Η μεγάλη αποκάλυψη των cold wallets της Quadriga που ταρακούνησε τον κόσμο των crypto.

Η μεγάλη αποκάλυψη των cold wallets της Quadriga που ταρακούνησε τον κόσμο των crypto.

 

Το παγωμένο μυστικό του Gerald Cotten

Στις αρχές του Δεκεμβρίου 2018, ο κόσμος των κρυπτονομισμάτων ξύπνησε σε μια ιστορία που έμοιαζε περισσότερο με μυθιστόρημα παρά με πραγματικότητα. Ο Gerald Cotten, μόλις 30 ετών, ιδρυτής και διευθύνων σύμβουλος του μεγαλύτερου καναδικού crypto exchange QuadrigaCX, πέθανε αιφνιδίως ενώ βρισκόταν στην Ινδία. Σύμφωνα με την εταιρεία, η αιτία ήταν επιπλοκές από τη νόσο του Crohn.

Αλλά η τραγωδία αυτή έκρυβε ένα ακόμη πιο περίπλοκο πρόβλημα, ο Cotten ήταν ο μόνος άνθρωπος που είχε πρόσβαση στα private keys των cold wallets του exchange τα «ψηφιακά χρηματοκιβώτια» όπου φυλάσσονταν τα κεφάλαια των πελατών.

Όταν η είδηση κυκλοφόρησε, χιλιάδες χρήστες του QuadrigaCX συνειδητοποίησαν ότι τα κρυπτονομίσματά τους, πάνω από 190 εκατομμύρια δολάρια σε Bitcoin, Ethereum και άλλα tokens είχαν χαθεί σε ένα ψηφιακό κενό. Οι λογαριασμοί τους πάγωσαν. Κανείς δεν μπορούσε να αποσύρει, να μεταφέρει ή να επιβεβαιώσει το υπόλοιπό του.

Όπως έγραψε τότε το CBC News, η υπόθεση “sounded like something straight out of a crypto thriller a young CEO dies in India, taking the passwords to millions in digital currency with him.”

Και όντως, έμοιαζε με θρίλερ.

Η αυτοκρατορία της QuadrigaCX

Η QuadrigaCX ξεκίνησε το 2013, στην εποχή που το Bitcoin βρισκόταν ακόμη στο περιθώριο. Για τον μέσο Καναδό, η ιδέα της αποκεντρωμένης οικονομίας ήταν νέα, αλλά η πλατφόρμα του Cotten προσέφερε κάτι σπάνιο, ευκολία, τοπικότητα και εμπιστοσύνη.

Οι χρήστες μπορούσαν να καταθέτουν καναδικά δολάρια και να αγοράζουν Bitcoin ή Ethereum απευθείας, χωρίς περίπλοκες διεθνείς μεταφορές. Ο Cotten παρουσιαζόταν ως «παιδί-θαύμα» της νέας εποχής, χαμογελαστός, ευγενικός, με όραμα. Όπως περιέγραψε το Wired, “he was the friendly face of crypto in Canada, a mix of millennial charm and geeky confidence.”

Ωστόσο, κάτω από την επιφάνεια υπήρχε ένα δομικό πρόβλημα, η Quadriga ήταν εντελώς κεντροποιημένη γύρω από ένα μόνο άτομο. Ο Cotten διαχειριζόταν μόνος του τα wallets, τις βάσεις δεδομένων και τους server keys. Δεν υπήρχε multisig wallet, δεν υπήρχε backup plan, ούτε διαδικασία κρίσης.

Όσο η αγορά των crypto άνθιζε, οι καταθέσεις αυξάνονταν εκθετικά. Μέχρι το 2018, η Quadriga είχε πάνω από 360.000 εγγεγραμμένους χρήστες. Οι περισσότεροι δεν φαντάζονταν ότι η ασφάλειά τους εξαρτιόταν αποκλειστικά από έναν φορητό υπολογιστή και ένα password στο κεφάλι ενός ανθρώπου.

Τα κλειδιά που δεν βρέθηκαν ποτέ

Τα cold wallets είναι αποθηκευτικοί χώροι εκτός διαδικτύου, σχεδιασμένοι για να προστατεύουν μεγάλα ποσά κρυπτονομισμάτων από hacking. Ωστόσο, η Quadriga δεν είχε διαφανή μηχανισμό για το πού φυλάσσονταν αυτά τα wallets, ποιος είχε τα keys ή ποια ήταν η διαδικασία αποκατάστασης πρόσβασης.

