作者:Mark Hunter,CoinDesk;編譯:鄧通,喜來順財經(jīng)
日本比特幣交易所 Mt. Gox 于 2014 年 2 月倒閉。
2011 年 3 月至 2014 年 1 月期間,超過 880,000 枚 BTC 以各種形式被 Mt. Gox 丟失或盜取,如今這筆損失價值高達 450 億美元,然而,在 Mt. Gox 倒閉 10 周年之際,仍有幾個重要問題需要解決。
仍然未知的關鍵問題之一是我們是否認識所有的罪魁禍首。 在 Mt. Gox 的運營期間,超過 809,000 BTC 在六次黑客攻擊中被盜,而我們只知道與一次黑客攻擊有關的兩個名字:Alexey Bilyuchenko 和 Aleksandr Verner,他們被指控是 2011 年 10 月入侵該交易所的俄羅斯黑客組織的成員。在 26 個月的時間里,兩人從交易所的冷錢包中竊取并洗錢了 647,000 枚比特幣。
Verner 和 Bilyuchenko僅受到美國指控。然而,當局的指控是洗錢,而不是黑客攻擊本身,這可能表明缺乏針對他們的指控的證據(jù)。
除了這些于 2017 年封存并于去年 6 月公開的指控外,我們不知道是誰偷走了剩下的 162,000 BTC。 79,956 BTC 仍與以“1Feex”開頭的知名地址綁定,而 2011 年 9 月被盜的 77,500 BTC 從未被追蹤。 這次黑客攻擊非常成功,直到 2015 年才被發(fā)現(xiàn)。
還有一個人在 2011 年 6 月偷走了 2,000 BTC,導致比特幣的價值從 17.50 美元暴跌至 0.01 美元,還有一個黑客在 Mt. Gox 首席執(zhí)行官 Mark Karpelès 離開時盜走了交易所持有的一半以上的比特幣。錢包位于具有未加密網(wǎng)絡的驅動器上。 幸運的是,對于 Karpelès 來說,黑客臨陣退縮并協(xié)商了 1% 的賞金,導致交易所僅損失了 3,000 BTC,而不是 300,000 BTC。
所有這些事件,我們都不能確切的知道是誰干的,而且現(xiàn)在幾乎可以肯定我們永遠都不會知道。 鑒于作案手法相同,許多人懷疑 1Feex 黑客攻擊是針對 2011 年 10 月至 2014 年 1 月的破壞性漏洞的一次演練,但這一點從未得到證實。
在?Mt. Gox 丟失的 881,865 BTC 中,我們只能確定其中 72,409 BTC 是如何丟失的。 Mt. Gox 的系統(tǒng)將 30,000 BTC 記錄為客戶存款,但實際上這些資金已被黑客竊取。 2011 年 10 月,Mark Karpelès 犯了一個錯誤,導致 2,609 封郵件被發(fā)送到一個不存在的地址。 在 Mt. Gox 上運行的兩個機器人 Markus 和 Willy 損失了 22,800 BTC。 Karpelès 于 2011 年 7 月以 17,000 BTC 收購了波蘭交易所 Bitomat。
至于其余部分,進入方式通常要么未知,要么只是懷疑。 在 2011 年 6 月的黑客事件中,我們知道黑客能夠通過管理員級別的賬戶訪問 Mt.Gox 服務器。 這最初歸因于審計員 Auden McKernan,但后來透露,這是創(chuàng)始人 Jed McCaleb 的賬戶,他將 Mt. Gox 賣給了 Mark Karpelès,而 Mark Karpelès 莫名其妙地仍然擁有管理員權限。 人們認為,在 1Feex 黑客攻擊中,整個 Mt.Gox 用戶數(shù)據(jù)庫以及 79,956 BTC 被盜時,黑客獲得了詳細信息。
