Mt.Gox 2/2 : Mt. Gox et ses 842 109 bitcoins disparus, la lente descente aux enfers d’un géant du Bitcoin
Mt. Gox, la première plateforme automatisée consacrée à l’achat et à la vente de bitcoins, a connu une croissance phénoménale entre 2010 et 2014. Elle a, tout au long de son existence, représenté l’essentiel du volume d’échange sur le marché. Néanmoins, cette croissance s’est accompagnée d’une lente descente aux enfers. Reprise par le français Mark Karpelès en 2011, la plateforme a subi une série de problèmes avant de finalement faire faillite en février 2014. Revenons sur cette affaire qui a marqué au fer rouge la communauté Bitcoin de l’époque !
Cet article fait partie d’une série. Vous trouverez l’épisode précédent ici :
Une survie difficile
Lorsqu’il reprend la plateforme Mt. Gox en début 2011, le développeur français Mark Karpelès (MagicalTux
) ne sait pas ce qui l’attend. L’offre de Jed McCaleb, le créateur de la plateforme, est très alléchante. Ce dernier la cède à condition de conserver 12 % de la société et 50 % des revenus pendant les 6 premiers mois. Pour le reste, le jeune français est seul maître à bord. Mark Karpelès signe donc le contrat d’acquisition en février et, à partir de là, Mt. Gox sera basée à Tokyo (Japon), là où il vit.
Durant l’année, la plateforme connaît un grand succès auprès des utilisateurs de Bitcoin, notamment grâce à la hausse du cours qui passe d’1 dollar en février à 30 dollars en juin. Cependant, elle rencontre également de gros problèmes techniques, en se faisant voler 80 000 bitcoins en mars, 3 000 en mai et 2 000 en juin. Le piratage de juin en particulier mène à une suspension des retraits pendant plusieurs jours, ce qui inquiète considérablement les utilisateurs et pousse le prix à chuter lourdement dans les mois qui suivent.
En août, Mt. Gox reprend la plateforme polonaise Bitomat et encaisse au passage la perte de 17 000 bitcoins, que cette dernière a subie lors d’un piratage. Ensuite, en septembre, un pirate obtient l’accès à la base de données, augmente le solde de son compte et parvient à retirer 77 500 bitcoins. Enfin, en octobre, une erreur technique conduit Mt. Gox à détruire définitivement 2 609 bitcoins en les envoyant vers une adresse invalide.
Malgré tout cela, la plateforme survit. En fin 2011, en dépit de la création de plateformes concurrentes (TradeHill, BTC-e, Bitstamp, Crypto X Change), elle continue d’être la première place de marché en termes de liquidités et d’utilisateurs. Par effet de réseau, Mt. Gox reste ainsi la place centrale où acheter et vendre du bitcoin, et dont le cours sert de prix de référence aux marché.
C’est pourquoi de nombreuses entreprises de l’écosystème se basent sur la plateforme nippone pour fonctionner. C’est le cas de la plateforme de trading Bitcoinica qui, à ses débuts, se sert exclusivement d’un compte Mt. Gox pour encaisser les dépôts ou du service d’achat-vente instantané BitInstant, dont Mt. Gox est le principal intermédiaire.
À cette époque, Mt. Gox représente une grande part dans le fonctionnement de Bitcoin lui-même, et c’est ce qui fait son succès. Il y a en effet une demande que seul Mt. Gox est capable de combler : des utilisateurs qui souhaitent acheter (consommateurs, spéculateurs) et d’autres qui souhaitent vendre (mineurs, vendeurs du marché noir Silk Road), sans perdre une partie de leurs fonds à cause d’une liquidité trop faible.
L’année 2012 est une année assez plate du point de vue spéculatif. Du moins, pour le bitcoin. Bien que le prix augmente, il ne fait que doubler en un an, ce qui, pour le bitcoin de cette époque, est peu. Mais cela permet à Mt. Gox de se stabiliser et de redonner confiance à ses utilisateurs après les incidents de 2011.
