- Historia kryptowalut to też upadki największych giełd, m.in. Mt. Goxa.
- Inwestorzy nie powinni trzymać swoich kryptowalut na giełdach.
- Same platformy handlowe wyciągnęły jednak lekcję z kradzieży i dziś lepiej zabezpieczeją się przez cyberatakami.
Nie trzymaj coinów na giełdzie!
Każdy młody stażem adept kryptowalut powinien wiedzieć, że cyfrowych aktywów nie powinno trzymać się na giełdzie. Powód? Sama idea bitcoina opiera się na samodzielnym przechowywaniu majątku, bez angażowania do tego strony trzeciej – nie ważne, czy mowa o giełdzie, czy banku.
Choć twórca BTC, Satoshi Nakamoto, nie mógł w pełni przewidzieć tego, że historia kryptowalut będzie usłana trupami giełd, z perspektywy czasu widzimy, że miał rację: zaprojektował blockchaina tak, by umożliwić samodzielne przechowywanie aktywów. Samej sieci nie da się zhakować, ale okraść platformy handlowe już tak.
Zobacz także: Czy technologia blockchain to wydmuszka? Jak jest wykorzystywana w gospodarce?
Mt. Gox
Historia Mt. Gox to historia wielkiej straconej szansy. Jeszcze w 2013 r. giełda była największą platformą handlową na rynku kryptowalut. Przechodziło przez nią nawet 70% wszystkich transakcji z udziałem BTC. Sama plotka o tym, że trafi na nią litecoin doprowadziła do skoku kursu tej cyfrowej waluty.
Skąd taki fenomen? Mowa w końcu o giełdzie, która wystartowała w 2009 roku jako strona do wymiany… kart z serii „Magic: The Gathering”. Po roku – dostrzegając potencjał rodzącego się dopiero rynku kryptowalut - zmieniła specjalizację na handel bitcoinami, szybko stająć się przy tym liderem branży. Gdyby była mądrze zarządzana, dziś może deklasyfikowałaby Binance czy Coinbase. Niestety dla niego samego, Mark Karpeles, który od początku stał za projektem, nie okazał się sprawnym managerem.
Problemy zaczęły się w czerwcu 2013 r., gdy Mt. Gox zawiesił wypłaty w dolarach amerykańskich. Dopiero w sierpniu giełda przyznała, że zarejestrowała duże straty z powodu zaksięgowania depozytów, które nie zostały w pełni rozliczone. Na jaw zaczęło wychodzić wtedy fatalne zarządzanie firmą.
Dopiero jednak na początku kolejnego roku Mt. Gox de facto zakończył działalność, na stałe blokując wszelkie możliwe wypłaty, w tym kryptowalut. Klienci firmy dowiedzieli się, że straciła ona prawie 750 000 ich bitcoinów i 100 000 własnych (łącznie 850 000 BTC). Do tego doszło wręcz kuriozalne oświadczenie, z którego można było się dowiedzieć, że „firma uważa, że istnieje duże prawdopodobieństwo, że bitcoiny zostały skradzione”. Karpeles przyznał, że luki w systemie jego platformy ułatwiły cyberprzestępcom działanie.
W lutym 2014 r. spółka rozpoczęła proces upadłości. Już w marcu odnaleziono 199 999,99 bitcoinów. Niestety śledztwo potwierdziło, że doszło też do „wyczyszczenia” portfela Mt. Gox przez hakerów. Proces wykradania coinów trwał od końca 2011 r.!
Gdy Mt. Gox ogłosił upadłość kurs bitcoina załamał się. Wydarzenie to uważa się za oficjalny koniec hossy na BTC w latach 2012-13.
Obecnie trwa proces wypłaty środków poszkodowanym klientom. Po ponad dekadzie otrzymują oni swoje aktywa.
Bitfinex
Kolejną wielką kradzieżą w historii kryptowalut był atak hakerski na Bifinex. Utracono wtedy 119,756 BTC.