鑒于美國當局有信心將 Verner 和 Bilyuchenko 認定為 2011 年 10 月入侵 Mt. Gox 的組織的成員,他們必須有一些證據(jù)來支持他們的主張,但除非進行審判(幾乎肯定不會進行審判,現(xiàn)在他們的名字已經(jīng)公開),這些細節(jié)可能永遠不會被泄露。
與黑客如何訪問 Mt. Gox 服務器的問題相關的是,他們如何能夠訪問據(jù)稱安全存儲在冷錢包中的資金。 我們知道,在 2011 年 6 月的黑客攻擊之前,Karpelès 將用戶的比特幣以隨意的方式保存在各種物理和軟件錢包中,這加劇了黑客攻擊的影響并延長了清理時間。
Karpelès聲稱,這一事件促使他采用了一個更安全的系統(tǒng):他將比特幣分成多個紙錢包(他后來說涉及數(shù)百張紙),并將它們存放在東京各地的銀行金庫和保險箱中。 因此,如果熱錢包再次被盜,就像1Feex黑客攻擊一樣,冷錢包應該不會受到影響。
這本身似乎足夠安全,但當有人透露該交易所的冷錢包確實在 2011 年 10 月至 2014 年 1 月期間被洗劫一空時,許多人開始提出疑問,包括當時的比特幣博主和加密投資公司 Andreessen Horowitz 未來的普通合伙人 Arianna?Simpson:
“如果你做得正確,冷存儲錢包不應該通過熱錢包訪問,無論是否泄漏。 這就是將兩者分開的全部意義所在。”
那么冷錢包是如何被泄露的呢? Karpelès從未證實過他定制的冷錢包-熱錢包設置,可能是為了避免因資金處理不當而引發(fā)的訴訟,但他在采訪中給出了暗示,描繪了一種不一致且有時不合邏輯的場景。
使用紙錢包時想要保證資金安全地進行充值熱錢包的唯一方法是獲取紙錢包并在超安全的網(wǎng)絡上執(zhí)行多步驟手動交易。 這必須每次都完成,這對于任何比特幣交易所來說當然是完全不切實際的,無論其規(guī)模或交易量如何。 Mt. Gox 的工作人員沒有報告稱看到 Mark Karpelès 處理紙錢包,事實上,一些知名的工作人員在《終極災難:Mt. Gox 如何損失 50 億美元并幾乎殺死比特幣》中告訴我,他們只聽說過熱門話題提到錢包,絕不是冷錢包。
那么,是否有一個系統(tǒng)可以在冷錢包用完時自動為熱錢包充值,反之亦然? 這似乎是交易所運作的唯一可行方式,盡管它完全破壞了冷錢包系統(tǒng)的原則。
這是一個仍然存在分歧的大問題。 當然,Karpelès 堅稱,直到 2014 年 2 月中旬檢查冷錢包時,他才知道交易所已經(jīng)崩潰,但這種說法存在缺陷。 Mt. Gox 早在 2013 年 8 月就開始遇到比特幣提現(xiàn)問題,這應該引起警惕。 然而,Karpelès 似乎并不認為 Mt. Gox 資金不足,盡管該交易所在曾多次遭受黑客攻擊。
當 2014 年初“交易可延展性”漏洞出現(xiàn)時,Karpelès 很快將提款問題歸咎于該漏洞,但眾所周知,即使是很小的盜竊,也需要大量的社會工程才能實現(xiàn)。 他還表示,他不懷疑有任何損失,因為有監(jiān)控系統(tǒng)。 如果存在這樣的系統(tǒng),那么它的設計就不合理,這表明該交易所存在管理不善的問題。
不用說,很多人不相信Karpelès在 2014 年 2 月才發(fā)現(xiàn)了損失。其他人則進一步表示,Karpelès不僅知道丟失的比特幣,還利用Willy和Markus彌補了損失。 如果這是 Karpelès 的意圖,那么結果會適得其反:在交易所崩潰之前,兩人損失了 22,800 BTC 和 5,160 萬美元。
簡單的答案是,我們只能推測 Mt. Gox 上的比特幣是如何受到保護的,除非 Mark Karpelès 屈尊告訴我們,否則情況將一直如此。
喜來順財經(jīng)
