Raport ze śledztwa w sprawie giełdy Mt.Gox i bota “Willy”

Tajemnica giełdy MtGox po roku od jej bankructwa wciąż wzbudza emocje. Oprócz toczącego się oficjalnego śledztwa w tej sprawie, trwają też badania prowadzone przez niezależne zespoły. Japońska firma WizSec zajmująca się bezpieczeństwem sieciowym a zwłaszcza związanym z kryptowalutami, publikowała  raport podsumowujący  ich dochodzenie.

 

Tajemnica giełdy MtGox po roku od jej bankructwa wciąż wzbudza emocje. Oprócz toczącego się oficjalnego śledztwa w tej sprawie, trwają też badania prowadzone przez niezależne zespoły. Japońska firma WizSec zajmująca się bezpieczeństwem sieciowym a zwłaszcza związanym z kryptowalutami, publikowała  raport podsumowujący  ich dochodzenie.

 

Już w czasie giełdowej bańki w ostatnim kwartale 2013 roku, bańki „prowadzonej” głównie przez MtGox, uważni gracze zaobserwowali dziwnie grające boty giełdowe, obracające znacznymi sumami. Bot nazwany „Willy”, w Polskim środowisku bitcoinowym czasem zwany też „ślimakiem”, beznamiętnie skupował tysiące bitcoinów pchając kurs do góry. Podejrzenia wzbudzał fakt, że bot handlował również w chwilach, gdy dostęp do giełdy był odcięty dla użytkowników na skutek problemów z serwerem, co sugerowało, że w ten sposób manipulują giełdą jej właściciele.

Tymczasem w grudniu 2013 bańka zaczęła pękać, a wkrótce potem stało się jasne, że MtGox ma poważne problemy z wypłacalnością. 28 lutego 2014 roku giełda oficjalnie zbankrutowała. Zniknęło prawie 800 000 BTC. Jakby tego było mało, w marcu okazało się, że serwery giełdy zostały zaatakowane przez hakerów, którzy między innymi wykradli bazę danych z transakcjami giełdowymi wykonanymi do końca listopada 2013 i udostępnili ją w sieci.

Już po dwóch miesiącach został w sieci opublilowany „The Willy Report” – wnikliwa analiza logów transakcji, z której jasno wynikało, że boty handlujące na MtGox były narzędziem przy pomocy którego wywołano grudniową bańkę na bitcoinie. Wiele poszlak wskazuje na to, że boty te były kontrolowane przez operatora giełdy, w tym być może samego Marka Karpelesa.

Raport opublikowany przez WizSec jest pogłębieniem analiz zawartych w „The Willy Report”, z wykorzystaniem również innych danych wykradzionych z serwera MtGox w marcu, takich jak na przykład wykazy wpłat i wypłat oraz stany kont. Trzeba jednak zaznaczyć, że raport ten liczy sobie już pół roku, tyle że wcześniej nie został opublikowany, jak to się zazwyczaj pisze, dla dobra śledztwa.

Kariera „Willy’ego” zaczyna się 27 września 2013. Bot działał z kilkunastu kont w systemie, które aktywowane były kolejno. Co kilka minut kupował losowe sumy z zakresu od 10 do 20 BTC. Z żadnego z kont bota nigdy nie dokonano ani jednej sprzedaży bitcoinów. Każde konto było aktywne do momentu skupienia BTC za określoną okrągłą sumę USD, najczęściej dwa i pół miliona. W okresie od początku swojej działalności do końca listopada, kiedy to urywają się ujawnione logi, Willy skupił ponad 250 000 BTC i był głównym sprawcą grudniowej bańki. Obrazuje to dobrze poniższy wykres, gdzie na kurs bitciona nałożono procentowy udział bota w dziennym obrocie na MtGox.

Pierwszym krokiem analizy przeprowadzonej przez WizSec było ustalenie wzorca zachowań bota. Ponieważ bot zawsze wystawiał zlecenia „po każdej cenie”, przyjęto, że kwoty zrealizowanych zleceń zawarte w logach, odpowiadają kwotom zleceń wystawianych. Wszystkie zlecenia bota naniesiono na wykres, którego oś pionowa to kwota zlecenia, a pozioma to czas. Dodatkowo kolorami zaznaczono kolejne konta używane przez Willy’ego. Powstał taki oto, daleki od przypadkowości obrazek:

Drugą ciekawą zależnością jest czas między kolejnymi wystawianymi zleceniami. Poniższy wykres pokazuje jak odstęp między zleceniami zmieniał się w czasie. Również i tutaj widoczne są limity narzucone przez algorytm bota.

