Studium upadku Mt Gox | Sprawa Willy Bot’a

836
Z pewnością hasło “Willy Bot” nie jest Wam obce. Założę się, że każdy coś kiedyś o nim słyszał. W tym artykule chciałbym przypomnieć i omówić fakty dotyczące Willy’ego oraz przyjrzeć się dokładniej rynkowi bitcoina w okresie, w którym bot prowadził swoją działalność.

Willy Bot, WizSec i Kim Nilsson

W latach 2013-2014 wielu ludzi zwróciło uwagę na Bitcoina. Był to czas, kiedy giełda Mt Gox znajdowała się w centrum działalności handlowej. Była przy tym jedną z niewielu giełd, która zajmowała się handlem i wymianą kryptowalut w ogóle. To, co działo się wówczas z ceną bitcoina nie mogło jednak trwać wiecznie. Mt Gox uległo ostatecznie upadkowi, a cena BTC po niebotycznych wzrostach z impetem spadła w dół. Nie można zapominać o powodach, z których cena bitcoina urosła tak wysoko, przekraczając 1000 dolarów za monetę.

Ogrom pracy WizSec zapewnił nam dostęp do jednego z najlepiej opracowanych (obok willy report), analiz sytuacji z tamtego okresu. Rok po upadku MtGox, 14 lutego 2015 roku opublikowali raport, który dokładnie analizuje całą sytuację.

Owocem całego zamieszania z MtGox okazał się być Willy – bitcoinowy bot transakcyjny, który, z tego co wiemy, pojawił się i działał tylko i wyłącznie na giełdzie Mt Gox. Willy rozpoczął swoją aktywność we wrześniu 2013 roku. Wszyscy wiemy do czego to doprowadziło – bańki cenowej na bitcoinie i późniejszego krachu na tym rynku.

Wpływ, jaki Willy Bot wywarł na giełdę MtGox i cały bitcoinowy świat jest oczywisty i trudno by było go przeoczyć. Willy jest odpowiedzialny za kupno sporych ilości bitcoinów na MtGox w przeciągu sześciotygodniowego okresu, między 27 września 2013 a końcem listopada 2013. Pamiętając o niskiej wycenie bitcoina w tamtym czasie okazało się, że Willy dysponował na tyle dużą sumą środków, aby dokonać zakupu około 250 000 bitcoinów.

W rzeczywistości, w niektórych obszarach działania giełdy, operacje przeprowadzane przez Willy’ego stanowiły 30-50% całego wolumenu obrotu Mt Gox. Była to na tyle znacząca ilość, żeby wzbudzić uzasadnione podejrzenia co do tego, czy ktoś ręcznie majstrował przy tych trade’ach. Tym bardziej nie dziwi fakt, że pierwsze podejrzenia spłynęły od razu na Marka Karpelesa. W raporcie WizSec-u, o czym wspomnę w dalszej części artykułu, istnieją poszlaki wskazujące wprost na schematyczne, charakterystyczne dla człowieka typy zachowań (np. brak aktywności bota późno w nocy oraz w weekendy).

Kontekst

Jak pokazują powyższe ustalenia od początku istniało poważne podejrzenie, że aktywność Willy Bota była kierowana ludzką ręką. Mark Karpeles od lat sterował botem za kulisami w Mt Gox. Chociaż może się wydawać to nieistotne, wcale takie nie było, ponieważ bot transakcyjny z uprawnieniami administratora mógł zasiać i finalnie zasiał totalne spustoszenie.

Program kupował bitcoiny, wiernie przestrzegając swojego algorytmu nawet podczas przestoju. Ten incydent potwierdził udział MtGox w schemacie i dał badaczom wskazówkę, co naprawdę się dzieje. Jednym z tych badaczy była firma WizSec Kima Nilssona.

Nilsson skrupulatnie prześledził tysiące transakcji z każdego konta należącego do bota i przeczesał bazę danych, aby określić algorytm i skalę problemu. Wyniki były zatrważające: około 30% do 50% transakcji na giełdzie można było przypisać botowi handlowemu Karpelesa!

Posłuchaj wywiadu z Kimem Nilssonem z WizSec odnośnie Willy Bota i Mt Gox:

Kiedy Karpeles odkrył, że jego rezerwy są puste, rzucił Willy Bota na rynek. Po pierwsze, bot podniósł ceny, aby stworzyć fałszywy nastrój optymizmu rynkowego, wywołując lawinę depozytów na zubożałej giełdzie. Gdy Mt Gox zaczęła się naprawdę zabierać z rynku, Willy zaczął pracować nad zlikwidowaniem swoich znacznych aktywów, wykorzystując sztucznie zawyżone ceny, aby odzyskać część swoich strat. To pogorszyło i tak już złą sytuację, sprowadzając cenę bitcoina z powrotem w dół.

