هومن جعفری، مترجم: برای بزرگداشت دهمین سالگرد فروپاشی صرافی بیتکوین «مت گاگس»، مارک هانتر، نویسنده کتاب «فاجعه نهایی: چگونه «مت گاگس» نیممیلیارد دلار از دست داد و بیتکوین تقریبا کشته شد» به سوالاتی میپردازد که 10 سال بعد هنوز بیپاسخ ماندهاند.
هنگامی که صرافی ژاپنی بیتکوین مت گاگس در فوریه 2014 سقوط کرد، نگرانیهای موجهی وجود داشت که این سقوط میتواند صنعت نوپای ارز دیجیتال را هنوز شروعنشده نابود کند. اکنون بهراحتی میتوان چنین نگرانیهایی را بهسخره گرفت، اما در آن سال بسیاری از مردم با توجه به اینکه بیتکوین هنوز با چنین فاجعهای روبهرو نشده بود، در همین راستا فکر میکردند.
مارک هانتر 20 سال نویسنده و نویسنده سایه و از سال 2017 یک نویسنده برجسته ارزهای دیجیتال بوده است. او نویسنده کتاب فاجعه نهایی: چگونه «مت گاکس» نیممیلیارد دلار از دست داد و بیتکوین تقریبا کشته شد است. مجموعه پادکستهای متعددی را هم پیرامون این رمزارز ایجاد کرده است.
بیش از 880 هزار بیتکوین بین مارس 2011 تا ژانویه 2014 توسط این صرافی گم شده یا از آن به سرقت رفته، حجمی که امروز به ارزش حیرتآور 45 میلیارد دلار است و با این حال، با گذشت دهمین سالگرد فروپاشی آن، هنوز چندین سوال مهم وجود دارد که بیپاسخ بماند.
چه کسی این کار را کرد؟
یکی از سوالات کلیدی که ناشناخته باقی مانده، این است که آیا ما همه مقصران را میشناسیم یا خیر؟ بیش از 809 هزار بیتکوین از طریق شش هک در این صرافی به سرقت رفت و ما فقط دو نام مرتبط با یک هک را میشناسیم؛ الکسی بیلوچنکو و الکساندر ورنر که متهم به عضویت در گروه هک روسی هستند و در اکتبر 2011 صرافی را به خطر انداختند. درطول 26 ماه، این دو به سرقت و شستن 647 هزار بیتکوین از کیف پول سرد صرافی کمک کردند.
ورنر و بیلوچنکو تنها توسط مقامات ایالاتمتحده به پولشویی بیتکوینها متهم شدهاند و نه خود هک که میتواند نشاندهنده فقدان شواهد علیه آنها در این اتهام باشد.
جدای از این اتهامات که در سال 2017 مهروموم شد و در ژوئن سال گذشته علنی شد، ما هیچ ایدهای نداریم که چه کسی 162 هزار بیتکوین باقیمانده را دزدیده است. 79956 بیتکوین به آدرس معروفی که با نام 1Feex شروع میشود، گره خورده است، درحالیکه 77500 بیتکوین سرقتشده در سپتامبر 2011 هرگز ردیابی نشده است. این هک آنقدر موفق بود که تا سال 2015 شناسایی نشد.
سپس فردی است که دوهزار بیتکوین را در ژوئن 2011 دزدید و باعث شد ارزش بیتکوین از 17.50 دلار به 0.01 دلار سقوط کند. همچنین یک هکر زیرک بیش از نیمی از سکههای موجود در صرافی را وقتی هک کرد که مارک کارپلس، مدیرعامل صرافی در یک بیاحتیاطی محض کیف پول سختافزاری را روی یکی از درایوهای شرکت بدون اقدامات احتیاطی سوار کرده بود. آنها خوشاقبال بودند که هکر به هر دلیلی بهجای 300 هزار بیتکوین موجود در صرافی، با آنها مذاکره کرد و به دزدیدن یک درصد از این بیتکوینها یعنی 300 بیتکوین اکتفا کرد. در تمام این موارد، ما نمیدانیم چه کسی این کار را انجام داده و اکنون تقریبا مسلم است که هرگز انجام نخواهیم داد. بسیاری گمان میکنند این دو هک به هم مرتبطند اما مدرکی نیست.
