Mt. Gox bitcoin debacle: enorme overval of slordige glitch?

Bijna een half miljard dollar aan virtuele bitcoin is verdwenen van een beurs in Tokio - in wat ofwel de bankoverval van de eeuw is, ofwel een slordige glitch, of een combinatie van de twee.

Mark Karpeles, de 28-jarige Franse CEO van Mt. Gox, dat ooit ongeveer 80 procent van de bitcoinhandel in de wereld verwerkte, heeft vrijdag laat faillissement aangevraagd bij een rechtbank in Tokio. Zijn advocaat zei dat bijna alle bitcoins in het bezit van de beurs - 850.000 stuks - verdwenen waren. Karpeles gaf hackers de schuld.

Tegen de huidige bitcoinkoersen op andere beurzen zou dat betekenen dat 473 miljoen dollar (282 miljoen pond) verloren is gegaan - ongeveer 7 procent van alle bitcoins die geslagen zijn.

"Als de diefstal waar is," zei Campbell Harvey, een professor aan Duke University's Fuqua School of Business, "is het de grootste bankoverval in de geschiedenis," afgezien van toen Saddam Hussein zijn zoon in 2003 opdracht gaf om 1 miljard dollar van de centrale bank van Irak op te nemen.

Hoe dit gebeurde blijft een mysterie. Maar de meeste waarnemers zeggen dat de laksheid van Mt. Gox een sleutelrol heeft gespeeld in het debacle.

"Toen ik me voor het eerst aanmeldde, was het duidelijk niet geschikt om een financiële dienstverlener te zijn," zei Jon Rushman, die onderzoek doet naar en lezingen geeft over bitcoin aan de Engelse Universiteit van Warwick. Maar het werd beter, zei hij: "Het is een proces geweest van leren door te doen, waarbij ze allerlei dingen hebben ontdekt die ze zouden moeten doen, maar niet deden."

Er is nog geen officiële verklaring gegeven, behalve dat hackers en zwakke plekken in het systeem van Mt. Gox de schuld krijgen.

Een document dat op het internet circuleert en dat een crisisstrategiedocument zou zijn dat in opdracht van Mt. Gox is opgesteld, gaf het gat de schuld van een "diefstal die verband houdt met de zwakke plekken en die enkele jaren onopgemerkt is gebleven". Mt. Gox heeft de echtheid van het document niet bevestigd.

De zin, zegt Ethan Heilman, een onderzoeker aan de Universiteit van Boston, verwijst naar een bug in het bitcoinproces waardoor iemand Mt. Gox kon laten denken dat een transactie was mislukt - en deze daarom kon blijven herhalen.

Volgens Heilman en anderen zou dit de verdwijning van het geld kunnen verklaren - ook al is de bug al een tijdje bekend en is hij op andere beurzen verholpen.

GELOOFWAARDIGHEID OPREKKEN

Problematischer is een ander deel van de vermeende verklaring van het document.

Gewoonlijk worden de private sleutels van bitcoins - vergelijkbaar met een persoonlijke bankpincode - offline opgeslagen, waar hackers ze niet kunnen bemachtigen. Deze "koude opslag" staat los van het online gedeelte - de hot wallet. In het document staat dat "de koude opslag is weggevaagd als gevolg van een lek in de hot wallet" - een verklaring die volgens deskundigen nergens op slaat.

Als het waar is, suggereert dit dat het overgrote deel van Mt. Gox's bitcoin deposito's weglekte zonder dat iemand het merkte.

Dit is ongeloofwaardig, zegt Anthony Hope, die compliance leidt voor het in Hong Kong gevestigde bitcoinbedrijf MatrixVision. Als Mt. Gox eenmaal op de hoogte was van de malleability bug, waarom hebben ze hun cold storage dan niet gecontroleerd? "Dit is net zoiets als iemand die zegt dat je je wijn in een kelder zet om het koel te houden, waarna iemand je vertelt dat een bepaald oogstjaar losse kurken had," zei hij. "Je zou vermoedelijk de kelder ingaan om er zeker van te zijn dat je flessen niet aangetast zijn."

Tomas Forgac van het in Singapore gevestigde Coin Of Sale zei: "Als dit een langdurige lekkage was die onopgemerkt bleef, toont het een ongelooflijk niveau van incompetentie."

'DUIZENDEN SOKKEN'

Als de bitcoins zijn gestolen, zouden de dief of dieven verschillende opties hebben om ze om te zetten in contant geld, zei Heilman van de Universiteit van Boston.

Ze hadden een "mixdienst" kunnen gebruiken om een groep fondsen te mixen met die van andere mensen. Ze hadden ook een dienst als localbitcoins.com kunnen gebruiken om bitcoins persoonlijk te verhandelen voor geld. "Er zijn veel mogelijkheden om uit te cashen, hoewel het omheinen van zoveel bitcoins moeilijk zou zijn," zei hij.

Om dat te doen, zegt Charles McFarland, een onderzoeksingenieur bij online beveiligingsbedrijf McAfee, zouden de dief of dieven hun sporen moeten verbergen door de bitcoin rond te strooien voordat ze in contanten worden witgewassen.

Dit proberen te doen vanuit een enkele bitcoin-portemonnee zou hetzelfde zijn als duizenden sokken in een droger stoppen terwijl iedereen er maar een enkel paar in gooit.

"Om deze reden is het een veilige gok om te zeggen dat de gestolen bitcoins hoogstwaarschijnlijk in talrijke portemonnees zijn uitbetaald, zodat elke transactie zich tussen de bomen kan verbergen," zei McFarland. Dat, zei hij, zou het "duur, zo niet onmogelijk, maken om te traceren."

Weten of dit diefstal of nalatigheid was, of beide, zal tijd kosten, en misschien nooit gebeuren. Amerikaanse federale aanklagers hebben Mt. Gox - en andere bitcoinbedrijven - gedagvaard om informatie in te winnen over een golf van ontwrichtende cyberaanvallen.

Maar bitcoin is een ongereguleerde industrie, vereist geen technische audits of risicobeheerprocedures - en biedt weinig mogelijkheden om degenen die mogelijk illegaal hebben gehandeld te vervolgen, zegt Zennon Kapron, die een financieel adviesbureau in Shanghai runt.

"Het ongelukkige deel is dat we misschien nooit precies zullen weten hoe dit is gebeurd," zegt hij.