W poszukiwaniu ratunku

Karpeles kontaktował się z ważnymi interesariuszami świata kryptowalut, takimi jak bliźniacy Winklevoss, szukając kupców dla oblężonej firmy. Wierzył, że dzięki nowemu zastrzykowi funduszy giełda może wyjść z kryzysu, a ewentualny nowy właściciel zachowa czyste konto.

Niestety to się nie stało. Nikt nie chciał podjąć tego rodzaju odpowiedzialności, a zamiast tego doradzano Karpelesowi, aby złożył wniosek o ogłoszenie bankructwa.

W dniu 7 lutego 2014 r. Mt Gox zamroził wszystkie wypłaty bitcoinów. Firma poinformowała, że ​​znalazła pewne luki w samym protokole Bitcoin i podjęła decyzję, że wstrzymuje wypłaty „w celu uzyskania jasnego widoku technicznego”.

Oczywiście klienci nie byli zadowoleni. Wielu podejrzewało, że coś jest nie tak i postanowiło coś z tym zrobić. Kolin Burges wykazał tę złość poprzez wzięcie udziału w proteście pod główną siedzibą firmy, trzymając tabliczkę z napisem „MTGOX GDZIE SĄ NASZE PIENIĄDZE?”

Wkrótce dołączyli do niego inni protestujący. Utrzymywali presję na giełdę przez ponad dwa tygodnie, aż wreszcie Mt Gox całkowicie zawiesiła handel. Wkrótce strona poszła w tryb offline, a konto Twittera zostało wyczyszczone. Spanikowani inwestorzy spekulowali nerwowo na forach społecznościowych zastanawiając się, co się dzieje.

Następnie 28 lutego Mt Gox złożył wniosek o ogłoszenie upadłości. Przekazane dokumenty ujawniły powagę problemu; 744,408 bitcoinów należących do klientów zostało „utraconych”, oraz 100 000 należących do samej firmy. W związku z takim obrotem spraw Mt Gox została ogłoszona niewypłacalną.

Karpelesowy Willy Bot

W powstałym chaosie, ludzie wieszali psy na Karpelesie. Większość społeczności oskarżyła go o kradzież bitcoinów. Zaczął otrzymywać listy z pogróżkami, a nawet groźby śmierci, ale początkowo z braku dowodów zdołał uniknąć aresztowania. Do czasu ekspozycji programu Willy Bot.

Wykorzystanie wewnętrznego programu transakcyjnego do Mt Gox spowodowało, że Karpeles został aresztowany pod zarzutem manipulowania danymi giełdy. Później postawiono mu zarzuty o malwersacje i naruszenie zaufania, gdy okazało się, że bot zwiększył saldo swojego konta, aby nielegalnie nabyć bitcoiny, a następnie sprzedał je, by wygenerować gotówkę.

Jak działał Willy Bot?

WizSec wydał oficjalny raport dotyczący Willy Bota w maju 2014 roku. Chociaż firma nie była w stanie udzielić odpowiedzi na każde pytanie, wykonali dobrą robotę przy tworzeniu harmonogramu operacji.

Raport WizSecu został opracowany w trosce o jak najwierniejsze oddanie stanu działania Willy’ego z zachowaniem poufności względem źródeł i informatorów, którzy byli zaangażowani w toczące się śledztwo. Opracowanie daje dość dokładny obraz działania bota Mt Gox.

Naturalna konsekwencją upadku MtGox był wyciek części transakcyjnych baz danych do Internetu. To zestawienie zawierało logi, informacje o stanach kont, jak również dokumenty potwierdzające zlecenia przelewów oraz depozytów na giełdę. Na podstawie tej bazy danych WizSec mógł dogłębnie przeanalizować sprawę Willy’ego.

Dokładna analiza Raportu Willego z 2014 roku pokazuje określony wzór zachowań, według którego działał bot transakcyjny a mianowicie:

  1. Każde konto założone na rzecz Willy’ego miało określony, niższy niż w standardowym indeksie kont numer i działało tylko przez określony czas (tylko w określonym czasie było aktywne transakcyjnie);
  2. Wszystkie konta “skupowały” bitcoiny w interwałach 5-10 minutowych;
  3. Każde konto kupowało bitcoiny wyłącznie za dolary amerykańskie;
  4. Żadne z kont Willy’ego nigdy nie sprzedało żadnych bitcoinów;
  5. Każde z kont kupowało bitcoiny tylko i wyłącznie do określonego pułapu wielkości wyrażonego w dolarach, który opiewał na 2500000$;
  6. W niedługim czasie po dezaktywacji jednego konta pojawiało się kolejne, z którego Willy Bot kontynuował swoje zakupy;
  7. Z kont Willy’ego dokonywane były transakcje zakupowe nawet wówczas, gdy giełda była odcięta od możliwości handlu;
  8. Wszystkie trade’y dokonywane z tych kont zawierały niezwykłe dane w logach transakcji.
Markus

Wszystkie wymienione wyżej zachowania Willego dotyczą okresu od 27 września do końca listopada 2013. Baza danych, która wyciekła do internetu, nie obejmowała już niestety zapisu transakcji dokonanych po tej dacie. W raporcie willego możemy jednak wyczytać, że w 2014 roku ludzie obserwowali podobne wzory zachowań transakcyjnych w momencie, kiedy Willy rozpoczął sprzedaż znowu w oparciu o regularny wzorzec.

