Informe: Datos de Mt. Gox brindan más pistas sobre el bot comercial 'Willy'

La empresa de seguridad con sede en Tokio, WizSec, ha publicado un análisis preliminar de datos comerciales sospechosos filtrados de la ahora extinta plataforma de intercambio de Bitcoin Mt Gox.

El exchange suspendió sus operaciones en febrero del año pasado y posteriormente se declaró en quiebra en marzo, habiendo perdido alrededor de 850.000 BTC (más de 450 millones de dólares en ese momento).

Desde noviembre pasado, el intercambio de Bitcoin Kraken ha trabajó junto aautoridades para apoyar la investigación en nombre de los acreedores. Mientras tanto, WizSec ha estado trabajando pararastrear las transacciones de Bitcoin de Mt Goxen forma no oficial.

El lanzamiento de WizSec sigue elInforme Willy, el informe que un investigador anónimo publicó en mayo pasado, que denuncia actividad comercial sospechosa enMonte Gox. Él concluidoque los robots comerciales circulaban desenfrenadamente por el sistema bajo varios ID de usuario, incluido ONE llamado "Willy" que colocaba órdenes repetitivas de solo compra que siempre manipulaban el precio hacia arriba.

Otro bot, llamado "Markus", parece haber comprado y vendido a precios aleatorios, sin pagar comisiones de transacción. Ambos bots estuvieron más activos inmediatamente antes y durante noviembre de 2013, cuando Bitcoin...precioDe repente se disparó.

En noviembre de 2013, los dos bots habían comprado un total de 570.000 BTC , suficiente para afectar el precio.

Análisis de datos

El informe de WizSec, publicado el sábado, utiliza los datos filtrados de Mt Gox a principios de 2013 para proporcionar una mejor comprensión de cómo trabajaban Willy y sus operadores.

La firma afirma que su análisis se completó originalmente hace seis meses para presentar su trabajo al fideicomisario de la bolsa y a otros investigadores, incluida la policía. La información divulgada es segura y no afectará la investigación en curso de Mt. Gox ni sus diversos acuerdos de confidencialidad, según WizSec, pero podría proporcionar la tan esperada claridad a los acreedores.

De septiembre a noviembre de 2013, Willy tuvo un impacto significativo en Mt Gox, comercializando más de 250.000 BTC, según el informe.

Como indica The Graph a continuación, el bot frecuentemente representaba más del 30% de las transacciones por hora en la plataforma. En algunos casos, Willy alcanzó el 80-90%.

Pero, ¿afectó este volumen de operaciones al precio de Bitcoin durante este tiempo? WizSec afirma que es muy probable que el comportamiento del bot haya tenido un "gran efecto", y añade:

"Esto abre la posibilidad de que esto haya sido un plan para manipular el mercado en lugar de, o además de, adquirir bitcoins fraudulentamente".

La firma cita incidentes en los que el mercado se ha "corregido" a un nivel de precios más bajo luego de la ausencia de Willy.

Los datos filtrados terminan el 30 de noviembre. La influencia de Willy y las operaciones fraudulentas posteriores a esta fecha siguen siendo objeto de especulación.

Parámetros estrictos

Al reconstruir las órdenes de compra del bot, la empresa observó que Willy operaba con varias cuentas diferentes. Cada una de ellas operaba con parámetros estrictos respecto a la cantidad de Bitcoin que se podían comprar con cada orden.

A medida que el precio de Bitcoin continuó subiendo, Willy se reconfiguró para comprar cantidades más pequeñas, con el fin de no "drenar demasiado rápido el depósito de fondos en USD de cada cuenta".

Sin embargo, WizSec también detectó la presencia de "ciertas órdenes anómalas de alto volumen" que quedan fuera del parámetro para el comercio automático, que se ven encerradas en un círculo a continuación.

Estos órdenes altos, dice, se caracterizaban por cantidades uniformes y cambiaban a valores "de aspecto más aleatorio".

Por esta razón, la empresa cree que estas órdenes de negociación se emitieron manualmente. Posteriormente, es posible que el controlador de Willy también haya utilizado deliberadamente valores de aspecto aleatorio para desviar la atención de estas grandes órdenes.

Perfilando a Willy

Utilizando marcas de tiempo, el equipo descubrió que la ausencia de actividad entre las 17:00 y las 20:00 UTC podría indicar el ciclo de sueño y la ubicación del operador. La empresa utilizó la Hora Estándar de Japón (JST) como marco de referencia y representó gráficamente todos los Eventos sospechosos de Willy en función de la hora del día en el siguiente gráfico:

Este patrón podría indicar que el usuario sospechoso tiene un sueño irregular o que en realidad hay dos o más usuarios.

Los datos también muestran una mayor actividad durante los días laborables, lo que lleva a la empresa a creer que está más específicamente relacionado con los días laborables y, por tanto, con una persona empleada, afirma WizSec.

La amplia diferencia horaria también sugiere que el operador de Willy pudo haber tenido acceso tanto en casa como en el trabajo. Se sabía que el bot operaba durante periodos en los que otros usuarios no tenían acceso al sistema de Mount Gox, lo que indica influencia interna.

Largo camino por delante

WizSec dice que todavía hay algunos problemas que requieren más investigación. La firma de consultoría de seguridad todavía tiene que descubrir cómo se pudieron depositar cantidades tan grandes de moneda en el intercambio sin hacer sonar las alarmas.

También se necesita más información con respecto a lo que pasó con los bitcoins comprados por Willy, así como con los dólares que el "Willy inverso" había acumulado en febrero.

El propósito de Willy tampoco está claro. Se necesita más claridad para descifrar si era simplemente una herramienta de compra o si intentaba manipular el precio del mercado.

También hay preguntas sobre la ubicación de Willy y si estaba funcionando en la red interna de Mt Gox o en conexión con ella.

Por último, WizSec dice que todavía está investigando el papel que jugó Willy en los Eventos que llevaron al colapso de Mt Gox e insta a cualquier persona que tenga información relacionada con el caso a que se presente.

"Hemos estado reuniendo piezas del rompecabezas durante mucho tiempo, y cada pieza ayuda", dijo.

Imágenes vía WizSec