En janvier 2012, la plateforme compte 122 516 utilisateurs inscrits. En août elle en compte 192 270, soit 50 % de plus. Le volume journalier échangé est, lui, plutôt stable et reste autour de 200 000 dollars, ce qui représente environ 90 % du volume total du marché.
En septembre 2012, Mark Karpelès fait partie des membres fondateurs de la Fondation Bitcoin, aux côtés de Gavin Andresen, Peter Vessenes, Patrick Murck, Charlie Shrem, Jon Matonis et Roger Ver. Cette fondation a pour but (non lucratif) d’améliorer la réputation de Bitcoin auprès des autorités et de promouvoir son développement et son adoption. Cette nomination confirme la place centrale que Mt. Gox occupe dans l’écosystème.
Le 22 novembre 2012, Mt. Gox s’associe avec CoinLab, une start-up récemment fondée par Peter Vessenes, afin qu’elle gère l’intégralité de ses clients en Amérique du Nord (États-Unis et Canada). Ce partenariat sera annoncé en février 2013 et mis en application à partir du 29 mars 2013.
Pour terminer, en fin 2012, Mt. Gox déménage dans de nouveaux bureaux, plus spacieux, dans le Cross Office Shibuya Medio. À la veille de 2013, tout indique que la plateforme d’échange nippone a de beaux jours devant elle.
Une croissance intenable
L’année 2013 constitue une année de croissance pour Bitcoin, notamment au niveau de sa valeur, et il s’agit donc aussi d’une période charnière pour Mt. Gox.
Au début de l’année, on assiste à une montée significative du cours du bitcoin : celui-ci passe quasiment du simple au double durant le mois de janvier et franchit son ancien plus haut (sur Mt. Gox) des 32 dollars le 20 février. Cette hausse ravive l’intérêt de ceux qui avaient pensé que le projet était mort.
De plus, en mars, un évènement vient confirmer que Bitcoin n’est pas là pour rien. En effet, à cette époque, la crise financière chypriote bat son plein. Le 16 mars, les banques limitent les retraits des comptes de leurs clients pour éviter une « course aux guichets ». Le 25, le gouvernement chypriote et l’UE décident (sans cadre légal préalable) que la Bank of Cyprus doit être renflouée de manière interne, via une taxation des dépôts de plus de 100 000 dollars. La Laiki Bank, deuxième plus grande banque du pays, est démantelée pour faire faillite, et les dépôts de plus de 100 000 dollars sont tout simplement confisqués.
L’épisode chypriote rappelle brutalement au monde qu’avoir de l’argent en banque n’équivaut pas à une possession directe. Cela fait une publicité indirecte pour Bitcoin, car il s’agit d’une monnaie électronique difficilement confiscable. En conséquence, la montée du cours est accentuée et, le 1er avril 2013, le prix de la cryptomonnaie dépasse pour la première fois de son histoire les 100 dollars. Cet engouement spéculatif se conclut le 9 avril, lorsque le prix touche très brièvement les 266 dollars sur Mt. Gox avant de redescendre très brutalement à 55 dollars, puis de lentement se stabiliser autour des 100 dollars.
Cette montée du prix provoque une croissance phénoménale de Mt. Gox, qui voit son volume d’échange exploser. Des 200 000 dollars échangés de manière journalière, celui-ci augmente aussi avec la plus forte valorisation du bitcoin et de l’afflux de nouveaux spéculateurs. Lors de la bulle d’avril, il dépasse durant plusieurs jours les 30 millions de dollars échangés.
Cependant, cette croissance de Bitcoin coïncide avec une série de complications qui se répercutent sur la plateforme.
Tout d’abord, dans la nuit du 11 au 12 mars 2013, un embranchement de la chaîne de Bitcoin paralyse le réseau, ce qui force Mt. Gox à suspendre les dépôts.
