O primeiro hack de uma exchange – A história do Bitcoin parte 16

Quase ninguém se lembra do primeiro hack da Mt.Gox. Era uma quantia pequena, mesmo para os padrões de 2011, e a exchange reembolsou todos os usuários. No entanto, o incidente se mostrou significativo, pois desencadeou uma série de ataques a outras plataformas de Bitcoin que começaram no dia seguinte.

Essa é uma adaptação do artigo originalmente publicado pela Bitcoin.com.

Quando a poeira baixou seis semanas depois, quatro roubos separados ocorreram, culminando na perda de mais de 178.000 Bitcoins.

O primeiro hack de uma exchange de Bitcoin

O verão de 2011 foi um período inebriante para a internet. Junho de 2011 foi particularmente especial.

O mês começou com  Gawker expondo a Silk Road no dia 1º de junho e chegaria no seu ponto alto no dia 25, com o grupo de hackers Lulzsec lançando seu último despejo de dados, incluindo milhões de senhas e dados confidenciais de dezenas de empresas.

Entre todo esse caos, houve dois notáveis hacks de Bitcoin que não eram da responsabilidade de Lulzsec. O primeiro, em 19 de junho, foi o primeiro hack de uma exchange de Bitcoin na história. O segundo hack aconteceu apenas um dia depois, como resultado direto dessa primeira incursão.

Mt.Gox foi “Goxxed”

Antes de a Mt.Gox se tornar sinônimo de falha a ponto de gerar um termo que significa o ato de perder uma grande quantidade de Bitcoins (Goxxed), ela foi uma troca bem-sucedida que estava no centro de tudo o que estava acontecendo no ecossistema do Bitcoin.

No entanto, pouco mais de um ano após o seu lançamento e apenas três meses depois que Mark Karpeles assumiu o controle de suas operações, a exchange sofreu o seu primeiro hack.

O incidente ocorreu como resultado dessa troca de propriedade, que deu ao ex-proprietário uma parcela da receita e acesso de administrador para auditar seus ganhos.

Em 19 de junho, alguém invadiu essa conta de administrador e gerou grandes quantidades de BTC no livro de ordem da Mt.Gox.

Isso elevou o preço do BTC de vários dólares para cerca de um centavo.

Os hackers então compraram o BTC barato com suas próprias contas e retiraram seus ganhos obtidos. Eles não foram os únicos a lucrar com a venda instantânea do BTC.  Outros usuários da exchange também aproveitaram a oportunidade.

A versão de “Kevin”

Em um post contando como eles aproveitaram o acidente, o usuário do Bitcointalk “toasty” escreveu no dia 20 de junho de 2011:

“Sou Kevin e sou o cara que comprou 259.684 BTC por menos de US$3.000 ontem. Eu realmente queria manter isso o mais quieto possível, mas não sinto mais que posso. Aqui está o meu lado do que aconteceu.

Eu estava assistindo, como muitos de vocês, uma ordem gigantesca de venda queimando todos os lances. Mt. Gox não realiza operações muito rapidamente,

então estávamos assistindo a esse pedido enorme devorar lentamente todos os pedidos de compra dos livros. O preço começou em torno de US$17,50 e, em minutos, ficou abaixo de US$10. Nesse ponto, percebi que não era apenas um grande vendedor disposto a aceitar algumas perdas.

Era alguém tentando quebrar o mercado vendendo uma porcentagem enorme do total de Bitcoins do mercado de uma só vez.”

Apesar da troca ser bem lenta na época, toasty finalmente realizou um pedido de compra, oferecendo-se a comprar o máximo de Bitcoins possível por US$0,0101.

“O site parou de responder completamente por um tempo, provavelmente de tantas pessoas que estavam atualizando para ver o que estava acontecendo. Quando voltei, vi na minha conta:

19/06/11 17:51 Comprou BTC 259684.77 por 0,0101

Tinha acabado de comprar mais de 250.000 Bitcoins por US$2613. No preço de negociação imediatamente antes que essa grande ordem de venda acontecesse, esse número teria valido quase US$5 milhões. Depois de recuperar o fôlego, tentei descobrir o que fazer.”

Dois ataques em 2 dias

Apesar dos limites de saque que deveriam estar em vigor, tanto toasty quanto o hacker de verdade conseguiram retirar quantidades significativas de moedas. Seguiu-se um intenso debate no fórum Bitcointalk sobre quem era o culpado pelo roubo e se toasty tinha direito a seus Bitcoins.

O valor de 2.643 BTC perdidos no hack da Mt.Gox foi avaliado em US$47.000 na época, e a troca restituiu totalmente os usuários que perderam fundos no incidente.

A exchange impotente, no entanto, em impedir um segundo hack que ocorreu dentro de 24 horas após o primeiro.

No dia 20 de junho de 2011, enquanto toasty confessava sua compra oportunista e ponderava o que fazer com suas riquezas, a comunidade Bitcoin foi abalada por um segundo ataque. Usuários do serviço de carteira Mybitcoin.com relataram que suas contas foram violadas e seu BTC roubado.

Logo ficou claro que os dados da Mt.Gox foram acessados durante o hack, e senhas e nomes de usuário idênticos no Mybitcoin foram saqueados.

O operador pseudônimo do Mybitcoin reconheceu:

“Concluímos que cerca de 1% dos usuários no arquivo de senha vazado da Mtgox tiveram seus Bitcoins roubados no MyBitcoin.”

No total, 4.019 BTC no valor de US$72.000 foram roubados, com o Mybitcoin cobrindo as perdas dos usuários.

O verão da “Lulz”

Junho de 2011 foi um mês dramático, quando o mundo começou a prestar atenção no Bitcoin, houve uma série de ataques feitos por uma organização chamada Lulzsec. A ação do grupo não parou em junho, pois no mês seguinte o Lulzsec aceitou doações de Bitcoin.

Aliás, eles foram uma importante porta para que o Bitcoin se tornasse mais mainstream, principalmente na mídia.

Em 18 de julho, o grupo afiliado ao Anonymous saiu da aposentadoria para invadir o site do jornal britânico The Sun, plantando uma história falsa de que o proprietário Rupert Murdoch havia morrido depois de ingerir paládio.

Em 26 de julho, a bolsa polonesa Bitomat perdeu seu arquivo de carteira contendo 17.000 BTC. Três dias depois, o Mybitcoin, o serviço de carteira que havia sido violado em junho, aplicou um golpe de 154.406 BTC, dos quais apenas metade foi recuperada.

Para recuperar suas perdas de 17.000 BTC, a Bitomat foi colocado à venda e, em agosto de 2011, foi comprada por Mark Karpeles, CEO da Mt.Gox.

A ação foi realizada parcialmente para restaurar a fé no ainda frágil ecossistema Bitcoin.

Hacks subsequentes envolvendo a Mt.Gox seriam ainda maiores e mais difíceis para seu CEO absorver, mas tudo isso ainda levaria algum tempo na história do Bitcoin.

Veja também: