A Mt. Gox, com sede em Tóquio, foi originalmente registrada em 2007 para hospedar um site de negociação para os populares cartões do jogo Magic: The Gathering. A empresa começou a operar como uma bolsa de Bitcoin (BTC) rudimentar no final de 2010. No entanto, quando os negócios começaram a gerar um tráfego enorme, o proprietário vendeu a plataforma para Mark Karpeles.
Karpeles, um ávido programador e entusiasta do Bitcoin, reforçou o código da plataforma web para lidar com um volume crescente de transações de bitcoin e ordens de compra e venda.
Em 24 de fevereiro de 2014, a Mt. Gox suspendeu as negociações e ficou offline. Eventualmente, veio à tona que a infraestrutura da empresa havia sido explorada por invasores várias vezes ao longo dos anos, que lentamente roubaram da exchange centenas de milhares de bitcoin.
No início daquele mês, Mt. Gox ficou offline por algumas horas e sua equipe emitiu um comunicado de imprensa culpando o próprio protocolo do Bitcoin por ser defeituoso em seu mecanismo de observação de transações. Ao receber uma solicitação de retirada, a exchange observaria o blockchain do Bitcoin para uma confirmação do ID da transação de retirada – um hash construído a partir das informações da transação.
No entanto, um ID de transação só é finalizado quando a transação é confirmada no blockchain, uma característica que permite que os invasores alterem partes dos dados da transação – não incluindo as entradas e saídas – e, assim, alterem o ID da transação. O resultado? O banco de dados do Mt. Gox não mostraria uma retirada bem-sucedida, pois o ID da transação que a exchange estava observando nunca entraria em um bloco, mas o invasor ainda receberia o bitcoin assim que a transação alterada fosse confirmada.
Embora essa discrepância contábil tenha sido, surpreendentemente, nunca detectada, em 24 de fevereiro de 2014 um documento interno do Mt. Gox vazou, detalhando o tamanho do problema. O documento indicava que mais de 744.000 bitcoins foram roubados, no valor de cerca de US$ 35 milhões na época e quase US$ 30 bilhões agora.
As falhas de segurança da empresa começaram a ser aproveitadas por hackers três anos antes, em 2011, quando milhares de bitcoins foram drenados da exchange em pelo menos quatro ocasiões distintas.
Em 1º de março de 2011, os ladrões conseguiram fazer uma cópia do arquivo wallet.dat de uma carteira quente da Mt. Gox e roubaram 80.000 BTC. Em maio, uma quantidade ainda maior da moeda foi roubada da exchange, pois os hackers acessaram 300.000 BTC armazenados em uma carteira externa em uma unidade de rede insegura e acessível ao público. Os ladrões devolveram 297.000 bitcoins logo depois, no entanto, mantendo apenas uma “taxa de guarda” de 3.000 BTC. No mês seguinte, um invasor conseguiu acessar uma conta interna de administrador e manipular preços, derrubando temporariamente o mercado e depois roubando 2.000 bitcoins.
Em setembro do mesmo ano, um hacker conseguiu acesso de leitura e gravação ao banco de dados do Mt. Gox, o que permitiu que eles criassem novas contas na bolsa, inflassem os saldos dos usuários e sacassem 77.500 BTC. No mês seguinte, um bug no novo software de carteira do CEO levou ao envio de 2.609 BTC para uma chave nula que não poderia ser gasta.
O problema de retirada do Mt. Gox foi tão grave que um usuário australiano voou até a sede da bolsa no Japão para protestar e questionar Karpeles sobre por que eles não podiam remover seus fundos da bolsa.
Um funcionário interno revelou que a Mt. Gox não usava nenhum sistema de controle de versão – uma realidade que pode parecer absurda para uma empresa que lidava com tanto valor financeiro. Além disso, todas as alterações de código tinham que ser aprovadas pelo CEO Karpeles, o que significava que patches de bugs urgentes poderiam ficar em sua mesa por semanas até que ele voltasse para revisar e enviá-los para o código principal. Na verdade, um conjunto de testes de código não existia há muitos anos; novos recursos e correções de bugs dependiam apenas de uma verificação humana antes de serem implementados para os milhares de usuários que dependem da exchange para compra, venda e custódia de bitcoin.
Declaração de falência
A Mt. Gox declarou falência mais tarde em fevereiro de 2014, lançando luz sobre a série de hacks que se seguiram por meio de seu software de verificação de saque defeituoso que não levava em conta a maleabilidade da transação – uma possibilidade que era conhecida publicamente desde pelo menos 2011.
Mesmo que a exchange tenha tentado culpar o próprio Bitcoin, ficou claro que o único sistema culpado era o seu próprio – uma implementação personalizada ruim que custou a economia de milhares de pessoas.
Portanto, embora a decadência de Mt. Gox tenha sido prejudicial para o Bitcoin e sua percepção em todo o mundo no curto prazo, foi sem dúvida o lembrete mais importante que os usuários poderiam ter recebido.
É somente através da propriedade completa de chaves privadas que um usuário de Bitcoin pode controlar sua soberania. No entanto, os usuários ainda mantêm milhões de bitcoins em exchanges centralizadas.
Leia mais: “Crime contra o povo”, afirma criador do Ethereum sobre invasão da Ucrânia