C’est également à cette période que le gouvernement étasunien commence à s’intéresser plus profondément à Bitcoin. Le 18 mars, le FinCEN (Financial Crimes Enforcement Network) publie ainsi un document clarifiant sa position sur les monnaies numériques. Selon ce document, les utilisateurs et les mineurs ne sont pas sujets à réglementation, mais les plateformes d’échange le sont : en tant qu’entreprises de transmission de fonds, elles doivent obtenir une licence adéquate pour exercer aux États-Unis.
La popularité de Mt. Gox attire l’attention et fait d’elle une cible de choix pour les attaques. De ce fait, tout le long du mois d’avril, ses serveurs subissent des attaques par déni de service (DDoS) à de multiples reprises. Cela nuit au bon fonctionnement du site, qui connaît des temps d’arrêt de plusieurs heures.
Le 2 mai 2013, l’entreprise CoinLab poursuit Mt. Gox en justice pour violation du contrat d’exclusivité qui les lie et demande 75 millions de dollars de compensation. Toutefois, CoinLab refuse de rendre à Mt. Gox plus de 5 millions de dollars appartenant à ses clients américains, ce qui constitue une perte sèche pour la plateforme d’échange nippone.
Les ennuis ne s’arrêtent pas là puisque, 2 semaines plus tard, le 14 mai 2013, le département de la Sécurité intérieure des États-Unis saisit 2,1 millions de dollars sur le compte Dwolla de Mt. Gox et 2,9 millions de dollars sur son compte Wells Fargo, pour « transmission d’argent sans licence ». Mark Karpelès n’a en effet pas fait les démarches pour enregistrer Mt. Gox auprès de la FinCEN, chose qu’il s’empresse de faire. La licence est finalement obtenue en juin.
Le 24 mai 2013, c’est Liberty Reserve qui est arrêtée de force par le gouvernement étasunien, ce qui enlève au passage l’un des plus anciens moyens de paiement sur Mt. Gox.
Durant l’été 2013, Mt. Gox rencontre des problèmes avec sa banque, la Banque Mizuho basée au Japon. Avec la hausse du volume, celle-ci ne parvient plus à garantir des transferts corrects et rapides et menace la plateforme de fermer son compte. Après une suspension les dépôts et les retraits qui dure 2 semaines, ces derniers sont ensuite considérablement affectés et font l’objet de délais allant jusqu’à une dizaine de jours. Les dépôts et retraits sont également sujets à des annulations, suite à quoi Mt. Gox déclare avoir « subi des pertes importantes ». Il faut attendre septembre pour qu’un fonctionnement normal soit rétabli.
L’engouement pour Bitcoin réapparaît durant l’automne 2013, ce qui provoque une nouvelle flambée du prix du bitcoin. Celui-ci, s’étant alors stabilisé au-dessus des 100 dollars, augmente timidement durant la deuxième moitié d’octobre et dépasse, début novembre, son ancien plus haut de 266 dollars. À partir de là, il monte en flèche et atteint, le 4 décembre 2013, un nouveau plus haut historique sur Mt. Gox à 1240 dollars. Cette folie spéculative poussera beaucoup de médias à parler de Bitcoin pour la première fois, mais mènera aussi la plateforme Mt. Gox à sa perte.
La chute brutale
La série de problèmes rencontrés par Mt. Gox au fil des années a fait que la plateforme a accumulé des dettes énormes. Par exemple, les 80 000 bitcoins volés en mars 2011 valent, au début de l’année 2014, plus de 68 millions de dollars. La négligence de Mark Karpelès et son inaptitude à déléguer l’ont mené à ne jamais en parler publiquement de ces pertes. Il pensait en effet pouvoir s’en sortir, en faisant de la réserve fractionnaire et en espérant que les profits engrangés par la plateforme combleraient les trous dans la caisse. Mais c’était sans compter sur un piratage qu’il n’avait pas vu, et qui a été, par la suite, responsable de la chute de Mt. Gox.