Όταν ο Cotten πέθανε, η εταιρεία ανακοίνωσε ότι κανείς άλλος δεν γνώριζε τα passwords ή τα recovery phrases. Οι developers προσπάθησαν να εντοπίσουν τα wallets μέσω blockchain explorers αλλά τα περισσότερα addresses που πίστευαν ότι ανήκαν στην Quadriga παρέμεναν ανενεργά.

Οι πρώτες εβδομάδες μετά τον θάνατο του Cotten ήταν χαοτικές. Πελάτες προσπαθούσαν να επικοινωνήσουν με το support τα forums στο Reddit γέμισαν με οργή, υποψίες και θεωρίες. Κάποιοι πίστευαν ότι ο Cotten είχε σκηνοθετήσει τον θάνατό του και είχε εξαφανιστεί με τα χρήματα. Άλλοι ότι η εταιρεία είχε πέσει θύμα hacking.

Όπως έγραψε το Cointelegraph, “the greatest mystery wasn’t the death itself it was the emptiness of the wallets.”

Τα πορίσματα της Ernst & Young

Τον Φεβρουάριο του 2019, το Δικαστήριο της Νέας Σκωτίας διόρισε την Ernst & Young (EY) ως επιτηρητή της υπόθεσης. Η αποστολή της ήταν να εντοπίσει τα ψηφιακά assets και να διαπιστώσει τι είχε απογίνει.

Η EY ανακοίνωσε ότι εντόπισε έξι cold wallets που υποτίθεται πως περιείχαν το μεγαλύτερο μέρος των κεφαλαίων. Όμως, όταν τα εξέτασαν, ήταν άδεια από τον Απρίλιο του 2018 δηλαδή οκτώ μήνες πριν τον θάνατο του Cotten.

Σύμφωνα με το Bloomberg, μια μεταφορά 103 Bitcoin (περίπου $468.000) έγινε τον Φεβρουάριο του 2019, μετά τον θάνατο, προς ένα cold wallet στο οποίο η εταιρεία δεν είχε πρόσβαση. Αυτό ενίσχυσε τις θεωρίες ότι κάποιος συνέχιζε να κινεί τα κεφάλαια ή ότι τα wallets είχαν χρησιμοποιηθεί προσωπικά από τον Cotten.

Η EY επίσης ανακάλυψε ότι ο Cotten είχε δημιουργήσει ψεύτικους λογαριασμούς μέσα στην πλατφόρμα, όπου κατέθετε εικονικά ποσά για να καλύψει ελλείμματα ρευστότητας. Έτσι, όταν οι πελάτες ζητούσαν αναλήψεις, χρησιμοποιούσε τα πραγματικά κεφάλαια άλλων χρηστών.

Η εικόνα που προέκυψε ήταν περισσότερο πυραμίδα παρά ανταλλακτήριο.

Το μυστήριο του Jaipur και οι ιστορίες των θυμάτων

Ο Cotten πέθανε στο νοσοκομείο του Jaipur στην Ινδία, λίγες μέρες πριν τον γάμο του. Η σύζυγός του, Jennifer Robertson, επέστρεψε στον Καναδά με τη σορό και τα πιστοποιητικά θανάτου. Αλλά οι αντιφάσεις στα έγγραφα και η ταχύτητα ταφής προκάλεσαν υποψίες.

Το The Globe and Mail και το Vanity Fair κατέγραψαν μαρτυρίες που αμφισβητούσαν τις συνθήκες. Η ερώτηση «είναι όντως νεκρός ο Cotten;» έγινε viral.

Εν τω μεταξύ, στον Καναδά, τα θύματα προσπαθούσαν να οργανωθούν. Μερικοί είχαν χάσει τις αποταμιεύσεις μιας ζωής άλλοι, τις φοιτητικές τους οικονομίες. Ο Tong Zou, προγραμματιστής από το Βανκούβερ, έχασε $400.000.

«Ήταν σαν να εξαφανίστηκε ο τραπεζικός σου λογαριασμός μέσα σε μια νύχτα», δήλωσε στο CBC.

Η τεχνική ανάλυση για το τι πήγε στραβά

Από τεχνική σκοπιά, η Quadriga απέτυχε σε όλα τα θεμελιώδη επίπεδα custody security. Δεν υπήρχε multisignature authentication, disaster recovery plan, ούτε διαχωρισμός μεταξύ “hot” και “cold” wallets.