چگونه اتفاق افتاد؟
از 881865 بیتکوینی که این صرافی را بهصورت ناخواسته ترک کردند، تنها میتوانیم با اطمینان بگوییم که چگونه 72409 بیتکوین از دست رفته است. 30 هزار بیتکوین بهعنوان سپرده به مشتریان توسط سیستم صرافی ثبت شد، درحالیکه درواقع توسط هکرها به سرقت رفتند. خطای مارک کارپلس در اکتبر 2011 منجر به ارسال 2609 بیتکوین به آدرسی شد که وجود نداشت.
در مورد هک ژوئن 2011، ما میدانیم که هکر توانسته از طریق یک حساب کاربری در سطح مدیر به سرور صرافی دسترسی پیدا کند. این در ابتدا به حسابرس صرافی نسبت داده شد، اما بعدا مشخص شد این حساب جد مککالب، بنیانگذار صرافی بود که شرکتش را به مارک کارپلس فروخته بود اما بهطور غیرقابلتوضیحی هنوز دارای امتیازات مدیر بود. گمان میرود هکر جزئیات را زمانی بهدست آورد که کل پایگاه داده کاربران صرافی به همراه 79956 بیتکوین در هک Feex ۱ به سرقت رفت.
با توجه به اینکه مقامات ایالاتمتحده به نام ورنر و بیلوچنکو بهعنوان بخشی از گروهی که در اکتبر 2011 صرافی را هک کردند، مطمئن بودند، آنها باید شواهدی برای تایید ادعاهای خود داشته باشند، اما تا قبل از محاکمه عمومی این جزئیات احتمالا هرگز فاش نخواهد شد.
بیتکوینهای مت گاگس چقدر ایمن بودند؟
در رابطه با این سوال که چگونه هکرها به سرورهای صرافی دسترسی پیدا کردند، این سوال هم پیش میآید که آنها چگونه توانستند به وجوهی دسترسی پیدا کنند که ظاهرا به طور ایمن در کیف پولهای سرد ذخیره شده بودند. ما میدانیم که تا هک ژوئن 2011، کارپلس بیتکوینهای کاربران را به طور تصادفی در کیف پولهای فیزیکی و نرمافزاری مختلف نگه میداشت که تاثیر هکها را تشدید کرده و پاکسازی را طولانی کرد. کارپلس ادعا میکند این این حادثه باعث شد او سیستم بسیار ایمنتری را وارد کند؛ او سکهها را در کیفهای کاغذی متعددی تقسیم کرد (او بعدا گفت که صدها تکه کاغذ در آن نقش داشتند) و آنها را در صندوقهای بانکی و صندوقهای امانات در اطراف توکیو پنهان کرد. بنابراین اگر «کیف پول داغ» دوباره به سرقت رفت، «کیف پول سرد» نباید تحتتاثیر قرار گیرد. (تفاوت کیف پول سرد و گرم در این است که کیف پول گرم بهصورت آنلاین در دسترس است اما کیف پول سرد کاملا آفلاین است.)
این بهخودیخود به اندازه کافی امن بهنظر میرسد، اما زمانی که فاش شد کیف پولهای سرد صرافی واقعا بین اکتبر 2011 تا ژانویه 2014 غارت شده است، بسیاری شروع به پرسیدن سوالاتی جدی کردند، ازجمله آریانا سیمپسون وبلاگنویس بیتکوین که بعدها در یک شرکت سرمایهگذاری کریپتو هم شریک شد: «اگر این کار را درست انجام میدهید، سردخانه نباید از طریق کیف پول داغ، نشتی یا بدون نشتی قابل دسترسی باشد. تمام هدف ابداع کیف پول سرد و گرم جدایی این دو از یکدیگر برای جلوگیری از چنین فاجعهای است.»
