Mark Karpeles, voormalig CEO van de in Tokio gevestigde cryptocurrency-exchange Mt. Gox, zei dat een gebrek aan investeringen in beveiliging de industrie kwetsbaar heeft gemaakt voor aanvallen, ook al zijn er acht jaar verstreken sinds een zijn exchange gehacked is.

 

Bridges zijn een weakspot

Twee van de grootste cryptodiefstallen ooit vonden het afgelopen jaar plaats. Een van hen werd vorige week onthuld: Meer dan 600 miljoen dollar aan altcoins gestolen van een netwerk verbonden aan het populaire crypto-spel, Axie Infinity.

Karpeles, een Franse ontwikkelaar die in 2019 een voorwaardelijke gevangenisstraf kreeg voor het manipuleren van Mt. Gox's handelsgegevens, benadrukte het "structurele risico" achter bridgetechnologie -- cruciaal voor Axie en andere cryptodiensten -- dat hen kwetsbaar maakte voor diefstal.

In het geval van Axie nam de hacker de controle over van een klein aantal computers, validators genaamd, op de brug die opnames en stortingen van cryptocurrency verifieert. De rol van de validators is om de blockchain veilig te houden. Maar die kan ook gehackt worden om fraude of diefstal te plegen.

"Een brug betekent het vertrouwen van servers," zei Karpeles in een interview in Tokio. "Alles wat vertrouwen vereist, is kwetsbaar voor hacks."

Karpeles zei dat crypto-technologie vooruit moet om de noodzaak van validators te elimineren bij het verzenden van gegevens over verschillende blockchains.

De aanval benadrukte de potentiële valkuilen van crypto, zelfs nu het is uitgegroeid tot een industrie van 2 miljard dollar die investeerders en bedrijven over de hele wereld heeft aangetrokken. Sky Mavis, de in Vietnam gevestigde ontwikkelaar van Axie, erkende woensdag dat de "hoofdoorzaak" van de aanval de kleine set van validators was.

"Bedrijven zien het voordeel niet van het verbeteren van de beveiliging," zei Karpeles. "Ze weten niet wat het kost om gehackt te worden totdat ze daadwerkelijk gehackt worden, dus maken ze geen beveiligingsbudgetten."

 

MT.GOX saga 

Mt. Gox werd gelanceerd in 2010 en was ooit 's werelds grootste bitcoinbeurs, die op zijn hoogtepunt maar liefst 80% van de wereldwijde transacties verwerkte. Het bedrijf vroeg in 2014 faillissement aan na een hack die resulteerde in een verlies van ongeveer 850.000 bitcoins, op dat moment ongeveer 480 miljoen dollar waard.

Sindsdien werkt het bedrijf samen met eisers om een deel van hun verloren bitcoins terug te betalen. De meeste bitcoins gingen verloren via de beurs, maar ongeveer 200.000 munten werden uiteindelijk teruggevonden via de cold wallet van het bedrijf -- opslag die niet verbonden is met netwerken.

De procedure duurde jaren omdat de schuldeisers het niet eens konden worden over het uitbetalingsproces. Aangezien de prijs van bitcoin bleef stijgen, eisten de schuldeisers een schikking in bitcoin in plaats van contant geld. De curator van het bedrijf die belast was met het terugbetalen van de fondsen aan de schuldeisers, zette in 2017 eerst 50.000 bitcoins om in contanten.

Vorig jaar bereikten de schuldeisers en de districtsrechtbank van Tokio eindelijk een akkoord over een plan dat uiteindelijk zal leiden tot de verdeling van de resterende 150.000 bitcoin -- met een waarde van ongeveer 6,5 miljard dollar vanaf donderdag -- onder de 200.000 schuldeisers over de hele wereld.

De timing van de terugbetaling wordt nauwlettend in de gaten gehouden door beleggers, omdat er bezorgdheid bestaat dat de snelle verdeling zou kunnen leiden tot een uitverkoop, waardoor de prijs van bitcoin zou dalen.

"Het is aan de beleggers om ze te houden of te verkopen, maar de schikking zal zeker een verkoopdruk met zich meebrengen," merkte Karpeles op. "Het effect zal niet klein zijn."

Wanneer de terugbetaling plaatsvindt -- en of het in de loop van de tijd zal gebeuren -- moet nog bekend worden gemaakt. Maar Karpeles zei "het zou dit jaar al kunnen beginnen en worden afgewikkeld via grote beurzen," aangezien de curator ernaar streeft om de terugbetaling te regelen voordat de bankrekeningen en persoonlijke informatie van de beleggers verouderd raken.

Zodra de schikking voorbij is, zal de Mt. Gox saga eindelijk eindigen.

Karpeles bereidt nu een nieuw project voor dat moet helpen met transparantie en veiligheidsnormen in de industrie. Hij richtte UNGOX op, een in Delaware gevestigd cryptobedrijf dat beurzen, DeFi diensten en andere crypto-gerelateerde projecten beoordeelt.

"Het doel is om een kredietonderzoeksbureau van derden te worden voor de industrie," legde Karpeles uit. UNGOX zal exchange operators beoordelen en rangschikken door registers en beveiligingsstandaarden te onderzoeken, evenals achtergrondcontroles uitvoeren op exchange managers en bestuursleden.

"Er is op dit moment geen dergelijke dienst," zei Karpeles.

Terwijl meer dan 1.000 cryptobeurzen over de hele wereld actief zijn, hebben beleggers weinig middelen om te evalueren welke bedrijven te vertrouwen zijn. Als het bedrijf alleen op papier bestaat, zullen de risico's groter zijn.

"Er zal nooit een risicoloze crypto-industrie zijn, maar mensen moeten op zijn minst kunnen zien welke risico's ze met zich meebrengen", aldus Karpeles.

In 2019 veroordeelde de districtsrechtbank van Tokio Karpeles tot twee jaar en zes maanden gevangenisstraf, voorwaardelijk voor vier jaar, voor het manipuleren van de handelsgegevens van de beurs. Hij werd vrijgesproken van verduistering.

Aanklagers hadden 10 jaar gevangenisstraf geëist voor de aanvankelijke aanklachten, waaronder schending van vertrouwen.