников. Хотя сотрудники Coinlab выполнили обязательства, администрация Mt. Gox, по непонятным причинам так и не передала им обговоренную часть предприятия. В ответ последовал иск владельцев Coinlab ценой в 75 миллионов долларов[289]. В то же время департамент внутренней безопасности США выдал ордер на ограничение деятельности Mt. Gox. Когда Карпелес приобрел ресурс у МакКалеба, он согласился нести ответственность за любые вероятные проблемы, вызванные законным статусом предприятия или его недостаточной проработкой. Карпелес согласился на это, поскольку не знал, насколько Mt. Gox соответствует законам и положениям финансовых организаций США или каких-то иных компетентных регулирующих органов. Тогда это показалось незначительной мелочью. В период заполнения документов Карпелес ответил на два главных вопроса с точки зрения закона: «Обеспечиваете ли вы обмен валюты клиента?» и «Принимает ли ваш ресурс средства клиентов и обеспечивает ли их пересылку?» – неправильно. С точки зрения действующего закона ответить можно лишь «Да» – на оба вопроса. Карпелес оба раза написал ответ «Нет». Трудно понять, чем он руководствовался, но это нарушение закона стоило ему ареста 5 миллионов долларов на счетах в США[290].

Государственная регулировка в США кроме штрафа налагала и запреты на работу Mt. Gox. На целый месяц ресурсу блокировали операции с долларами. У систем Mt. Gox отключили доступ на коммерческие платформы третьих сторон для обмена американской валюты. Это вызвало серьезные проблемы. Очень многие клиенты пришли на обменник из США. На практике владелец Mt. Gox потерял возможность принимать или выплачивать средства в долларах. Что, в свою очередь, почти блокировало прием денег и выплаты пользователям с биткойнами в кошельках ресурса. Клиенты терпели задержки с выводом средств долгие месяцы. Японский банк тоже наложил на Mt. Gox довольно серьезные ограничения – всего 10 транзакций в день там, где раньше велось порядка 300 000. Клиенты не могли получить свои деньги, которые совсем недавно считали надежно защищенными в безопасном обменнике.

Марку Карпелесу грозил пятилетний тюремный срок[291]. Обменник Mt. Gox исполнял ровно столько операций, чтобы удерживаться на грани закрытия. С доминирующей позиции в мире и контроля над 80 % мирового запаса биткойнов он просел до третьего места после русского BTC-e. Тот куда больше известен своим участием в отмывании денег[292], чем работой с обменом криптовалюты. На втором месте Mt. Gox обгонял словенский Bitstamp. Тем не менее на конец 2013 года Mt. Gox продолжал работу и хранил – или, как это вскоре выяснится, должен был хранить – миллион биткойнов.

Деньги иссякли

Обработка вывода средств продолжалась на Mt. Gox до 7 февраля, когда внезапно прекратилась. Пользователи не услышали реальных причин – только ссылки на программные неполадки, которые повлияли на массовую работу обменников.