En septembre 2011, alors que l’équipe de Mt. Gox tente de mieux sécuriser la plateforme après ses récents déboires, un pirate (indépendant de celui qui a volé 77 500 bitcoins) obtient l’accès au portefeuille courant de Mt. Gox, utilisé pour gérer les dépôts et les retraits. Cependant, contrairement à ce que son instinct pourrait lui dicter, il ne retire pas ce qui s’y trouve et se contente d’être patient. À partir d’octobre, il se met à siphonner discrètement et régulièrement les fonds se trouvant sur le portefeuille. Cela crée une différence énorme et aboutit à une perte de plusieurs centaines de milliers de bitcoins dès 2012.
Comme le dira l’enquêteur indépendant Kim Nilsson :
« La plupart ou la totalité des bitcoins manquants ont été volés directement dans le portefeuille chaud de MtGox au fil du temps, à partir de fin 2011. En conséquence, MtGox était techniquement insolvable durant des années (sciemment ou non), et avait épuisé pratiquement tous ses bitcoins en 2013. »
Même si elle manipule le portefeuille, Mt. Gox ne s’aperçoit pas des fonds manquants. En effet, les bitcoins du portefeuille « chaud » (connecté à Internet) sont censés être transférés automatiquement vers une méthode de stockage à froid (des portefeuilles papier en l’occurence), qui n’est pas correctement surveillée. C’est pour cela que Mark Karpelès (selon ses dires) ne se rend pas compte de la fuite de son système. Le solde du portefeuille courant baisse, mais il croit que ces bitcoins sont envoyés en réserve.
Les années passent et les bitcoins sont lentement écoulés. Ainsi, dès 2012, des centaines de milliers de bitcoins ont déjà disparu et, mi-2013, il ne reste quasiment plus rien dans les réserves de Mt. Gox.
L’impact total de ces retraits représente plus de 660 000 bitcoins en février 2014. Avec la hausse phénoménale du cours de l’automne puis sa consolidation autour des 850 dollars, Mt. Gox doit faire face à de fortes variations quant aux retraits demandés par les utilisateurs. C’est ce qui mène l’équipe derrière la plateforme à découvrir que ces bitcoins manquent à l’appel.
Le 7 février, Mt. Gox suspend les retraits. Le cours du bitcoin, qui se maintenait alors au-dessus des 800 dollars, chute violemment et descend à 700 dollars en quelques heures.
Entre le 9 et le 11 février, une attaque exploitant la malléabilité des transactions sur Bitcoin touche toutes les plateformes d’échange de l’écosystème. Cela concerne Mt. Gox qui alerte ses utilisateurs.
Ces utilisateurs se doutent qu’il y a un problème, et certains se plaignent de cette situation. Le 14 février, Kolin Burges, un Londonien possédant des fonds sur Mt. Gox vient manifester devant les bureaux de l’entreprise nippone, avec un pancarte disant : « Mt. Gox – Où est notre argent ? ».
Puis, tout s’enchaîne. Le 23 février, Mark Karpelès démissionne de la Fondation Bitcoin. Le même jour, tous les messages du compte Twitter de Mt. Gox sont supprimés. Le 24 février, le trading est suspendu. Le 25 février, le site est mis hors-ligne.
Beaucoup de bitcoins sont vendus et le prix descend à 535 dollars. Dans la journée, un document interne fait l’objet d’une fuite. Celui-ci indique qu’il manque 744 408 bitcoins sur les adresses de Mt. Gox et que ce serait la faute de la malléabilité des transactions (cause qui s’avèrera fausse). À ceci, les acteurs de l’écosystème réagissent en signant une « déclaration conjointe concernant MtGox » pour se désolidariser de Mt. Gox et de ses pratiques douteuses. Celle-ci est notamment signée par les dirigeants des autres plateformes d’échange que sont Coinbase, Kraken, BitStamp et BTC China.