پس چگونه کیف پولهای سرد به خطر افتادند؟ کارپلس هرگز تنظیم سفارشی کیف پول سرد- گرم خود را تایید نکرده است، بهطور بالقوه برای جلوگیری از دعوای حقوقی مبتنیبر سوءاستفاده از وجوه، اما او در مصاحبهها نکاتی را ارائه کرده است که سناریویی متناقض و گاهی غیرمنطقی را نشان میدهد.
تنها راه برای شارژ ایمن یک کیف پول داغ با وجوه از یک کیف پول کاغذی این است که بروید و کیف پول کاغذی را بگیرید و یک تراکنش دستی چند مرحلهای را در یک شبکه فوقامن انجام دهید. این کار باید هر بار انجام شود که البته برای هر صرافی بیتکوین بدون توجه به اندازه یا حجم معاملات آن، کاملا غیرعملی است. هیچ یک از کارکنان صرافی گزارش ندادهاند که کارپلس درحال دست زدن به کیف پولهای کاغذی است و درواقع برخی از اعضای برجسته کارکنان به من گفتند که فقط از کیف پول گرم خبر داشتند و هیچ وقت به کیف پول سرد اشارهای نشده بود! بنابراین آیا سیستمی وجود داشت که بهطور خودکار کیفپولهای داغ را در هنگام انتقال از کیفهای سرد پر میکرد و بالعکس؟ بهنظر میرسد این تنها راه عملی است که صرافی میتواند از طریق آن عمل کند، اگرچه اصول سیستم کیف پول سرد را کاملا تضعیف میکند.
آیا مارک کارپلس میدانست که مبادله بههم خورده است؟
این سوال بزرگی است که هنوز نظرات را از هم جدا میکند. بهطور طبیعی، کارپلس اصرار دارد تا زمانی که کیف پولهای سرد را در اواسط فوریه 2014 بررسی نکرد، نمیدانست که صرافی غارت شده است، اما این ادعا اشکالاتی دارد. صرافی از آگوست 2013 شروع به تجربه مشکلات برداشت بیتکوین کرده بود که باید زنگ خطر را به صدا درمیآورد. با این حال بهنظر میرسد کارپلس فکر نمیکرد که مت گاگس با وجود اینکه این صرافی در طول عمر خود قربانی هکهای متعددی شده بود، کمبود بودجه دارد.
هنگامی که کارپلس در اوایل سال 2014 ظاهر شد، بهسرعت مشکل «قابلیت انعطافپذیری تراکنش» را بهعنوان دلیل مشکلات خروج مقصر معرفی کرد، اما مشخص شد این امر به مقدار زیادی مهندسی اجتماعی نیاز دارد تا حتی یک سرقت کوچک را انجام دهد. او همچنین گفت به هیچ ضرری مشکوک نیست زیرا یک سیستم نظارتی وجود دارد. اگر چنین سیستمی وجود داشته باشد، بهدرستی طراحی نشده است که نشاندهنده نوع سوءمدیریتی است که سرمایهگذاران را آزار داد.
نیازی به گفتن نیست که افراد زیادی باور نمیکنند کارپلس ضرر را فقط در فوریه 2014 کشف کرده است. برخی دیگر از این هم فراتر میروند و میگویند کارپلس نهتنها از بیتکوینهای گمشده اطلاع داشت، بلکه از ویلی و مارکوس برای جبران ضرر استفاده کرد. اگر این قصد کارپلس بود، نتیجه معکوس داشت؛ این دو 22800 بیتکوین و 52.6 میلیون دلار را قبل از سقوط صرافی از دست دادند.
پاسخ ساده این است که ما فقط میتوانیم حدس بزنیم بیتکوینها در مت گاکس دقیقا با چه روشی محافظت میشدند که چنین فاجعهای رقم خورد و تا وقتی مارک کارپلس بخواهد حقیقت را به ما بگوید، کسی از جواب این سوال مطلع نخواهد بود!