744.000 Bitcoins perdidos hace ocho años: lecciones aprendidas de la caída de GOX.
El 24 de febrero de 2014, el famoso intercambio de Bitcoin Mt. Gox se desconectó después de que se robaran 744.000 Bitcoins (que hoy valen miles de millones de dólares).
Más de ocho años después de que Mt. Gox quebrara, la alguna vez popular plataforma de comercio en línea alguna vez representó la gran mayoría de las transacciones de Bitcoin.
Mt. Gox tiene su sede en Tokio. Su nombre de dominio MtGox.com se registró originalmente en 2007 como un sitio web comercial que albergaba el popular juego de cartas "Magic: the Gathering". A finales de 2010, comenzó a funcionar como una plataforma básica de comercio de Bitcoin. Sin embargo, cuando la empresa empezó a generar un tráfico significativo, los propietarios vendieron la plataforma a Mark Kapiers.
Kapiers, un ávido programador y entusiasta de Bitcoin, mejoró el código de la plataforma en línea para manejar el creciente número de transacciones de Bitcoin y órdenes de compra y venta. Pero, en última instancia, el colapso del acuerdo demostró que no estaba haciendo lo suficiente desde el punto de vista técnico o administrativo mientras intentaba cumplir con sus deberes como director ejecutivo de Mt. Gox con poca experiencia.
El 24 de febrero de 2014, Mt. Gox suspendió las operaciones y se desconectó. Finalmente, se descubrió que la infraestructura de Mt. Gox había sido explotada varias veces en los últimos años por atacantes que manipularon lentamente algunos de los datos de las transacciones de los intercambios de Bitcoin (una propiedad conocida como ataque de maleabilidad de las transacciones de Gox). Gox creyó que algunos de estos retiros no se produjeron y renunció a los fondos solicitados varias veces.
A principios de ese mes, horas después de que Mt. Gox se desconectara, su equipo emitió un comunicado de prensa culpando al protocolo Bitcoin por una falla en el mecanismo de observación de transacciones. Cuando se recibe una solicitud de retiro, el intercambio busca en la cadena de bloques de Bitcoin para confirmar el ID de la transacción de retiro: un hash compuesto por la información de la transacción. Sin embargo, el ID de la transacción es definitivo solo después de que se confirma la transacción en la cadena de bloques. Esta característica permite a un atacante cambiar el ID de la transacción cambiando parte de los datos de la transacción (excluyendo las entradas y salidas). ¿El resultado? La base de datos de Mt. Gox no mostró retiros exitosos porque el ID de la transacción monitoreada por el intercambio nunca entró en el bloque, pero el atacante aún recibió el Bitcoin porque la transacción modificada sí fue confirmada.
Sorprendentemente, aunque esta discrepancia contable nunca se descubrió, el 24 de febrero de 2014 se filtró un documento interno de Mt. Gox que detallaba las afirmaciones de la empresa sobre el tamaño del agujero que se cavó. Los documentos muestran que se robaron más de 744.000 Bitcoins, con un valor de unos 35 millones de dólares en ese momento y que ahora valen casi 30 mil millones de dólares. Pero el éxito final de Mt. Gox no fue la primera vez.
Los piratas informáticos comenzaron a explotar los fallos de seguridad de la empresa hace 11 años, en 2011, cuando se perdieron miles de Bitcoins en al menos cuatro transacciones diferentes.
El 1 de marzo de 2011, los ladrones copiaron con éxito el archivo Wallet.dat de la billetera activa Mt. Gox y robaron 80.000 BTC. En mayo, se robaron más monedas entre pares de los intercambios y los piratas informáticos obtuvieron acceso a 300.000 Bitcoin almacenados en billeteras de venta libre (OTC) a través de una unidad de red no segura y de acceso público. Sin embargo, el ladrón devolvió rápidamente los 297.000 Bitcoins, pero dejó sólo 3.000 Bitcoins como "tarifa de custodia". Al mes siguiente, un atacante logró acceder a una cuenta de administrador interna y manipular los precios, colapsando brevemente el mercado antes de robar 2.000 Bitcoins.
En septiembre de ese año, un hacker obtuvo con éxito acceso de lectura y escritura a la base de datos de Mt. Gox, lo que les permitió crear nuevas cuentas en el intercambio, aumentar los saldos de los usuarios y retirar 77.500 Bitcoins que luego eliminaron. la mayoría de los registros de evidencia.
El mes siguiente, un error en el nuevo software de billetera del CEO provocó que se enviaran 2.609 Bitcoins a una clave vacía inutilizable.
En 2013, un hacker volvió a obtener una copia del archivo Wallet.dat de Mt. Gox y robó la asombrosa cifra de 630.000 Bitcoins.
