Il y a dix ans aujourd'hui, MtGoxle plus grand Échange de Bitcoins le monde avait déjà vu une faillite officiellement annoncée après avoir perdu 475 millions de dollars de bitcoins sans apparemment le savoir. Une série de piratages, dont le plus dévastateur aurait été réalisé pendant deux ans et demi sous le nez du PDG Mark Karpelès, a paralysé la bourse et laissé ses centaines de milliers de clients sans le sou.
Dans cet article du 10e anniversaire, Mark Hunter, auteur de l'histoire définitive de MtGox, Catastrophe ultime – Comment MtGox a perdu un demi-milliard de dollars et a presque tué Bitcoinse souvient de la façon dont la bourse a été mise à genoux et, surtout, des questions qui restent sans réponse une décennie plus tard.
Qui l'a fait?
L’une des questions clés qui reste encore largement inconnue est la suivante : qui a volé les pièces ? Plus de 809 000 BTC ont été volés lors de six piratages au cours de la vie de MtGox, et nous ne connaissons que deux noms liés à un seul piratage : Alexey Bilyuchenko et Aleksandr Verner, accusés de faire partie du groupe de piratage russe qui a compromis l'échange en septembre 2011 et, en 18 mois, a volé et blanchi 647 000 bitcoins dans les portefeuilles froids de la bourse.
En fait, Verner et Bilyuchenko ont été accusés par les autorités américaines uniquement du blanchiment des pièces plutôt que du piratage lui-même, ce qui pourrait suggérer un manque de preuves contre eux sur cette accusation.
Hormis ces allégations, scellées en 2017 et rendu public en juin de l'année dernière, nous n'avons aucune idée de qui a volé les 162 000 BTC restants. 79 956 BTC restent dans le Portefeuille 1Feex où ils ont été envoyés par les pirates informatiques en mars 2011, alors que 77 500 volés en septembre 2011 n'ont jamais été retrouvés. Ce piratage a connu un tel succès qu’il n’a été détecté qu’en 2015.
Ensuite, il y a l'individu qui a fait chuter la valeur du Bitcoin de 17,50 $ à 0,01 $ et a volé 2 000 BTC en juin 2011, et l'individu qui, le mois précédent, a volé 300 000 BTC, soit plus de la moitié des pièces détenues par la bourse à l'époque, lorsque le PDG de MtGox Mark Karpelès a laissé le portefeuille sur un disque avec accès au réseau non crypté lors d'une maintenance. Heureusement pour Karpelès, le hacker a eu froid aux yeux et a négocié une prime de 1%, entraînant une perte de seulement 3 000 BTC pour l'échange.
Dans tous ces cas, nous n'avons aucune idée de qui a commis l'acte, et il est presque certain désormais que nous ne le saurons jamais. Beaucoup soupçonnent que le piratage de 1Feex était un essai à sec pour le piratage débilitant de septembre 2011 à janvier 2014, étant donné que le modus operandi était le même, mais cela n'a jamais été confirmé.
Comment est-ce arrivé?
Sur les 881 865 BTC qui ont quitté MtGox involontairement, nous pouvons seulement dire avec certitude comment 72 409 BTC ont été perdus : 30 000 BTC ont été enregistrés comme dépôts auprès des clients par le système de MtGox alors qu'ils ont en fait été volés par des pirates informatiques ; une erreur de Mark Karpelès en octobre 2011 a conduit à l'envoi de 2 609 à une adresse inexistante ; deux robots opérant sur MtGox, Markus et Willy, ont perdu 22 800 BTC ; et Karpelès a acheté la bourse polonaise Bitomat pour 17 000 BTC en juillet 2011.
En ce qui concerne les piratages, la méthode d’entrée est généralement soit inconnue, soit simplement suspectée. Dans le cas du piratage de juin 2011, nous savons que le pirate informatique a pu accéder au serveur MtGox via un compte de niveau administrateur ; cela a été initialement attribué à « un auditeur », mais il a été révélé plus tard qu'il s'agissait du récit de Jed McCaleb, le fondateur qui avait vendu MtGox à Mark Karpelès, qui disposait inexplicablement de privilèges d'administrateur. On pense que le pirate a obtenu les détails lorsque l'intégralité de la base de données des utilisateurs de MtGox a été volée ainsi que les 79 956 BTC lors du piratage 1Feex.
Étant donné que les autorités américaines disposaient de suffisamment de preuves pour affirmer que Verner et Bilyuchenko faisaient partie d'un groupe qui piraté MtGox ils doivent avoir des preuves pour étayer leurs affirmations, mais à moins qu’il n’y ait un procès (ce qui n’aura certainement jamais lieu), ces détails ne seront probablement jamais divulgués.
Dans quelle mesure les Bitcoins MtGox étaient-ils sûrs ?