Le 28 février 2014, Mt. Gox fait faillite. Mark Karpelès annonce, devant les médias japonais, qu’il manque plus de 850 000 bitcoins sur les comptes de Mt. Gox (soit près d’un demi-milliard de dollars), dont 750 000 appartiennent aux utilisateus de la plateforme. Il s’excuse publiquement conformément à l’usage japonais :
« Je suis profondément désolé d’avoir causé des problèmes à toutes les personnes concernées. »
La colère est très forte dans la communauté, et Mark Karpelès fait l’objet de critiques, d’accusations infondées, d’insultes et de menaces de mort.
Peu de temps après, le 20 mars 2014, Mt. Gox annonce que 200 000 bitcoins ont été retrouvés sur un ancien portefeuille, ce qui porte le montant dérobé à environ 650 000 bitcoins. Ce montant représente 5,2 % de la quantité de bitcoins en circulation, et vaut 381 millions de dollars à ce moment-là. À ceci il faut ajouter les dettes en dollars qui s’élèvent à plusieurs dizaines de millions de dollars.
Cela ne parvient pas à sauver Mt. Gox de la faillite, et les bitcoins sont perdus (ils ne seront que partiellement redistribués aux créanciers). Après MyBitcoin en 2011 et Bitcoinica en 2012, Mt. Gox constitue une nouvelle illustration du risque qu’un utilisateur encourt à confier sa cryptomonnaie à un service tiers. La chute de la plateforme reine marque également la fin du mouvement spéculatif haussier et est l’élément déclencheur d’années de lente baisse et de stagnation du prix.
Plus d’un an après, le 1er août 2015, Mark Karpelès est finalement arrêté par la justice japonaise, pour manipulation de données informatiques. En septembre, il est également accusé de détournement de fonds.
Mark Karpelès est détenu dans l’attente de son procès, dans des conditions difficiles, et ne peut voir personne pendant longtemps. Il est victime d’une pratique courante au Japon : le hitojichi shihō, c’est-à-dire la « justice par la prise en otage », qui a pour but d’obtenir des aveux de la part des personnes accusées.
Le 14 juillet 2016, après quasiment un an de détention, il est libéré sous caution. Il a perdu beaucoup de poids, 35 kg selon ses propos, et semble affaibli par son enfermement.
Le 11 juillet 2017, le procès de Mark Karpelès débute à Tokyo. Ce procès est lent et douloureux, mais il se conclut de manière positive : le 15 mars 2019, l’ex-dirigeant de Mt. Gox est condamné à 2 ans et demi de sursis pour manipulation de données informatiques et est acquitté pour le détournement de fonds.
Néanmoins, sa réputation en sort grandement détériorée et il devra porter la responsabilité partielle de la chute de Mt. Gox durant toute sa vie.
Où sont passés les bitcoins ?
Kim Nilsson, de la société nippone WizSec a enquêté sur l’affaire Mt. Gox, et a joué un rôle majeur dans la détermination de ce qui est réellement arrivé. En effet, les gens ont longtemps cru que Mark Karpelès avait volé tous les bitcoins, mais son comportement, les différentes recherches et le jugement de la justice japonaise indiquent que ce n’est pas le cas.
Commençons par lister les pertes de la plateforme. Si les pertes en dollars (piratage de janvier 2011 via Liberty Reserve, fonds conservés par CoinLab, saisies des États-Unis) représentent plus de 10 millions de dollars, ce sont les pertes en bitcoins qui ont été les plus lourdes à porter. Parmi ces pertes en bitcoins, Kim Nilsson recense :
- 80 000 BTC dérobés le 1er mars 2011 ;
- 3000 BTC gardés le 22 mai 2011 par le pirate qui a rendu 99 % de son butin pour éviter les poursuites ;
- 2000 BTC retirés le 19 juin 2011 suite au piratage du compte de Jed McCaleb et à la chute du cours ;
- 17 000 BTC pris en charge le 11 août 2011 à la suite de l’acquisition de Bitomat ;
- 77 500 BTC volés en septembre 2011 par accès à la base de données ;
- 630 000 BTC retirés entre octobre 2011 et 2014 grâce à l’accès au portefeuille courant de Mt. Gox ;
- 30 000 BTC crédités à tort sur les comptes des utilisateurs à cause des retraits du piratage précédent (les sorties transactionnelles qui reviennent dans le portefeuille de Mt. Gox ont été prises pour des dépôts) ;
- 2609 BTC détruits le 28 octobre 2011 par une mauvaise programmation (envois à une adresse invalide).
