lunedì 30 ottobre 2023

La Storia Di Mt.Gox: I Furti Di BTC, L'Insolvenza e Willy Bot (2010-2023)

MtGox, fu il primo exchange di criptovalute nato nel 2010 (fondato da Jaled McCaleb e poi passato al CEO Mark Karpeles) e che gestiva gran parte dei volumi tra 2013 e 2014. Poi come sappiamo nel 2014, improvvisamente bloccò i prelievi dichiarando bancarotta dopo aver annunciato di aver perso circa 850.000 Bitcoin, che all'epoca avevano un valore di centinaia di milioni di dollari. In seguito all'indagine sulla bancarotta di Mt.Gox, sono emersi dati che hanno rivelato un modello di trading anomalo. Era emerso che un bot o comunque un'entità chiamata "Willy" aveva effettuato numerosi ordini d'acquisto di Bitcoin senza badare al prezzo, il che faceva sembrare che Mt.Gox stesse gestendo volumi di trading significativi. In realtà, questi ordini non erano supportati da fondi reali e sembravano essere uno sforzo per simulare attività di trading per attrarre ulteriori investitori. Infatti pare che l'exchange fosse insolvente già nel 2011. Il furto mai chiarito di centinaia di migliaia di BTC e la simulazione di volumi furono tra i fattori chiave che contribuirono al collasso di Mt.Gox.
È importante notare che l'identità di chi aveva programmato Willy Bot rimane sconosciuta e il mistero continua a circondare questo episodio. Il CEO Mark Karpeles venne coinvolto in un lungo processo legale in Giappone a seguito del crollo di Mt.Gox. Nel corso del processo, è stato accusato di appropriazione indebita e frode legate alla scomparsa dei Bitcoin. Nel marzo 2019, è stato condannato per manipolazione dei dati e assolto dall'accusa di appropriazione indebita. 

Investigatore Kim Nilsson: "Sono entrato nelle indagini fondamentalmente immaginando che Mark Karpeles fosse probabilmente il cattivo, forse aveva falsificato i numeri, forse non c'erano neanche mai stati tutti i BTC che gli utenti avevano depositato. La mia teoria iniziale era che, come teorizzavano anche alcune persone all’epoca, forse alcun di quei BTC non sono mai esistiti. Forse fu questo bot che simulando volumi aveva incasinato la contabilità. Alla fine, col tempo, mentre lavoravo di più sul caso, divenne più ovvio che, in realtà c'era stato un furto di Bitcoin. A quanto pare Mt.Gox non aveva soldi e mancavano oltre 650.000 e più probabilmente 850.000 Bitcoin. Questo era tutto ciò che si sapeva. All'inizio del 2014, si è verificata una fuga di dati in cui qualcuno che apparentemente aveva violato Mt.Gox si era impossessato di alcuni dei loro documenti contabili pubblicandoli online"


INSOLVENZA NEL 2011 E I FURTI DI BTC 
L'exchange venne fondato da Jaled McCaleb nel 2010 ma il passaggio di consegne verso Mark Karpeles avvenne poco dopo. Prima di questo, l'exchange subì un exploit di 50000$ (Liberty Reserve) quindi Mark acquistò l'exchange meno questi 50000$ che erano stati rubati. Tecnicamente già allora non c'erano fondi per ripagare tutti i clienti, a causa di questo hack. Poco dopo, qualcun altro si introdusse nei cold wallet rubando altri 80.000 BTC. Jed inviò un messaggio a Mark dicendo "Hey pare che gran parte dei BTC sono scomparsi", in realtà Mark non se ne preoccupò anche perchè ricevette delle mail da parte di Jed in cui forniva alcuni suggerimenti su come avrebbe potuto recuperarli iniettando ulteriori investimenti nella società o semplicemente trasferendo il debito in dollari, in modo che esso non aumenti se il prezzo del Bitcoin dovesse salire, etc. Quindi erano chiaramente entrambi consapevoli che mancava l'importo e che c'era un problema. Dunque per qualche ragione, entrambi pensarono che fosse un debito che potevano tenere nascosto per provare ad azzerarlo in seguito. Nel momento in cui avvenne il furto, il prezzo di Bitcoin era vicino ad un dollaro o qualcosa del genere. Quindi, in cifre approssimative, 80.000 Bitcoin sarebbero stati circa $ 80.000. Non una somma irrecuperabile, tutt'altro. Ma solo pochi mesi dopo, intorno a giugno, il prezzo salì improvvisamente a $30 per 1 Bitcoin. Questi 80.000 Bitcoin divennero improvvisamente un'enorme quantità di denaro per la quale l'exchange non aveva assolutamente alcuna copertura. Quindi sì, quell'ammanco sarebbe potuto diventare un problema in futuro ma lo diventò molto più rapidamente di quanto temuto. Secondo alcuni investigatori, il bot Willy venne creato per questo motivo, secondo altri il suo obbiettivo non era azzerare il debito ma semplicemente simulare volumi per attrarre altra liquidità.