Tak więc Willy wystawiał zlecenia o sumach przypadkowych, ale ze ściśle określonego przedziału. Również losowe odstępy między zleceniami zawierały się w ścisłych granicach. Granice te operator bota mógł zmieniać i robił to. Po odfiltrowaniu z logów wszystkich tych automatycznych operacji, pozostało kilkadziesiąt zleceń na znacznie wyższe sumy, z przedziału od 100 do 2000 BTC. Te zlecenia nie układają się w jakiś charakterystyczny wzorzec i najprawdopodobniej były wystawiane przez operatora bota ręcznie.

Analitycy z WizSec poszli tym tropem dalej. Pod lupę wzięli wszystkie zdarzenia inicjowane ręcznie przez właściciela Willy’ego, a więc otwieranie i zakładanie nowych kont, ręcznie wystawiane duże zlecenia, zmianę zakresu zleceń automatycznych czy też zmianę zakresu odstępu między zleceniami. Uwzględniono również zlecenia wyglądające z pozoru na automatyczne, ale wyzwolone wcześniej, niż by to wynikało z algorytmu. W sumie zebrano około 200 takich zdarzeń, zakładających działanie człowieka. Następnie wykonano dobowy rozkład czasowy tych wydarzeń:

Okazuje się, że w „ludzkiej” aktywności bota występuje konsekwentna, trzygodzinna luka od godziny 17 do 20 czasu uniwersalnego. Jeżeli przyjmiemy, że odpowiadałoby to godzinom najgłębszego snu, to luka pasuje do japońskiej strefy czasowej (od 2 do 5 nad ranem). Oczywiście dla danego dnia ta luka z reguły jest dłuższa (od 6 do 7 godzin, minimalnie cztery). Z dużym prawdopodobieństwem można przypuścić, że Willy był kontrolowany przez osobę mieszkającą we wschodniej Azji lub Australii. Oprócz tego wyłapano też, że właściciel bota praktycznie nie był aktywny w soboty i niedziele.

Inną ciekawą kwestią, którą zajęli się badacze z WizSec, było to, co się działo z Willym po 30 listopada. Niestety logi z wycieku urywają się na tej właśnie dacie. Po niej pozostają tylko dane publicznie udostępniane w czasie rzeczywistym przez giełdę, które oczywiście były archiwizowane przez niejeden serwis. Nie ma w nich, rzecz jasna, kont użytkowników, jest tylko czas, wolumen i kurs transakcji. Tak jak poprzednio przyjęto, że bot wystawiał tylko zlecenia po cenie rynkowej. Następnie łączono zlecenia zrealizowane w ciągu 2 sekund lub mniej, i “ustalające trend”, czyli zlecenia zakupu podnoszące kurs lub zlecenia sprzedaży ten kurs obniżające. Taka analiza obarczona jest większym błędem, ale i tak ślady bota są bardzo dobrze widoczne:

Jak widać, Willy operował również w grudniu i prawie do końca stycznia, pompując kurs, z krótką przerwą świąteczną i drugą w połowie stycznia. Natomiast 28 stycznia, gdy MtGox chylił się już ku upadkowi, bot został przełączony w tryb odwrotny i zaczął ostro sprzedawać, co nie pozostało bez wpływu na kurs. Tak jak wcześniej kurs na MtGox szybował nawet powyżej 100 dolarów nad pozostałymi giełdami (arbitraż był niemożliwy z powodu ogromnych opóźnień w wypłatach walut fiat), tak “odwrotny Willy” rzucił go na kolana.

Pomimo, że jest to bardzo pomysłowa i wnikliwa analiza, wydaje się, że stawia więcej pytań, niż przynosi odpowiedzi. Z drugiej strony autorzy raportu zaznaczają, że jest on już nieco przestarzały, a wielu rzeczy nie mogli powiedzieć, chcąc współpracować z grupą prowadzącą oficjalne śledztwo. Podstawowe pytanie, gdzie się podziały pieniądze i jakie są szanse na ich odzyskanie przez użytkowników giełdy, nadal pozostaje bez odpowiedzi. Coraz więcej poszlak wskazuje na to, że zaginięcie 800 000 BTC nie było rezultatem włamania, a działaniem operatorów giełdy, nie wiadomo jeszcze tylko czy za wiedzą i przyzwoleniem jej głównego właściciela…

 

Źróło i zdjęcia: wizsec.jp