Au total, ce sont environ 842 109 bitcoins qui ont été perdus par le fait d’incidents plus ou moins extérieurs. Mais ce n’est pas tout.
Dès les débuts de la plateforme, des comptes sur Mt. Gox avaient été mis en place pour arbitrer les quantités USD/BTC. Par la suite, ces comptes ont été remplacés par des automates de trading qui ont fait perdre énormément d’argent à la plateforme. Chose assez ironique, car ces automates étaient également censés faire du profit selon leur conception. Le dernier de ces automates, surnommé « Willy bot » et mis en place fin 2013, a été identifié en 2014 par un utilisateur anonyme et son existence a été reconnue par Mark Karpelès lui-même.
Ainsi, l’action de ces automates a mené à accroître la dette de Mt. Gox de 51 600 000 dollars et de 22 800 BTC. Finalement, la somme perdue par la plateforme au cours de son existence est (au moins) de 61 650 000 dollars et de 864 909 bitcoins.
Bien entendu, les fonds en bitcoins ont pu être identifiés, grâce au caractère public de la chaîne. Si certains n’ont pas bougé comme les 80 000 bitcoins dérobés en mars 2011, les autres ont été déplacés, notamment dans le but d’être blanchis et vendus. Voici l’infographie réalisée par Kim Nilsson pour récapituler où sont passés les bitcoins volés à partir de septembre 2011 :
Sur l’infographie, on peut voir qu’une partie de fonds a transité par les mêmes portefeuilles que d’autres piratages comme le premier piratage de Bitcoinica du 1er mars 2012 ou le piratage de BitFloor du 4 septembre 2012. On remarque également que le piratage de 77 500 bitcoins (les 2 bandes du haut) est indépendant du piratage des quelques 630 000 bitcoins prélevés au cours du temps.
Mais l’information à retenir est que ces bitcoins ont terminé sur d’autres plateformes d’échange : BTC-e, Crypto X Change ou la plateforme Mt. Gox elle-même. En particulier, quelques 300 000 bitcoins sont passés par BTC-e, une plateforme qui était réputée pour faciliter le blanchiment d’argent, notamment par le biais de l’un de ses co-fondateurs, un expert informatique russe du nom d’Alexander Vinnik.
C’est pour cela que ce dernier est aujourd’hui suspecté d’avoir blanchi les fonds volés à Mt. Gox et même d’avoir participé au piratage principal de la plateforme.
Le 25 juillet 2017, 2 semaines après le début du procès de Mark Kapelès au Japon, Alexander Vinnik a été arrêté en Grèce pour blanchiment d’argent. Le même jour, la plateforme BTC-e a été saisie par la justice étasunienne.
2 ans et demi plus tard, le 23 janvier 2020, il a été extradé vers la France (malgré sa nationalité russe), pour être condamné le 7 décembre 2020 à 5 ans de prison et 100 000 dollars d’amende pour blanchiment en bande organisée. Néanmoins, on ignore toujours beaucoup de choses sur son implication dans l’affaire Mt. Gox.
Plusieurs informations présentes dans cet article proviennent de « Digital Gold: Bitcoin and the Inside Story of the Misfits and Millionaires Trying to Reinvent Money », ouvrage sur l’histoire de Bitcoin publié par Nathaniel Popper en 2016, et du livre « J’ai vendu mon âme en bitcoins », co-écrit par Jake Adelstein et Nathalie Stucky en 2017. La présentation de Kim Nilsson « Cracking Mt. Gox » a été également d’un grand secours pour tirer cette affaire au clair.
Cet article fait partie d’une série. Vous trouverez l’épisode précédent ici :