Kim Nilsson: "In realtà il bot Willy è una sorta di termine collettivo che ingloba tutta la manipolazione, per così dire. C'erano due generazioni del bot Willy che Mark stava utilizzando. Uno è stato fatto manualmente e credo che sia iniziato nel 2011. Poi alla fine del 2013 ha realizzato anche la versione automatizzata, che è quella che si è fatta notare in pubblico. Ma già prima erano stati creati anche alcuni account bot, ma non so, o non credo, che siano stati creati per questo scopo o per ridurre il debito. Esistevano anche conti aggiuntivi che venivano utilizzati per trattenere il denaro sequestrato a clienti fraudolenti e cose del genere"

Due mesi dopo, Mark subisce un furto di 300.000 BTC dal suo computer (erano BTC dei clienti dell'exchange). Ciò avrebbe decretato la fine dell'exchange già nel 2011 ma l'hacker decide di restituirli in cambio di un bounty (una ricompensa). Poi a giugno viene hackerato l'account dell'ex founder Jed che figurava ancora con i privilegi di amministratore (che permettevano di manipolare il saldo di qualsiasi account) quindi chiunque sia stato, è entrato nel suo account, ha utilizzato questi privilegi ed ha iniziato ad aggiungere tonnellate di BTC ai conti di altre persone e a venderle a mercato, facendo crollare il prezzo. Ad agosto, Mt.Gox decide di acquistare l'exchange Bitomat che operava in Europa ed era in difficoltà, assorbendo anche il debito di 17000 BTC. A settembre, Mt.Gox subisce un altro furto da 77.500 BTC tramite la creazione di account temporanei poi cancellati. Questi BTC vennero poi riciclati su Trade Hill e BTC-E (che all'epoca erano i principali exchange per il riciclaggio di denaro). Il furto più grosso fu quello di 630.000 BTC da un hot wallet ma avvenne in modo progressivo piano piano nei mesi/anni di attività. Gli utenti depositavano fondi e questi man mano venivano rubati dal server a cui alcuni hackers avevano ottenuto accesso. Questi BTC rubati venivano poi riciclati addirittura su Mt.Gox stesso e su altri exchange tra cui CryptoExchange. Su quest'ultimo alcuni utenti si videro i conti bloccati perchè erano provenienti dal furto di un altro exchange violato chiamato Bitcoinica. Sostanzialmente CryptoExchange interagiva con Mt.Gox che stava tracciando tutti i BTC rubati su Bitcoinica (riceveva una specie di notifica quando questi BTC rubati venivano depositati da loro) congelando i conti ma per ironia della sorte Mt.Gox non si accorgeva di quelli che stava, piano piano, perdendo. Alexander Vinnick (proprietario di BTC-E) venne arrestato per aver riciclato 630.000 BTC ma non si ha certezza che sia stato lui l'autore del furto, più probabilmente qualcuno li diede a lui affinchè li riciclasse su vari exchange (i BTC una volta depositati su exchange vengono mescolati a tutti quegli degli altri utenti e diciamo che si perdono le tracce). La scomparsa progressiva di tutti quei BTC dall'exchange rimane un mistero ancora oggi e le dinamiche precise di attacco non sono mai state chiarite.