Do udanego ataku doszło w sierpniu 2016 r. Cyberprzestępcy przejęli kontrolę nad portfelami giełdy i wyprowadzili z nich aż 119,756 BTC, wartych wtedy 72 mln USD.
I wtedy kurs bitcoina spadł - o aż 20%. Gdy jednak giełda zauważyła, co się dzieje, szybko wstrzymała wszystkie wypłaty i handel bitcoinami. Zarząd firmy zadecydował też o tym, by poszkodowani klienci otrzymali tokeny BFX - proporcjonalnie do swoich strat.
Co zaś w tym czasie robili przestępcy? Na początku 2017 r. zaczęli przenosić BTC z portfela, na który początkowo przenieśli coiny, na darkwebowy rynek AlphaBay. W ten sposób chcieli je wyprać i zapewne bezpiecznie przenieść na swoje nowe adresy. Służby USA zareagowały na to zamknięciem AlphaBay. I to nie zniechęciło hakerów, którzy przekierowali BTC na rosyjski rynek Hydra.
Po drodze cyberprzestępcy pozostawili jednak ślady, którymi podążyli śledczy. W efekcie w lutym 2022 roku aresztowano małżeństwo z Nowego Jorku: Ilyę Lichtensteina i jego żonę Heather R. Morgan. Oboje zostali oskarżeni o spisek mający na celu wypranie bitcoinów, których wartość w tamtym czasie wzrosła już do 5,3 miliarda USD.
Kim dokładnie byli podejrzani? Lichtenstein to przedsiębiorca, który współtworzył firmę MixRank, z kolei Morgan była m.in. byłą współpracowniczką "Forbesa" i… raperką.
Lichtensteina obciążyło to, że posiadał arkusz kalkulacyjny z danymi adresów portfeli powiązanych z atakiem na Bitfinex. Żona miała mu pomagać w procederze prania środków.
Małżeństwu udało się już zamienić część BTC: kupili za nie złoto, dolary, NFT czy drogie gadżety (w tym m.in. konsolę PlayStation). Co ważne, większość bitcoinów pozostało jednak w swojej pierwotnej formie.
W sierpniu 2023 r. Lichtenstein przyznał się do winy – zarzutu dot. prania pieniędzy. Podobnie postąpiła jego żona. Później Lichtenstein przyznał się też do tego, że stał za włamaniem na Bitfinex. W listopadzie 2024 r. został skazany na 60 miesięcy więzienia, a jego partnerka na 18 miesięcy pozbawienia wolności.
Netflix przygotował o parze film dokumentalny, który miał premierę w 2024 r.
Coincheck
Powracamy do Azji. Ofiarą przestępców padła też japońska giełda Coincheck.
Do ataku na platformę doszło w styczniu 2018 r. Hakerzy ukradli wtedy tokeny NEM o wartości ponad 500 mln USD. Od razu po ataku zablokowano handel tokenami i ogłoszono, że klienci otrzymają zwrot 90% wartości utraconych środków.
Dlaczego doszło do udanego ataku? Powodem było to, że tokeny NEM były przechowywane na gorącym portfelu (hot wallet), a nie na zimnych odpowiednikach (cold wallets), które nie są podłączone do sieci. Do tego okazało się, że system nie był rozbudowany o istotne zabezpieczenia – system wielopodpisowy (multi-signature system), który zwiększyłby bezpieczeństwo środków.
W 2018 r. aresztowano 30 osób, które stały za atakiem. Wiadomo było, że przebywały w tym czasie w Japonii. Nie podano ich narodowości, ale wcześniej media sugerowały, że byli to rosyjscy hakerzy. Inna wersja głosiła, że była to sprawka hakerów z Korei Północnej.
KuCoin
We wrześniu 2020 r. giełda Kucoin przyznała, że skradziono jej 281 mln USD w różnych cyfrowych aktywach. Co dokładnie się stało? Jak przyznał dyrektor generalny Johnny Lyu hakerzy przejęli klucze prywatne do portfeli z kryptowalutami. Skradziono w ten sposób bitcoiny i tokeny oparte na sieci Ethereum.
