Il 28 febbraio 2024 segna il decimo anno dal fallimento dell’exchange giapponese: storia e sviluppi recenti.
Inizialmente concepita come uno spazio di scambio per le carte collezionabili online del gioco Magic: The Gathering Online, la piattaforma Mt. Gox nacque a luglio 2010. Il nome è direttamente collegato al suo scopo originario, consistendo nelle iniziali di Magic: The Gathering Online Exchange.
Il fondatore della piattaforma è Jed McCaleb, programmatore e imprenditore statunitense poi divenuto noto anche per il suo contributo allo sviluppo di altcoin come Ripple e Stellar.
Alcuni mesi dopo il lancio il modello di business del sito venne cambiato e Mt. Gox divenne un mercato online per scambiare bitcoin.
Già a marzo 2011 McCaleb decise di vendere Mt. Gox al programmatore francese, appassionato di Bitcoin, Mark Karpelès.
L’ascesa e i problemi
All’epoca Mt. Gox si stava già affermando nel suo mercato di riferimento, rappresentando di fatto uno dei primissimi exchange al mondo. Anche grazie all’aumento del prezzo di bitcoin, la crescita fu esponenziale: a inizio 2013 Mt. Gox divenne l’exchange più grande al mondo per volumi di scambio, arrivando a gestire circa il 70% dei volumi di compravendita di bitcoin.
I problemi dell’exchange sarebbero diventati seri solamente nel 2014, ma uno dei sospetti più diffusi è che in realtà Mt. Gox fosse oggetto di continui attacchi hacker già dal 2011.
La prima violazione risale a giugno 2011, presumibilmente a causa di un computer compromesso appartenente a un revisore aziendale. In quell’occasione l’hacker utilizzò le credenziali del revisore per accedere all’exchange, manipolare artificialmente il prezzo di bitcoin quotandolo a 1 centesimo di dollaro l’uno e trasferire circa 2.000 bitcoin dagli account dei clienti.
Per via di questa vulnerabilità, inoltre, è stato stimato che alcuni clienti sarebbero stati in grado di acquistare 650 bitcoin al prezzo di 1 centesimo di dollaro l’uno.
In seguito all’hack, Mt. Gox implementò una serie di misure di sicurezza, tra cui il trasferimento di una considerevole quantità di bitcoin in cold wallet. Nonostante le contromisure, il 7 febbraio 2014 arrivò la sospensione improvvisa dei prelievi e il sito web divenne inaccessibile.
Il 24 febbraio l’exchange sospese definitivamente il trading di bitcoin e quattro giorni dopo la società dichiarò bancarotta in Giappone. Karpelès ammise la perdita di 844.408 bitcoin, di cui 744.408 di proprietà dei clienti e 100.000 di Mt. Gox stessa.
Ad oggi l’hack avvenuto a Mt. Gox rappresenta il più grande fallimento mai verificatosi a un exchange in termini di bitcoin persi.
Qualche settimana dopo il crack, a marzo 2014, Mt. Gox dichiarò di aver recuperato 200.000 bitcoin. Fin da subito Karpelès divenne oggetto di indagini. Nel 2015 fu arrestato in Giappone con accuse che includevano frode e appropriazione indebita. Karpelès non si dichiarò colpevole delle accuse e rimase in prigione fino a luglio 2016, quando fu rilasciato su cauzione.
Le cause del fallimento
Dopo il fallimento dell’azienda alcuni dipendenti fecero trapelare le modalità operative interne dell’exchange. Le descrizioni fornite dipinsero un quadro disastroso: team disorganizzato, negligenza nella gestione della piattaforma, scarsa competenza, scarse procedure di sicurezza e una serie di gravi problematiche relative al codice sorgente del sito web.
Le indagini avviate nel 2014 rivelarono che la chiave privata del wallet di Mt. Gox non era crittografata. Secondo le indagini la chiave venne rubata nel 2011, in seguito alla violazione del file wallet.dat. Non è chiaro se l’accesso al file sia stato ottenuto attraverso un hack o tramite un insider.
Una volta ottenuto il file, gli hacker ebbero la possibilità di accedere al wallet e trasferire gradualmente i bitcoin all’esterno senza che l’hack venisse rilevato dall’exchange.
Mt. Gox attribuì le perdite alla vulnerabilità nota come transaction malleability, affermando che gli hacker sfruttarono questo bug per prelevare più volte bitcoin dall’exchange. Tuttavia, alcuni sostengono che la transaction malleability non avrebbe potuto permettere agli hacker di rubare una quantità così grande di bitcoin senza essere notati. Infatti il problema principale era che l’exchange eseguiva più volte la stessa richiesta di prelievo dei fondi per lo stesso utente.
L’analisi on-chain evidenziò che, sebbene il problema della malleabilità delle transazioni fosse reale, in quegli anni non vi era un uso diffuso di quel tipo di attacchi. Dalle analisi risultò evidente che solo 386 bitcoin potevano essere stati rubati sfruttando il problema della malleabilità delle transazioni.
Il piano di risarcimento
Fin dai tempi della dichiarazione di bancarotta di Mt. Gox è in corso un lungo processo finalizzato al parziale rimborso dei clienti colpiti dal fallimento.
A novembre 2021 i tribunali giapponesi e i creditori di Mt. Gox hanno raggiunto un accordo sul piano di riabilitazione dell’exchange. Il piano stabilisce un processo di registrazione e compensazione composto in varie fasi. I creditori approvati per la riabilitazione, muniti di un codice creditore, hanno potuto registrarsi sul portale Mt. Gox Online Rehabilitation Claiming System per richiedere il rimborso.
Secondo il piano di risarcimento originale, Mt. Gox avrebbe dovuto rimborsare i suoi clienti entro il 30 settembre 2023. Successivamente la società ha riprogrammato il rimborso al 31 ottobre 2023.
A settembre 2023 Kobayashi ha poi annunciato una seconda proroga della scadenza: ora il curatore fallimentare ha tempo fino al 31 ottobre 2024 per finalizzare il processo di rimborso.
In base ad alcuni documenti ufficiali del 2019, il curatore fallimentare della società deterrebbe un ammontare di 141.686 bitcoin, oltre ad alcuni bitcoin cash e yen giapponesi.
Il rimborso consiste nella restituzione del 17% dei fondi che ogni cliente deteneva sull’exchange ed è previsto sia in bitcoin che in valuta fiat, a discrezione del creditore.
Il 26 dicembre 2023 alcuni clienti hanno confermato di aver ricevuto il rimborso in yen attraverso bonifico bancario o PayPal. Qualcuno ha persino incassato il rimborso due volte in seguito a un errore da parte dell’exchange. All’interno del subreddit r/mtgoxinsolvency un utente ha riportato l’email che Mt. Gox ha inviato ad alcuni utenti, ammettendo l’errore e chiedendo la restituzione del secondo pagamento.
Infine è da sottolineare come da diversi anni ormai, in prossimità delle varie scadenze dei rimborsi ripetutamente rinviate, nella comunità Bitcoin cresce la cosiddetta Mt. Gox Fud, ovvero la preoccupazione per una potenziale grossa vendita di bitcoin da parte dei clienti risarciti e il conseguente crollo del prezzo che potrebbe comportare tale vendita.