LE OPERAZIONI DI WILLY BOT ED ALTRE ENTITA' ANOMALI
Parlando più precisamente dei bot di Mt.Gox, a dicembre 2013, molti traders iniziarono a notare comportamenti sospetti. In sostanza, ogni 5-10 minuti, senza sosta, per almeno un mese fino alla fine di gennaio 2014 il bot Willy stava acquistando un numero random di BTC compreso tra 10 e 20. Anche se Willy acquistava secondo uno schema abbastanza riconoscibile, non venne ritrovato ufficialmente nei registri di trading di Mt.Gox che arrivavano fino a novembre 2013. Con alcuni dati trapelati in quel periodo, si evince che Willy non aveva un unico conto ma più UID utente quindi le attività di Trading era ripartite su più account. 

Kim Nilsson: "Sembrava esserci un bot di trading interno su Mt.Gox che scambiava denaro in Bitcoin. Lo stava facendo con volumi tali che quasi doveva essere simulato, magari utilizzando denaro non reale. Non era nemmeno la prima volta che la gente cominciava a notarlo. 'ehi, sembra che ci sia qualcuno che esegue operazioni a intervalli regolari' o qualcosa del genere"

In sostanza pare che, ogni volta che veniva creato un conto sull'exchange, Willy spendeva un importo esatto di USD per acquistare BTC a mercato (la più comune era $ 2.500.000), creando ulteriori conti. In totale, sono stati spesi l'incredibile cifra di circa 112 milioni di dollari per acquistare quasi 270.000 BTC, la maggior parte dei quali acquistata a novembre. Non a caso in quel periodo, BTC aumentò di circa 10 volte il suo valore sino ad andare in ATH a 1100$ circa nel dicembre 2013. Curiosamente il primo account Willy (creato il 27 settembre 2013) a differenza di tutti gli altri aveva un UID utente anomalo: 807884, in quanto gli account normali all'epoca avevano numero progressivo ed arrivavano solo a 650000 o giù di lì. Esisteva solo un altro account con un UID superiore ai 650000 ed era quello 698630 (attivo da ben 8 mesi e chiamato poi dagli investigatori Markus) e poi disattivato 7 ore prima che il primo account Willy diventasse attivo! Quindi è ragionevole presupporre che questi conti fossero controllati dalla stessa entità. 
L'account 698630 in realtà aveva un paese e uno stato registrati: "JP", "40" il codice FIPS di Tokyo, Giappone. Secondo vari report condotte da analisti, in qualche modo questo account aveva acquistato tonnellate di BTC senza spendere soldi. È interessante notare che questo account ogni tanto vendeva e per qualche motivo i valori dei prezzi in questo caso erano corretti. La sua vendita più grande è avvenuta il 2 giugno. Come si può notare da quest'operazioni: vende tantissimi BTC, riceve $ 4 milioni, poi riacquista 15.000 BTC, spendendo pochissimo.
In seguito vengono poi acquistati 300.000 BTC e in combinazione con gli acquisti di Willy, si tratta di circa 570.000 BTC. Sebbene non ci siano registri di trading dopo novembre 2013, diversi traders hanno osservato che Willy fu attivo per gran parte di dicembre 2013 fino alla fine di gennaio 2014. Anche se questo è avvenuto a un ritmo più lento e costante (circa 2000 BTC al giorno), dovrebbe sommarsi approssimativamente ad altri 80.000 BTC circa acquistati. Quindi questo è un totale sospettosamente vicino ai circa 650.000 BTC presumibilmente persi. 
La conclusione più semplice è che qualcuno abbia ottenuto l'accesso al sistema, è stato in grado di autoassegnarsi ai vari conti importi di USD a piacimento ed ha iniziato ad acquistare e prelevare a distanza. Dopotutto, la creazione costante di nuovi account Willy sembra sia stata mirata ad evitare di essere scoperti. Tuttavia, ci sono cose che non quadrano con questa teoria; in effetti ci sono moltissime prove che suggeriscono che tutti questi account fossero controllati da Mt.Gox stesso.
Per alcuni mesi nel 2013, nel database trapelato e poi analizzato dalle autorità erano presenti due versioni dei registri di scambio: un registro completo e un registro anonimo con hash utente e codici paese/stato rimossi. Nell'aprile 2013, esisteva un file .zip che conteneva uno di questi registri anonimizzati: un utilizzo potrebbe essere stato quello di inviarlo a revisori per mostrare alcuni dati interni. Dopo un esame più attento, risulta che le versioni complete e anonime di tutti i registri differiscono in due modi: gli hash utente e i codici paese/stato sono stati eliminati rispetto al file originale. L'UID utente anomalo (698630) viene modificato in un numero piccolo (634) e i suoi strani valori fissi "Denaro" (in cui sembrava non venissero spesi soldi per gli acquisti) vengono corretti ai valori attesi. Dall'elenco degli account trapelati nel 2011, l'utente con ID 634 figura con il nome utente "MagicalTux".  
Il file "corretto" ha una data di creazione precedente rispetto al registro completo, quindi non potrebbe trattarsi di un bug risolto in seguito. Tutto fa pensare che questi valori siano stati modificati manualmente, presumibilmente per cancellare tracce di attività sospette. Anche se un'altra possibilità è che in realtà sia il contrario: il registro corretto con la data di creazione precedente era l'originale e tutti gli altri registri sono stati alterati con un UID diverso non riconducibile a MagicalTux per coprire le frodi in un modo approssimativo (inoltre qualcuno si è dimenticato che c'era ancora un file zip in giro con i dati inalterati). Altra cosa interessante è che i bot pare fossero immuni alle sospensioni delle operazioni (il trading venne sospeso più volte nel corso dell'anno per problemi di regolamentazione in alcune nazioni, tra cui gli USA). Infatti vennero trovati acquisti di 10-20 BTC ogni 5-10 minuti in un momento in cui nessun altro era in grado di tradare, tramite API o in altro modo, Willy era in qualche modo in grado di continuare a comprare come se nulla fosse. Ciò rende possibile che il bot fosse eseguito da un server Mt.Gox locale. Non è impossibile che un hacker sia riuscito ad installare una sorta di rootkit sui server di Mt.Gox e a eseguire il bot da lì, ma sembra estremamente improbabile. Inoltre dai report pare che alcuni utenti/bot con sigla "JP" non pagassero commissioni, anche se è stato ricostruito che probabilmente questi account erano stati compromessi. A fine 2013, i clienti lamentavano settimane, se non mesi, di ritardo per l'esecuzione di prelievi di denaro fiat (Mt.Gox aveva anche problemi a livello regolamentativo negli USA).