W drugiej części raportu Willego poznajemy Markusa. To kolejna podejrzana aktywność MtGox, która polegała na tym, że umożliwiała procesowanie niepoprawnymi kwotami pieniężnymi odnotowanymi dla jego transakcji. Wydawało się, że Markus (podobnie jak Willy), skupował bitcoiny. Nagle jednak zatrzymał się, zaledwie na kilka godzin przez powstaniem i rozpoczęciem aktywności przez pierwsze konto Willy’ego. Markus korzystał z konta tradingowego Marka Karpelesa. Pamiętajmy, że dane z dziennika transakcyjnego nie były spójne. Oznacza to w skrócie, że mogły zostać zmanipulowane w celu ukrycia aktywności na koncie CEO Mt Gox.

Willy Bot a rynek bitcoina

Naturalnym prawem rynku jest to, że jeżeli masz duże środki, masz realny wpływ na cenę. Nie inaczej było w przypadku Mt Gox. Willy dokonał zakupu ponad 250 000 bitcoinów. Było to ewidentną manipulacją rynku i miało wpływ na wycenę BTC. Spekulowano też, że MT Gox cierpiał w pewnym sensie na niedobór bitcoinów.

W raporcie WizSecu z lutego 2015 możecie znaleźć wykres, który wyraźnie pokazuje przełożenie wzrostu ceny BTC do poziomu ponad 1000 dolarów za sztukę (niebieska linia) do natężenia aktywności transakcji przeprowadzanych przez Willy’ego:

willy_market_presence

źródło: blog.wizsec

Rzut oka na powyższe opracowanie pozwala wysnuć wniosek, że w okresach przestoju (między październikiem a listopadem), gdzie nie widać aktywności bota, rynek korygował niejako cenę w dół. Taka sytuacja potwierdza podejrzenie, że działania Willy’ego miały realny wpływ na wycenę bitcoina.

Dochodzenie WizSec

Willy kupował bitcoiny wg algorytmu “bez względu na cenę” (przynajmniej takie założenie wysnuł autor raportu). Dzięki temu możliwe było zrekonstruowanie zestawu transakcji.

Z Willym było powiązanych wiele innych kont. Całkowita ilość transakcji dokonanych z tych kont została określona na około 100 000. Jednocześnie, z wachlarza transacji wyfiltrowano około 7000 transakcji wyłącznie zakupowych. Zobaczcie:

willy_buy_orders

źródło: blog.wizsec

Na podstawie powyższego diagramu WizSec zauważył, że Willy działał w ramach ściśle określonych parametrów. Te zaś określały dokładnie, ile bitcoinów było kupowanych przy każdym zleceniu. Okresy zakupowe były natomiast wielokrotnie zmieniane, a miało to również miejsce podczas uruchamiania kolejnych kont.

Jak zatem kupował Willy? Na początku były to dość szerokie zakresy ilości, takie jak 0-150 BTC lub 0-50 BTC. Od listopada widać natomiast obniżenie ilości kupowanych monet do poziomów 10-30 a nawet 10-20. Ta ostatnie wartość to ostatnie dane, którymi WizSec dysponował na dzień sporządzania i publikacji swojej analizy.

Jak to interpretować?

Gdy cena bitcoina cały czas rosła (widać to na pierwszym wykresie), Willy został zapewne przeprogramowany w taki sposób, aby nie doprowadzić do zbyt szybkiego wyczerpania środków z depozytu giełdy. W konsekwencji, w późniejszym okresie Willy był zmuszony do częstszego przełączania się pomiędzy kontami.

Systematyka aktywności Willy Bota pokazuje ponadto, że luki, które widzicie pomiędzy niektórymi okresami aktywności prawie nigdy nie były prowadzone w ramach jednego konta. Prowadzi to do wniosku, że Willy handlował na danym koncie wyłącznie do momentu, kiedy wyczerpały się środki a później po prostu uruchamiał się na nowym koncie.

