Perder 744.000 Bitcoins hace ocho años: lecciones aprendidas de la caída de la montaña GOX
Más de ocho años después de que Mt. Gox quebrara, la alguna vez popular plataforma de comercio en línea alguna vez representó la gran mayoría de las transacciones de Bitcoin.
Mt. Gox tiene su sede en Tokio y su nombre de dominio MtGox.com se registró originalmente en 2007. Este es un sitio de intercambio que alberga cartas para el popular juego Magic: The Gathering. Comenzó a funcionar como una plataforma básica de comercio de Bitcoin a finales de 2010. Sin embargo, cuando la empresa empezó a generar un tráfico significativo, los propietarios vendieron la plataforma a Mark Carpel.
Kapils es un ávido programador y entusiasta de Bitcoin. Mejoró el código de la plataforma en línea para manejar el creciente número de transacciones y pedidos de Bitcoin. Pero el trato finalmente fracasó, lo que sugiere que no hizo lo suficiente técnica o gerencialmente, ya que intentó realizar las tareas de Mt. Gox sin experiencia.
El 24 de febrero de 2014, se suspendió la actividad comercial de Mt. Gox. Finalmente, se descubrió que los atacantes han utilizado la infraestructura de Mt. Gox muchas veces en los últimos años. Estos atacantes lentamente se apoderaron de los intercambios de Bitcoin manipulando algunos datos de transacciones, una característica conocida como maleabilidad de las transacciones, lo que condujo al ataque de Mt. Gox. Gox cree que algunos de estos retiros no se produjeron, por lo que los fondos solicitados se reenviaron varias veces.
A principios de este mes, pocas horas después de que Mt. Gox se desconectara, su equipo emitió un comunicado de prensa culpando al protocolo Bitcoin por una falla en el mecanismo de observación de transacciones. Cuando se recibe una solicitud de retiro, el intercambio verifica la cadena de bloques de Bitcoin para confirmar el ID de la transacción de retiro, un hash que consta de la información de la transacción. Sin embargo, el ID de la transacción solo es definitivo después de que se confirma la transacción en la cadena de bloques, lo que permite a un atacante cambiar el ID de la transacción cambiando algunos datos de la transacción (excluidas las entradas y salidas). ¿El resultado? La base de datos de Mt. Gox no mostró que el retiro fuera exitoso porque el ID de la transacción monitoreada por el intercambio nunca entró en el bloque, pero el atacante aún así recibió el Bitcoin porque la transacción alterada fue confirmada.
Sorprendentemente, aunque esta discrepancia contable nunca se descubrió, el 24 de febrero de 2014, se filtró un documento interno de Mt. Gox que detallaba el tamaño del agujero que había cavado la empresa. Los documentos muestran que se robaron más de 744.000 Bitcoins, con un valor de unos 35 millones de dólares en ese momento y que ahora valen casi 30 mil millones de dólares. Pero el éxito final de Mt. Gox no fue el primero.
Miles de Bitcoins se perdieron en al menos cuatro transacciones diferentes cuando los piratas informáticos comenzaron a explotar los agujeros de seguridad de la empresa hace 11 años, en 2011.
El 1 de marzo de 2011, un ladrón copió con éxito el archivo Wallet.dat de la billetera activa Mt. Gox y robó 80.000 BTC. En mayo, se robaron más fondos entre pares de los intercambios, y los piratas informáticos obtuvieron acceso a 300.000 Bitcoin almacenados en billeteras OTC a través de una unidad de red no segura y de acceso público. Pero el ladrón rápidamente devolvió 297.000 Bitcoins, dejando sólo 3.000 Bitcoins como "tarifas de custodia". Al mes siguiente, un atacante logró obtener acceso a una cuenta de administrador interna, manipuló los precios y colapsó brevemente el mercado antes de robar 2000 Bitcoins.
En septiembre de ese año, un hacker obtuvo con éxito acceso de lectura y escritura a la base de datos de Mt. Gox, lo que les permitió crear nuevas cuentas en el intercambio, aumentar los saldos de los usuarios y retirar 77.500 Bitcoins. Posteriormente borraron la mayoría de los registros de evidencia. Al mes siguiente, se produjo un error en el nuevo software de billetera del CEO, lo que provocó que se enviaran 2.609 Bitcoins a una clave vacía inutilizable.
En 2013, un hacker volvió a obtener una copia del archivo Wallet.dat de Mt. Gox y robó la asombrosa cifra de 630.000 Bitcoins.
Para 2014, Mt. Gox se había convertido en un intercambio con problemas, y la gente comenzó a cambiar sus Bitcoins por Bitcoins "reales" con un descuento en Mt. Gox, que es un mecanismo de respaldo para aquellos que se encuentran estancados. y no puede retirar ningún Bitcoin de Mt. Gox. Adelaida Cox.