L'INIZIO DELLA FINE: FEBBRAIO 2014
Willy probabilmente ha continuato ad essere attivo fino a fine gennaio 2014: comprando 10-20 BTC ogni 5-10 minuti, per un totale di 100 BTC all'ora. Non era sempre attivo, ma per la maggior parte del tempo. Gennaio è stato il periodo in cui le cose sono naufragate per Mt.Gox; i prelievi venivano sempre più ritardati e, di fronte alle speculazioni che anche i prelievi di JPY (che fino a quel momento erano stati istantanei) stavano subendo irragionevoli ritardi, le persone in preda al panico cominciarono a prelevare in massa. In combinazione al fatto che Willy fosse ancora attivo, ciò ha fatto sì che lo spread tra il prezzo di Mt.Gox e i pochi altri exchange sfuggisse completamente di mano. Al culmine, il 26 gennaio, Willy è diventato improvvisamente inattivo e, con ciò, il prezzo è tornato ad uno spread più ragionevole con gli altri exchange. Poco dopo, il 3 febbraio per la precisione, sembrava che Willy avesse cominciato ad operare nuovamente ma al contrario, ovvero con uno schema leggermente alterato: sembrava vendere circa 100 BTC ogni due ore. Non c'è voluto molto prima che Willy aumentasse il suo ritmo. Molto probabilmente, l'intero dump di BTC dell'epoca (Bear Market 2014) è stato causato da questo bot che dumpava tutti i BTC acquistati. Sarebbe una delle spiegazioni per cui nessuno dei conti di Willy aveva un saldo finale nonostante tutti gli acquisti e non c'era alcuna traccia di prelievi di BTC: probabilmente sono stati tutti reimmessi sul mercato. I volumi sembrano corrispondere più o meno. Dove son finiti i soldi fiat allora? Forse vennero utilizzati per comprare i BTC mancanti ed altri asset (che però venivano rubati). I prelievi di JPY (Yen giapponese) vennero interrotti all'inizio di gennaio, ma vennero eliminati anche tutti quelli in pending dei mesi precedenti. Ciò dimostra che la ragione originale dei ritardi (problemi di conversione della valuta) erano sciocchezze; semplicemente non avevano più fiat. Eppure, in qualche modo, avevano abbastanza fiat per i prelievi il giorno in cui hanno chiuso, cioè dopo i dump. Ma queste sono speculazioni. I prelievi di BTC vennero sospesi il 7 febbraio 2014, l'exchange lamentava la presenza di un bug che consentiva di alterare i dettagli di una transazione ingannando il sistema (sostanzialmente un invio sembrava non avvenuto, anche se era stato eseguito). Il 24 febbraio 2014, il sito andò offline scomparendo nel nulla. Secondo dei report, l'exchange era insolvente dopo aver perso circa 750.000 BTC dei clienti e 100.000 BTC propri (per un controvalore di mezzo miliardo di dollari). Altri parlarono di exit scam.


CORRELAZIONE TRA BOT E PREZZO DI BTC NEL 2013 E 2014
A partire dal 18 febbraio 2013, sembrava che alcuni bot fossero stati programmati per vendere a vari livelli di prezzo fissi. Se si controllano i periodi di bolla di fine 2013 si può verificare un'alta intensità di acquisti di Willy e dell'altro bot 698930, stessa cosa quando si verifica poi il dump nel 2014 con le vendite eseguite dai bot di Mt.Gox. È necessario riconoscere che, intenzionalmente o meno, Mt.Gox ha probabilmente abusato di Bitcoin iniettando centinaia di milioni di dollari di falsa liquidità pompata nel mercato dal nulla (questo è equivalente a dire "con i soldi dei depositanti"). In seguito il prezzo di Bitcoin si è sgonfiato per circa 5 mesi dal suo picco di dicembre, dal momento che sull'exchange non è più arrivato abbastanza denaro fiat per supportare questo tipo di prezzi.


ANNI RECENTI: 2014-2023
Il 9 marzo 2014, l'exchange dichiara bancarotta con 850.000 BTC mancanti. Il CEO Karpeles è stato arrestato nell'agosto 2015 dalla polizia giapponese e accusato di frode, appropriazione indebita e di manipolazione del sistema informatico di Mt.Gox. Dopo essere stato interrogato, i pubblici ministeri giapponesi lo hanno accusato di appropriazione indebita di 2,6 milioni di dollari in BTC depositati nei conti di trading dagli investitori di Mt.Gox e di averli trasferiti in un account da lui controllato, circa sei mesi prima che l'exchange fallisse all'inizio del 2014.
A maggio 2016, i creditori di Mt.Gox avevano affermato di aver perso 2,4 trilioni di dollari quando Mt.Gox era fallito, e avevano chiesto che venissero loro rimborsati. Il curatore giapponese che sovrintendeva al fallimento ha affermato che erano stati rintracciati solo 91 milioni di dollari in beni da distribuire ai ricorrenti, nonostante Mt.Gox avesse affermato nelle settimane precedenti la bancarotta di avere più di 500 milioni di dollari in beni. 
Nel marzo 2018, il fiduciario Kobayashi ha affermato che sono stati venduti abbastanza BTC per coprire le pretese dei creditori. Il 14 marzo 2019, la Corte distrettuale di Tokyo ha ritenuto Karpeles colpevole di aver falsificato i volumi per gonfiare le entrate di Mt.Gox di 33,5 milioni di dollari, per la quale è stato condannato a 30 mesi di prigione. In seguito la Corte ha assolto Karpeles da una serie di altre accuse, tra cui appropriazione indebita e abuso di fiducia aggravato, sulla base della convinzione che Karpeles avesse agito senza cattive intenzioni. All'assemblea dei creditori del 20 ottobre 2021 è stato annunciato che il piano di riabilitazione civile è stato accettato dal 99% dei creditori (che rappresentano l'83% dell'importo totale dei diritti di voto) e che sarebbero stati forniti miliardi di dollari in Bitcoin come risarcimento. Il piano è stato ufficialmente approvato il 16 novembre 2021. 
Il 21 settembre 2023, Mt.Gox ha annunciato che il termine per la finalizzazione dei pagamenti era stato posticipato di un anno e che la nuova data di fine promessa è il 31 ottobre 2024, anche se potrebbero iniziare prima della fine del 2023 per i creditori che hanno fornito tutte le informazioni necessarie in tempo.

Nessun commento:

Posta un commento