En 2014, Mt. Gox se convirtió en un intercambio con problemas y la gente comenzó a cambiar sus Bitcoins por Bitcoins "reales" con descuento en Mt. Gox, que son los que Un mecanismo de respaldo para las personas que se encuentran atascado y incapaz de retirar ningún Bitcoin de Mt. Gox. Adelaida Cox. El vendedor transfiere Bitcoin desde su billetera Mt. Gox a la billetera Mt. Gox del comprador, una transacción interna que no requiere un retiro adecuado, mientras que el comprador transfiere Bitcoin en cadena desde su billetera a la billetera del vendedor. Cartera alojada.
El problema de retiro en Mt. Gox era tan grave que un usuario australiano de Mt. Gox voló a la sede del intercambio en Japón para protestar y le preguntó a Kapierz por qué no podía retirar dinero del intercambio. Los ejecutivos de Mt. Gox se negaron a revelar detalles de lo que sucedió detrás de escena, diciendo que fue un "problema técnico" en lugar de un error de gestión grave que precedió a la salida. Después de que los usuarios abandonaron Australia, Mt. Gox anunció oficialmente que todos los retiros se congelarían indefinidamente.
A pesar de una serie de ataques aislados en años anteriores, Mt. Gox finalmente se ahogó después de años de negligencia administrativa y fallas de software.
Hablando de software, una fuente reveló que Mt. Gox no utiliza ningún control de versiones, lo que parece un poco ridículo para una empresa como Mt. Gox que maneja una gran cantidad de valor financiero. Además, todos los cambios de código deben ser aprobados por el CEO Capers, lo que significa que las correcciones de errores urgentes pueden permanecer en su escritorio durante semanas hasta que venga a revisarlas e insertarlas en el código principal. De hecho, los conjuntos de pruebas de código dejaron de existir hace varios años. Estas nuevas funciones y correcciones de errores dependen completamente de la revisión manual antes de implementarse para los miles de usuarios que dependen del intercambio para comprar, vender y custodiar Bitcoin.
Aunque la infraestructura técnica y los métodos de desarrollo de software de Mt. Gox representan el máximo nivel de centralización debido a su gran dependencia de Kapiers, en última instancia, todos los sistemas centralizados tienen sus deficiencias inherentes y representan un único punto de falla.
Entonces, si bien es fundamental mejorar la seguridad y la solidez de los intercambios centralizados, la verdadera respuesta para lograr una seguridad duradera y la preservación de la riqueza radica en los sistemas descentralizados. Desde el nacimiento de Bitcoin, las transacciones y servicios centralizados han seguido reemplazando el defectuoso sistema financiero tradicional, mientras que los sistemas monetarios descentralizados entre pares (PEER-to-peer) brindan a cualquiera un control total sobre sus finanzas. Sin embargo, para lograr un futuro soberano, los usuarios deberán mantener sus Bitcoins en las billeteras que administren.
Mt. Gox se declaró en quiebra a finales de febrero de 2014, revelando una serie de ataques causados por el defectuoso software de verificación de retiros de la compañía que no tenía en cuenta la maleabilidad de las transacciones, al menos desde La posibilidad de la maleabilidad de las transacciones. Se conoce desde 2011.
Aunque el intercambio intentó echarle la culpa al propio Bitcoin, estaba claro que el único culpable era su propio sistema: un sistema de ejecución mal personalizado que le costó a miles de personas los ahorros de toda su vida. En el colapso de Mt. Gox, incluso los empresarios de Bitcoin que deberían haber conocido los riesgos de la custodia y la importancia de la autocustodia perdieron cientos de Bitcoins por conveniencia.
Entonces, si bien el declive de Mt. Gox es malo para Bitcoin y su reconocimiento global en el corto plazo, es posiblemente el mensaje más importante que los usuarios pueden recibir sobre la importancia de la autocustodia de los activos de Bitcoin.
Lo que era cierto entonces sigue siendo cierto hoy: sólo poseyendo plenamente las claves privadas pueden los usuarios de Bitcoin controlar la cantidad de Bitcoins que deben poseer.
Pero los usuarios todavía tienen millones de Bitcoins en intercambios centralizados.
Nunca es tarde para autorregularse. Si bien ayer fue el mejor momento para retirar Bitcoin de un intercambio central o de un depósito en garantía de terceros, el segundo mejor momento es hoy.
No pospongas el canje de tus Bitcoin: es la inversión más asimétrica que puedes hacer. El cuidado personal puede proporcionar una seguridad que perdure durante generaciones. Desde las configuraciones autohospedadas más simples hasta configuraciones más poderosas, los entusiastas de Bitcoin solo se vuelven entusiastas de Bitcoin cuando ven que Bitcoin proviene de intercambios y billeteras autohospedadas.
Empiece poco a poco, como configurar una billetera móvil sencilla y retirar una parte de sus Bitcoins para que pueda ver que se puede hacer. Transfiera gradualmente monedas desde la billetera central a su propia billetera hasta que todos sus fondos estén bajo su control. Incluso hay algunos servicios autohospedados de primera categoría para aquellos que tienen miedo de equivocarse.
Hagas lo que hagas, no coloques tus tenencias de Bitcoin en un intercambio centralizado.