Звіт: дані Mt Gox надають більше підказок торговому боту Willy

Токійська охоронна фірма WizSec опублікувала попередній аналіз підозрілих торгових даних, витоку з неіснуючої біржі Bitcoin Mt Gox.

Біржа призупинила свою діяльність у лютому минулого року, а згодом була оголошена банкрутом у березні, втративши близько 850 000 BTC (на той момент понад 450 мільйонів доларів).

З листопада минулого року Bitcoin -біржа Kraken має працював поруч органи влади для підтримки розслідування від імені кредиторів. Тим часом WizSec працює над тим, щоб відстежувати транзакції Bitcoin Mt Gox в неофіційній якості.

Випуск WizSec слідує за Віллі звіт, звіт, який анонімний дослідник опублікував у травні минулого року, у якому йдеться про підозрілу торговельну діяльність на Гора Гокс. Це укладенийщо торгові боти шалено бігають по системі під різними ідентифікаторами користувачів, включно з ONE під назвою «Віллі», який розміщував повторювані замовлення лише на покупку, які завжди маніпулювали підвищенням ціни.

Інший бот під назвою «Маркус», схоже, купував і продавав за випадковими цінами, не сплачуючи жодних торгових комісій. Обидва боти були найбільш активними безпосередньо перед і протягом листопада 2013 року, коли біткойни ціна раптом злетів.

До листопада 2013 року два боти купили загалом 570 000 BTC – достатньо, щоб вплинути на ціну.

Аналіз даних

У звіті WizSec, опублікованому в суботу, використовуються дані, отримані з Mt Gox на початку 2013 року, щоб краще зрозуміти, як працювали Willy та його оператор(и).

Фірма каже, що її аналіз спочатку був завершений шість місяців тому, щоб познайомити довірену особу біржі та інших слідчих, включаючи поліцію, з її роботою. WizSec каже, що оприлюднена інформація є «безпечною» і не вплине на поточне розслідування Mt Gox або різноманітні угоди про нерозголошення, але може дати деяку довгоочікувану ясність для кредиторів.

Відповідно до звіту, з вересня по листопад 2013 року Willy мав значний вплив на Mt Gox, продавши понад 250 000 BTC.

Як показано The Graph нижче, на бота часто припадало більше 30% погодинних угод на платформі. У деяких випадках Віллі досягав 80-90%.

Але чи вплинув цей обсяг торгів на ціну біткойна протягом цього часу? WizSec каже, що дуже ймовірно, що поведінка бота мала «значний ефект», додаючи:

«[Це відкриває] ймовірність того, що це міг бути план маніпулювання ринком, а не – або на додаток до – отримання біткойнів шахрайським шляхом».

Фірма посилається на випадки, коли ринок «виправився» до нижчого рівня цін після відсутності Віллі.

Витік даних закінчується 30 листопада. Вплив Віллі та шахрайської торгівлі після цього моменту залишається предметом спекуляцій.

Строгі параметри

Реконструювавши торгові замовлення бота, фірма помітила, що Віллі працював на кількох різних облікових записах. Кожен із них працював із суворими параметрами стосовно того, скільки Bitcoin можна було купити за кожним замовленням.

У міру того, як ціна Bitcoin зростала, Віллі було переналаштовано на купівлю менших сум, щоб «не надто швидко виснажувати депозит кожного рахунку в доларах США».

Однак WizSec також помітив наявність «певних аномальних ордерів великого обсягу», які випадають за межі параметрів для автоматичної торгівлі, обведених нижче.

Зазначається, що ці високі замовлення характеризувалися рівномірними сумами і змінювалися на більш «випадкові значення».

З цієї причини фірма вважає, що ці торгові замовлення були видані вручну. Пізніше контролер Віллі також міг навмисно використати випадкові значення, щоб відвернути увагу від цих великих замовлень.

Профілювання Віллі

Використовуючи часові мітки, команда виявила, що відсутність активності між 17:00 і 20:00 UTC може вказувати на цикл сну та місцезнаходження оператора. Фірма використала японський стандартний час (JST) як систему відліку та відобразила всі підозрювані Заходи Willy відносно часу доби на наступному графіку:

Цей шаблон може вказувати на те, що підозрюваний користувач нерегулярно спить або що насправді є два чи більше користувачів.

Дані також показують більшу активність у будні, що змушує фірму вважати, що вона більш конкретно пов’язана з робочими днями, а отже, із працевлаштованою особою, каже WizSec.

Велика різниця годин також натякає на те, що оператор Віллі міг мати доступ і вдома, і на роботі. Відомо, що бот працює в періоди, коли інші користувачі не мали доступу до системи Mount Gox, що свідчить про внутрішній вплив.

Попереду довга дорога

WizSec каже, що все ще є кілька проблем, які потребують подальшого вивчення. Консалтингова фірма з питань безпеки ще не з’ясувала, як такі великі суми валюти могли бути внесені на обмін без тривоги.

Потрібна також додаткова інформація щодо того, що сталося з біткойнами, купленими Віллі, а також з доларами США, які «зворотний Віллі» накопичив у лютому.

Мета Віллі також незрозуміла. Потрібна більша ясність, щоб розшифрувати, чи це був просто інструмент купівлі, чи він намагався маніпулювати ринковою ціною.

Є також питання щодо місцезнаходження Віллі та того, чи він працював у внутрішній мережі Mt Gox або у зв’язку з нею.

Нарешті, WizSec каже, що все ще розслідує роль Віллі в Заходи, що призвели до краху гори Гокс, і закликає всіх, хто має інформацію, пов’язану з цією справою, повідомити.

«Ми збирали частини головоломки протягом тривалого часу, і кожна частина допомагає», — йдеться в повідомленні.

Зображення через WizSec