Ręczne interwencje

Dokonajmy w tym miejscu koniecznego podsumowania. Powyższa analiza wykazuje, że Willy był botem sterowanym i przeprogramowywanym ręcznie, w zależności od potrzeb i kierunku rozwoju sytuacji na rynku. Raport WizSecu daje nam obraz kilku czynników interakcji dokonywanych w międzyczasie przez jego operatora:

  1. Uruchamianie każdego nowego konta dla Willy’ego;
  2. Zmienianie zakresu “widełek” ilości kupowanych bitcoinów;
  3. Stopniowe, cykliczne “ostudzanie” aktywności transakcyjnej bota przeprowadzane w celu uniemożliwienia wykrycia przez użytkowników giełdy systematycznych zakupów na podobne, okrągłe ilości BTC;
  4. Ręczne wydawanie masowych zleceń zakupu.

Godziny aktywności

WizSEC przebadał 200 transakcji Mt Gox, które zostały najprawdopodobniej dokonane manualnie. Porównano znaczniki czasu i na jaw wyszło wiele interesujących spostrzeżeń.

Na diagramie poniżej możecie zaobserwować brak aktywności bota w określonych, w miarę powtarzających się, porach dnia. W raporcie WizSec czytamy:

Istnieje zauważalna luka bez aktywności użytkownika między godziną 17:00 a 20:00 UTC. Strefy czasowe, w których zakres ten mieści się w „normalnych” godzinach snu, pokrywają dużą część Australazji; w Japonii na przykład godziny te odpowiadają godzinom 02:00 – 05:00 JST. Dane mogą być interpretowane w wiarygodny sposób, pasujący do dowolnej strefy czasowej od UTC + 8 do UTC + 12.

Na potrzeby przygotowania diagramu posłużono się  standardem Japan Standard Time:

willy_activity_timing

źródło: blog.wizsec

Prawie cała aktywność odbywała się w dni powszednie (w przeciwieństwie do weekendów). Prowadzi to do podejrzeń, że jest ona bardziej związana z dniami roboczymi. Dni z niską aktywnością mogły być okresami, kiedy zlecająca osoba była zajęta jakimś innym rodzajem aktywności.

Gdzie się podziały bitcoiny? Czy były prawdziwe?

Wielu zadawało sobie pytanie, czy zaginione bitcoiny Mt Gox kiedykolwiek naprawdę istniały. Być może były to tylko i wyłącznie sfałszowane zapisy w księdze transakcyjnej zrobione po to, aby sprawić wrażenie realności środków na giełdzie?

Załóżmy, że zarejestrowane wpłaty i wypłaty były prawdziwe. WizSec wyliczył, ile bitcoinów MtGox powinien zasadniczo przechowywać w depozytach w danym czasie:

expected_btc_holdings

źródło: blog.wizsec

Z powyższym wykresem jest jeden kłopot. Pokazuje on bowiem nie rzeczywiste sumy, a tylko zmiany oczekiwanych depozytów BTC w czasie. Zauważono jednak, że po ataku hakerskim w 2011 roku Mark Karpeles przeprowadził transakcję potwierdzającą posiadanie 424242.42424242 BTC. Sugeruje to wyraźnie, że MtGox musiała być w posiadaniu co najmniej takiej ilości (przynajmniej w tamtym czasie).

Dostępne na wykresie dane urywają się natomiast na poziomie ok 950 000 BTC. Pasuje to do ilości całkowitych udziałów, które posiadała giełda.

A może to była kradzież?

Jeden z powtarzających się wzorców ostatecznie się wyróżniał: bitcoiny MtGox nagle zostały wysłane na nowy adres inny niż MtGox, bez wpisu do dziennika wycofania, często w dość rozpoznawalnych ilościach kilkuset BTC naraz. Wkrótce potem adresy te zostały zaparkowane w większe agregaty z kilkoma tysiącami BTC. Stamtąd monety zostały rozdystrybuowane w kilkuset BTC na raz na różne bitcoinowe giełdy:

theft_pattern

źródło: blog.wizsec

WizSec zasugerował w raporcie, że taki rodzaj aktywności nie mógłby być niczym innych, jak kradzieżą w ramach wewnętrznych struktur giełdy. Bitcoiny zostały przesyłane na konta Mt Gox, giełdę BTC-e Aleksandra Vinnika, Bitcoinicę i inne niezidentyfikowane adresy.

Takie działania spełniają znamiona prania pieniędzy lub podejmowania prób zaciemnienia ogólnego, złego obrazu sytuacji. WizSec uważa, że bitcoiny MtGox zostały po prostu sprzedane za gotówkę.

Zakończenie

Do dzisiejszego dnia wciąż jest wiele pytań dotyczących niesławnego bota Willy’ego. Na wiele pytań znamy już odpowiedź. Z całą pewnością nie wiemy jednak jeszcze wszystkiego.

Willy odcisnął swoje piętno na Mt Gox w bardzo wyraźny, systemowy sposób. Pozostaje mieć nadzieje, że podobne działania nie są prowadzone na żadnej z obecnie działających giełd. Koniec końców nie chcielibyśmy, aby taka historia się powtórzyła.

Komentarze