El vendedor transfirió Bitcoin de su propia billetera Mt. Gox a la billetera Mt. Gox del comprador, lo que se consideró uso de información privilegiada sin un retiro adecuado, mientras que el comprador transfirió la cadena Bitcoin de su propia billetera a la billetera del vendedor. Cartera alojada.
Los problemas de retiro de Mt. Gox eran tan serios que un usuario australiano de Mt. Gox voló a la sede de la bolsa de Japón para protestar y le preguntó a Kapils por qué no podía retirar dinero de la bolsa. Los ejecutivos de Mt. Gox se negaron a revelar detalles detrás de escena, diciendo que se trataba de un "problema técnico" más que de una falla administrativa grave que precedió a la renuncia. Después de que el usuario abandonó Australia, Mt. Gox anunció oficialmente que todos los retiros se congelarían indefinidamente.
A pesar de una serie de ataques aislados hace unos años, Mt. Gox finalmente se vio abrumado después de años de negligencia administrativa y fallas de software.
Hablando de software, una fuente reveló que Mt. Gox no utiliza ningún control de versiones, lo que parece ridículo para una empresa como Mt. Gox que maneja tanto valor financiero como lo hace. Además, todos los cambios de código deben ser aprobados por el CEO Kapils, lo que significa que las correcciones de errores urgentes pueden permanecer en su escritorio durante semanas hasta que venga a revisarlas e insertarlas en el código principal. De hecho, los conjuntos de pruebas de código dejaron de existir hace varios años. Estas nuevas características y correcciones de errores dependen completamente de controles humanos antes de que puedan implementarse para los miles de usuarios que dependen del intercambio para comprar, vender y custodiar Bitcoin.
Aunque la infraestructura técnica y los métodos de desarrollo de software de Mt. Gox representan el máximo nivel de centralización, porque depende en gran medida de Kapils, en última instancia, todos los sistemas centralizados tienen sus deficiencias inherentes, que representan un único punto de falla.
Entonces, si bien es importante mejorar la seguridad y la solidez de los intercambios centralizados, la verdadera respuesta para lograr una seguridad duradera y la preservación de la riqueza radica en los sistemas descentralizados. Desde el nacimiento de Bitcoin, las transacciones y servicios centralizados han seguido reemplazando los defectuosos sistemas financieros tradicionales, mientras que los sistemas monetarios descentralizados entre pares permiten que cualquiera tome el control total de sus finanzas. Sin embargo, para lograr un futuro soberano, los usuarios deben tener Bitcoin en sus propias billeteras.
Mt. Gox se declaró en quiebra a finales de febrero de 2014, exponiendo una serie de ataques causados por el defectuoso software de verificación de retiros de la compañía que no tuvo en cuenta los retrasos en las transacciones; al menos desde 2011, la gente ya sabía sobre el posibilidad de una extensión del acuerdo.
Si bien el intercambio intentó culpar al propio Bitcoin, estaba claro que el único culpable era su propio sistema: un sistema de ejecución mal personalizado que drenó a miles de personas de los ahorros de toda su vida. En el colapso de Mt. Gox, incluso los empresarios de Bitcoin que deberían haber conocido los riesgos de la custodia y la importancia de la autocustodia perdieron cientos de Bitcoins por conveniencia.
Entonces, si bien el declive de Mt. Gox es malo para Bitcoin y su reconocimiento global en el corto plazo, es posiblemente el recordatorio más importante que los usuarios pueden recibir sobre la importancia de la autocustodia de los activos de Bitcoin.
Lo que era cierto entonces todavía se aplica hoy: los usuarios de Bitcoin solo pueden controlar la cantidad de Bitcoins que deben poseer si poseen todas las claves privadas. Pero los usuarios todavía tienen millones de Bitcoins en intercambios centralizados.
Nunca es demasiado tarde para adaptarse. Si bien ayer fue el mejor momento para retirar Bitcoin de un intercambio central o de un depósito en garantía de terceros, el segundo mejor momento es hoy.
No se demore en retirar su Bitcoin: es la inversión más asimétrica que puede hacer. El cuidado personal puede proporcionar una garantía que dure generaciones. Desde las configuraciones autohospedadas más simples hasta configuraciones más poderosas, los entusiastas de Bitcoin no se convertirán en entusiastas de Bitcoin hasta que vean Bitcoin en los intercambios y billeteras autohospedadas.
Empiece poco a poco, como configurar una billetera móvil sencilla y retirar algo de Bitcoin para demostrarle que se puede hacer. Transfiera gradualmente monedas desde la billetera central a su propia billetera hasta que todos sus fondos estén bajo su control. Incluso hay algunos servicios autohospedados de primera categoría para aquellos que tienen miedo de equivocarse.
Hagas lo que hagas, no coloques tus activos de Bitcoin en un intercambio centralizado.