Όπως εξήγησε ο blockchain analyst James Edwards στο Medium, “Cotten’s setup was essentially a one-man exchange private keys stored on an encrypted laptop, with no secondary access.”

Το laptop αυτό βρέθηκε κρυπτογραφημένο με TrueCrypt, και ακόμη και οι forensic experts της EY δεν μπόρεσαν να το αποκρυπτογραφήσουν πλήρως.

Η υπόθεση έδειξε πώς η τεχνολογική ελευθερία των crypto μπορεί να μετατραπεί σε τεχνολογική ευπάθεια όταν συνδυάζεται με ανθρώπινη αμέλεια.

Η Ernst & Young ανοίγει το κουτί της Πανδώρας

Καθώς η έρευνα συνεχιζόταν, η EY εντόπισε εκατοντάδες ασυνήθιστες μεταφορές προς άλλα exchanges όπως Bitfinex και Kraken. Πολλά από τα κεφάλαια φαίνεται να είχαν αναμειχθεί με προσωπικά funds του Cotten, ή να είχαν εξαχθεί σε fiat χρήμα.

Σύμφωνα με το Forbes, “the blockchain became the ultimate witness transparent, unforgiving, and permanent.”
Η τεχνολογία που είχε σχεδιαστεί για ανωνυμία αποκάλυπτε τώρα το μοτίβο εξαφάνισης των κεφαλαίων.

Η κατάρρευση της εμπιστοσύνης

Τα μέσα ενημέρωσης όλου του κόσμου κάλυψαν την υπόθεση. Το Reddit γέμισε με threads που συνδύαζαν τεχνικές αναλύσεις, θεωρίες συνωμοσίας και οργή.
Η Wired τη χαρακτήρισε “the FTX scandal before FTX existed.”

Η εμπιστοσύνη στα exchanges κατέρρευσε. Πολλοί επενδυτές άρχισαν να αποσύρουν τα κεφάλαιά τους, ενώ άλλοι στράφηκαν σε self-custody wallets.

Το 2020, οι καναδικές αρχές προχώρησαν σε αυστηρότερη ρύθμιση των crypto exchanges, απαιτώντας διαχωρισμό κεφαλαίων πελατών και αποδείξεις αποθεμάτων (“proof-of-reserves”).

Μετά την Quadriga

Η υπόθεση αποτέλεσε turning point. Μετά το 2019, exchanges όπως το Kraken και το Binance υιοθέτησαν multi-sig wallets, ανεξάρτητα audits και live αποδείξεις ρευστότητας.

Το Cointelegraph σχολίασε:

“Quadriga’s collapse forced the crypto industry to grow up — to accept that transparency isn’t optional.”

Παράλληλα, γεννήθηκε ένα νέο ρεύμα υπηρεσιών digital inheritance πλατφόρμες που διασφαλίζουν ότι τα ψηφιακά assets μπορούν να μεταβιβαστούν με ασφάλεια σε περίπτωση θανάτου.

Ηθικά και νομικά διλήμματα

Η QuadrigaCX έφερε στην επιφάνεια ένα νέο ερώτημα. Τι συμβαίνει όταν ο κάτοχος ενός crypto wallet πεθαίνει; Ποιος έχει το δικαίωμα στην πρόσβαση;

Νομικοί και ethicists συζήτησαν το φαινόμενο του “digital death” ενός νέου είδους απώλειας που δεν αφορά πια απλώς δεδομένα, αλλά περιουσία.

Όπως έγραψε το The Guardian, “Quadriga made us confront the limits of decentralization and the cost of trust in a trustless system.”

 

Η ιστορία της QuadrigaCX δεν είναι απλώς μια ιστορία απάτης ή μυστηρίου, θα μείνει στην ιστορία ως η μέρα που το “trustless future” των κρυπτονομισμάτων έδειξε πόσο ευάλωτο είναι όταν το κλειδί κρατάει ένας άνθρωπος.. Είναι μια ιστορία εμπιστοσύνης, ευθύνης και τεχνολογικής αφέλειας. Ο Cotten, είτε απατεώνας είτε απλώς απερίσκεπτος, έγινε σύμβολο ενός μεταβατικού σταδίου: εκεί που η καινοτομία ξεπερνά την ωριμότητα των ανθρώπων που τη χειρίζονται.

Και όπως έγραψε το Bloomberg, “In crypto, trust is a paradox the less you need it, the more you must prove it.”