Kucoin postanowiło poprosić o pomoc społeczność kryptowalut i zaoferowało nagrodę w wysokości 100 000 USD dla każdego, kto pomoże w wyśledzeniu sprawców ataku. Szybko pojawił się wątek północnokoreańskiej grupy hakerów, Lazarus Group, która miała stać za przejęciem środków. W tym czasie jej nazwa często pojawiała się w tego typu newsach. Była to szajka cyberprzestępców współpracująca z reżimem Kimów i zdobywająca dla niego kryptowaluty, które z kolei były wykorzystywane do finansowania badań nad bronią nuklearną.
W lutym 2021 r. Lyu przekazał, że w wyniku współpracy z innymi giełdami udało się odzyskać równowartość 222 mln USD. Pozostałą część strat pokryto z funduszu ubezpieczeniowego firmy.
Podsumowanie, czyli co nas uczy historia
Powyższe ataki to tylko niektóre z wielu podobnych w historii rynku kryptowalut. Warto zaznaczyć, że przez ostatnie lata giełdy wyciągały jednak wnioski ze wszystkich tych wydarzeń: wprowadziły szereg środków ochrony, takich jak dwuskładnikowe uwierzytelnianie (2FA), z czego powinni korzystać ich klienci, obowiązkowe stały się też zimne portfele (cold wallets) i przeprowadzane są też cykliczne audyty bezpieczeństwa.
Czy wszystko to przyniosło efekty? W 2024 r. skradziono 2,3 mld USD. Co jednak ważne – nie tylko z giełd, chodzi o wartość wszystkich kryptowalut, jakie skradziono. Dla porównania: w 2022 r. skradziono cyfrowe aktywa za 3,7 mld USD
W ubiegłym roku zaatakowano też z powodzeniem m.in. japońską giełdę DMM Bitcoin (strata 300 mln USD), czy indyjską WzirX (235 mln USD). Nie doszło jednak do tak spektakularnych ataków, jak te wymienione powyżej.
Jakie lekcje z tego powinni wyciągnąć klienci giełd? Przede wszystkim, co padło już na początku tego tekstu, nie powinni trzymać swoich kryptowalut na giełdach, a na własnych portfelach. Jeżeli muszą już przechowywać środki na giełdzie (np. dlatego, że uprawiają daytrading), powinni przenosić swoje kryptowaluty np. na noc na swój portfel. Ewentualnie trzymać na platformie handlowej tylko taką część aktywów, które mogą stracić. Chodzi o to, by jak najkrócej utrzymywać swoje aktywa poza własną kontrolą.
Do tego standardem powinno być też zabezpieczanie konta na giełdzie za pomocą logowania dwuskładnikowego (2FA).
Giełdy muszą priorytetowo traktować cyberbezpieczeństwo, przejrzystość operacyjną i zaawansowaną infrastrukturę, aby uniknąć podobnych sytuacji jak w przypadku Mt.Gox czy [upadłej w 2022 r.] FTX. Wiodące platformy, takie jak Bitget, robią to, utrzymując fundusz ochronny o wartości 600 mln USD i wdrażając przejrzyste systemy potwierdzania rezerw. Środki te chronią użytkowników i stanowią punkt odniesienia dla zaufania i niezawodności w całej branży. Każda giełda powinna przyjąć te najlepsze praktyki, aby zapewnić długoterminową stabilność i zaufanie użytkowników.
- podsumowuje Ryan Lee z Bitget Research.
Inwestowanie w kryptowaluty może być bezpieczne, ale konieczne jest stosowanie cyfrowego BHP. Bez tego sami zapraszamy do naszego życia hakerów.
Zobacz także: Bitcoin znów zakłada koronę. Duży wystrzał kursu głównej kryptowaluty
Komentarze
Sortuj według: Najistotniejsze
Nie ma jeszcze komentarzy. Skomentuj jako pierwszy i rozpocznij dyskusję