Wat is Mt. Gox? Hoe er 850.000 bitcoins werden gestolen

In 2014 daalde de Bitcoin-prijs met bijna 36% in slechts twee maanden tijd. Wat gebeurde er in deze korte periode dat de prijs zo sterk daalde? Vandaag duiken we de geschiedenisboeken in en leggen we uit wat er gebeurde tijdens de beruchte Mt. Gox hack. De hack waarbij (ongeveer) 7% van alle bitcoins werden gestolen.

De online magic exchange

Mt.Gox (kort voor Magic The Gathering Online eXchange) was een in Tokio gevestigde bitcoin exchange. De exchange begon in 2010 en had maar drie jaar nodig om 's werelds grootste bitcoin exchange te worden. MtGox verhandelde op een gegeven moment bijna 70% van alle bitcoin transacties, wereldwijd. Maar het begin van de reis was toch een stukje anders. Zoals de naam misschien doet vermoeden, werd Mt Gox gemaakt voor een populair collectable kaartspel met de naam Magic the Gathering. Programmeur Jed McCaleb, een grote Magic the Gathering Online liefhebber, had een visie waarbij hij de online aandelen beurs combineerde met de handel in magic kaarten. Hij kocht het domein in 2007 en lanceerde aan het eind van het jaar de beta van de website. Dit liep toch anders dan gepland en hij liet het project na drie maanden al weer varen. Drie jaar later, in 2010, las McCaleb een artikel over Bitcoin via sociale media. Jed werd gegrepen door het concept en creëerde een exchange waar men bitcoin kon verhandelden tegen reguliere valuta. Met behulp van het domein dat hij al had liggen, werd Mt.Gox opnieuw leven ingeblazen. In tegenstelling tot zijn vorige concept, duurde het niet lang voordat deze exchange veel aandacht begon te genereren. Zo veel aandacht zelfs, dat McCaleb de exchange vrij snel verkocht aan een Franse ontwikkelaar genaamd Mark Karpeles. McCaleb zelf zou 12% van de aandelen houden.

Halverwege 2013, was Mt.Gox de grootste Bitcoin-broker ter wereld, met meer dan 70% van alle wereldwijde bitcoin-transacties.

Een hectische tijdlijn

Maar dit is geen blog waar we MtGox prijzen voor hun geweldige manier van zaken doen. Dit is een geschiedenisles waarin we bekijken wat er fout ging. En er ging behoorlijk wat mis. Zoveel, dat we het beter in een chronologische tijdlijn kunnen zetten.

1. 7 februari 2014: Alle bitcoin-transacties worden stopgezet. MtGox zegt dat de stop wordt geïnitieerd "om een duidelijk technisch beeld te krijgen van de valutaprocessen".
2. 10 februari 2014: Het bedrijf publiceert een persbericht waarin staat dat er sprake is van een ‘transaction malleability’ waardoor het mogelijk is dat iemand de transactiegegevens kan wijzigen. Door een transactie te wijzigen lijkt het alsof een bepaalde transactie nooit heeft plaatsgevonden, terwijl dat wel het geval was. Mensen raken in paniek.
3. 15 februari 2014: Uit een peiling van CoinDesk blijkt dat 68% van de MtGox-gebruikers nog steeds op hun geld wacht. Twee dagen later publiceert het bedrijf nog een persbericht waarin staat dat men zich geen zorgen hoeft te maken en dat men nog steeds bezig is met de kwestie.
4. 23 februari 2014: CEO Mark Karpeles neemt ontslag bij de Bitcoin Foundation. Al zijn social media-accounts worden verwijderd. Mensen worden boos, rechtszaken worden geprepareerd.
5. 24 februari 2014: De website wordt offline gehaald en bezoekers worden doorgestuurd naar een lege pagina. Er lekt een intern crisiscommunicatiedocument uit, wat aangeeft dat er 744.408 bitcoins zijn gestolen. Zes partner exchanges verlaten het schip en nemen afstand van MtGox.
6. 30 maart 2014: Tijdens deze gebeurtenissen daalde de prijs van de bitcoin met 36%.

Op 28 februari, eindigde de façade en vroeg MtGox bij de rechtbank van Tokio faillissementsbescherming aan. MtGox was op zoek naar een koper en onthulde dat ze een schuld van 65 miljoen dollar hadden. In werkelijkheid had het bedrijf 750.000 bitcoins van zijn klanten verloren en ongeveer 100.000 uit eigen beheer. Dat klopt, 7% van alle bitcoins zijn in de loop der jaren gestolen door de veiligheidsproblemen van MtGox. Een catastrofe van $460 miljoen. Een beruchte gebeurtenis die voor altijd zal worden herinnerd in de geschiedenis van BTC. Tussen 2014 en 2019 zijn talrijke rechtszaken en onderzoeken gestart, met als gevolg de arrestatie van Karpeles op 14 maart 2019. De rechtbank achtte hem schuldig aan het vervalsen van gegevens, verduistering en vertrouwensbreuk.

Moved my BTC to MtGox to sell for fiat because there was a price premium there... in early 2014. 😅

— antiprosynthesis.eth ⟠ (@antiprosynth) February 11, 2020

Wat is er daadwerkelijk gebeurd?

Het MtGox incident is niet eens wat ‘zomaar’ uit het niets gebeurde. Door slechte source code konden hackers het al in een vroeg stadium wijzigen. Simpel gezegd, hebben de hackers bitcoins naar een adres overgemaakt om vervolgens de data aan te passen zodat het lijkt alsof er nooit geen transactie heeft plaatsgevonden. Jaar na jaar, bitcoins van de top wegfilteren zonder dat het opvalt. Dat deze ramp niet opviel is vooral te wijten aan het feit dat de exchange geen ‘version control software’ had. Een systeem verantwoordelijk voor aanpassingen aan je programma, die bovenop de infrastructuur is gebouwd. Zonder deze software was de slechte source code in het systeem gesijpeld zonder dat iemand het doorhad. Het duurde jaren voor de exchange om een software testomgeving te introduceren. Hierdoor was allerlei niet geteste code al lang en breed in het systeem verworven. Bovendien was Mark Karpeles de enige die nieuwe wijzigingen in de broncode kon goedkeuren. Dit alles resulteerde in een vreselijke source code spaghetti waar hackers 850.000 bitcoins van konden stelen tussen 2011 tot 2014. Een cruciaal moment in de Bitcoin-geschiedenis.