À la question de savoir comment les pirates ont accédé aux serveurs de MtGox se pose la question de savoir comment ils ont ensuite pu accéder aux fonds soi-disant stockés en toute sécurité dans des portefeuilles froids. Nous savons que jusqu'au piratage de juin 2011, Karpelès conservait les bitcoins des utilisateurs de manière aléatoire dans divers portefeuilles physiques et logiciels, ce qui a exacerbé l'impact des piratages et prolongé le nettoyage.
Karpelès affirme que cet incident l'a amené à intégrer un système beaucoup plus sécurisé : il a réparti les pièces dans de nombreux portefeuilles en papier (il a déclaré plus tard que des centaines de morceaux de papier étaient impliqués) et les a cachés dans des coffres-forts et des coffres-forts autour de Tokyo. Par conséquent, si le portefeuille chaud était à nouveau volé, comme ce fut le cas pour le hack 1Feex, les portefeuilles froids ne devraient pas être affectés.
Cela semble assez sûr en soi, mais lorsqu'il a été révélé que les portefeuilles froids de la bourse avaient effectivement été saccagés entre octobre 2011 et janvier 2014, beaucoup ont commencé à se poser des questions : y compris Blogueuse Bitcoin et future associée générale de la société d'investissement crypto Andreessen Horowitz, Arianna Simpson :
Si vous le faites correctement, la chambre froide ne doit pas être accessible via le portefeuille chaud, fuite ou pas de fuite. C'est tout l'intérêt de séparer les deux.
Alors, comment les portefeuilles froids ont-ils été compromis ? Karpelès n'a jamais confirmé la configuration du portefeuille froid et chaud chez MtGox après juin 2011, potentiellement pour éviter tout procès basé sur une mauvaise gestion des fonds, mais il a donné des indices dans des interviews qui décrivent un scénario incohérent et parfois illogique.
La seule façon de recharger en toute sécurité un hot wallet avec les fonds d’un portefeuille papier est d’aller chercher le portefeuille papier et d’exécuter une transaction manuelle en plusieurs étapes sur un réseau ultra-sécurisé. Cela doit être fait à chaque fois, ce qui est bien sûr totalement irréalisable pour toute bourse Bitcoin, quelle que soit sa taille ou son volume de transactions. Aucun membre du personnel de MtGox n'a signalé avoir vu Mark Karpelès manipuler des portefeuilles papier, et en effet, certains membres éminents du personnel m'ont dit que Catastrophe ultime qu'ils n'avaient entendu parler que de portefeuilles chauds, jamais de portefeuilles froids.
Existe-t-il donc un système qui recharge automatiquement le portefeuille chaud à partir des portefeuilles froids lorsqu'il est à sec et vice versa ? Cela semble être la seule manière réalisable pour l’échange de fonctionner, même si cela sape totalement les principes d’un système de portefeuille froid.
Mark Karpelès savait-il que l'échange était rompu ?
C’est la question à 64 000 $ qui divise encore les opinions. Naturellement, Karpelès insiste sur le fait qu'il ne savait pas que l'échange avait été saigné jusqu'à ce qu'il vérifie les portefeuilles froids à la mi-février 2014, mais cette affirmation comporte des failles. MtGox avait commencé à rencontrer des problèmes de retrait de Bitcoin dès août 2013, et pourtant Karpelès ne semble pas avoir pensé une seule fois que le manque de pièces dans les portefeuilles pourrait être le problème pendant plus de six mois. Et ce, même si l’échange a été victime de plusieurs piratages au cours de sa vie.
Karpelès n'a pas tardé à blâmer le bug de « malléabilité des transactions » lorsqu'il est apparu début 2014 comme étant la raison des problèmes de retrait, mais on savait que cela nécessitait une énorme quantité d'ingénierie sociale pour réussir même un petit vol. Dans une interview pour un documentaire de 2018 sur MtGox, Karpelès a affirmé disposer d'un système de surveillance qui, selon lui, fonctionnait bien, c'est pourquoi il ne soupçonnait aucune perte.
Cela semble être la raison pour laquelle il ne soupçonne pas un piratage, mais s'il existait, alors il n'a pas été conçu correctement, ce qui indique le type de mauvaise gestion qui a tourmenté l'échange.
Inutile de dire que nombreux sont ceux qui ne croient pas que Karpelès n'a découvert la perte qu'en février 2014 et affirment que non seulement il le savait longtemps à l'avance, mais qu'il a également essayé d'utiliser les deux robots de trading présents sur MtGox, Willy et Markus, pour se rattraper. la perte. Si telle était l'intention de Karpelès, cela s'est retourné contre lui de façon spectaculaire : la paire a perdu 22 800 BTC et 51,6 millions de dollars à eux deux.
La réponse simple est que nous ne pouvons que spéculer sur la façon dont les bitcoins sur MtGox ont été sécurisés, et à moins que Mark Karpelès ne daigne nous le dire, cela restera ainsi.
Source https://fullycrypto.com/bitcoin-world-marks-10th-anniversary-of-mtgox-bankruptcy?utm_source=rss&utm_medium=rss&utm_campaign=bitcoin-world-marks-10th-anniversary-of-mtgox-bankruptcy