Cryptopia, dotychczas będąca największą giełdą kryptowalut w Nowej Zelandii, ciesząca się jednak popularnością na całym świecie (w tym również w Polsce) od początku roku bardzo mocno dała się we znaki swoim użytkownikom. Po styczniowym ataku hakerskim, o którym wciąż wiadomo bardzo niewiele, administracja giełdy rozpoczęła ponadmiesięczny okres całkowitego milczenia, pozostawiając swoich klientów z lakoniczną informacją na witrynie internetowej o pracach konserwacyjnych spowodowanych „utratą znacznej części środków”. W drugiej połowie marca Cryptopia wznowiła swoją działalność, jednocześnie w praktyce uniemożliwiając wypłaty środków swoim klientom, wprowadzając za to długoterminowy plan rekompensaty poniesionych strat. Gdy sprawa podnoszącej się po ataku giełdy lekko ucichła, jak grom z jasnego nieba spadła wiadomość od firmy Grant Thornton, która poinformowała, że została… likwidatorem Cryptopii w jej procesie upadłościowym. W piątek zaś administracja giełdy opublikowała wpis, z którego jasno wynika, że poszkodowani klienci nie mogą być pewni co do tego, że wszystkie należące do nich środki zostaną zwrócone.
Upadek ogłoszony przez likwidatora
Okradziona w styczniu Cryptopia wznowiła swoją działalność 19 marca, uspokajając użytkowników i sugerując, że poniesione w ramach ataku hakerskiego straty będą systematycznie rekompensowane. Wypłaty środków zostały w znaczący sposób ograniczone - każdy z użytkowników mógł wypłacić m.in. 86% posiadanych przez siebie środków w bitcoinie (BTC), 57% środków w Litecoinie (LTC), zaś wypłaty Ethereum (ETH) i większości pozostałych altcoinów były całkowicie zablokowane. Wcześniej przygotowano również program rabatowy, obniżający wysokość prowizji transakcyjnych dla poszkodowanych klientów, co jednak ze zrozumiałych względów nie spotkało się ze zbyt ciepłym przyjęciem. Cryptopia zapowiedziała także plan rekompensaty skradzionych kryptowalut, wprowadzając token o nazwie Cryptopia Loss Marker (CLM), który został dodany do konta każdego z klientów, którego środki padły ofiarą ataku hakerskiego. Tokeny CLM przyznawane były w wysokości adekwatnej do wartości straconych środków, wycenianych z dolarze nowozelandzkim. Niestety, paradoksalnie dla okradzionej giełdy, ostatnie wzrosty na rynku kryptowalut sprawiły, że początkowa strata środków wycenianych pod koniec stycznia na niecałe 20 mln dolarów, zwiększyła się do niemal dwukrotnie wyższej kwoty, która najwidoczniej przerosła możliwości Cryptopii. Poszkodowani klienci nowozelandzkiej giełdy o zakończeniu jej działalności dowiedzieli się w środę 15 maja z oświadczenia międzynarodowej firmy prawniczej Grant Thornton, która została wybrana przez właścicieli Cryptopii na likwidatora. Wiadomość ta mocno zaskoczyła społeczność oraz klientów giełdy i to nie tylko ze względu na sposób jej przekazania do wiadomości publicznej. Likwidator Cryptopii w suchym, korporacyjnym tonie poinformował, że giełda nie jest w stanie dłużej funkcjonować ze względu na straty poniesione w wyniku styczniowej kradzieży. Zapowiedział także, że przeprowadzi proces spłaty zobowiązań wobec udziałowców i wierzycieli giełdy „jak najszybciej będzie to możliwe”, zaznaczając jednocześnie, że będzie to kwestia raczej miesięcy niż tygodni. Upadłość Cryptopii została później potwierdzona… lakonicznym tweetem na oficjalnym profilu giełdy, odsyłającym do komunikatu Grant Thornton.
Środki zamrożone, rekompensaty pod znakiem zapytania
Dwa dni po ujawnieniu informacji o rozpoczęciu procesu upadłościowego Cryptopia na swojej witrynie opublikowała komunikat dla klientów. Wynika z niego, że do momentu zakończenia sądowego postępowania upadłościowego, którego czas trwania nie jest znany, żadne środki należące do użytkowników giełdy nie mogą zostać wypłacone, nawet jeśli nie miały one żadnego związku z atakiem hakerskim. Cryptopia w swoim komunikacie wielokrotnie podkreśliła również, że nie może zagwarantować tego czy poszkodowani klienci otrzymają zwrot wszystkich ulokowanych na giełdzie środków. Nie wiadomo również czy rekompensaty skradzionych funduszy będą realizowane z wykorzystaniem walut fiducjarnych czy kryptowalut i tokenów, które zostały utracone.
Kulisy tajemniczego ataku i zachowania giełdy
Cryptopia padła ofiarą ataku hakerskiego w poniedziałek 14 stycznia. Wtedy też witryna giełdy została wprowadzona w stan „prac technicznych”, przez kilkanaście pierwszych godzin po ataku nie informując klientów o przyczynach zawieszenia swojej platformy handlowej. Możliwość zalogowania się, a tym samym m.in. wypłaty środków, została zablokowana. Społeczność nie przeoczyła nagłego zatrzymania handlu na dość dużej giełdzie, jaką była Cryptopia, snując przypuszczenia o tym, że została ona okradziona. Pojawiły się także podejrzenia o „exit scam” i pozorowany przez właścicieli giełdy atak. Kradzież została potwierdzona przez administrację giełdy we wtorek 15 stycznia w lakonicznym komunikacie informującym o tym, że straty środków są „znaczne”. Dzień później atak został oficjalnie potwierdzony również przez nowozelandzką policję, która wszczęła śledztwo w sprawie kradzieży środków należących do klientów Cryptopii.
Mimo braku jakichkolwiek konkretnych informacji na temat skali i sposobu w jaki atakujący wyprowadzili środki z giełdy, pierwsze szacunki wspominały utracie kryptowalut i tokenów o ówczesnej wartości ok. 3,6 mln dolarów amerykańskich. Łupem atakujących miały paść wyłącznie hot wallety (szyfrujące klucze prywatne w środowisku online, z dostępem do sieci) Ethereum, z których skradziono ETH o wartości ok 2,4 mln USD oraz tokeny ERC20 o nazwie Centrality (CENNZ), warte wówczas ok. 1,2 mln dolarów. Trzy dni po ataku prezes czołowej giełdy kryptowalut Binance, Changpeng Zhao, poinformował na swoim Twitterze, że część środków skradzionych z Cryptopii zostało przesłanych przez hakerów na Binance i dokonano ich zamrożenia do czasu wyjaśnienia sprawy ataku. Pod koniec stycznia firma Elementus opublikowała informację o tym, że hakerzy w dwa tygodnie po ataku na Cryptopię… wciąż mają dostęp do jej portfeli. Mowa o ponad siedemnastu tysiącach portfeli Ethereum, z których łącznie w tym czasie wyprowadzono 1675 ETH. Rzuciło to cień na samą administrację giełdy - po raz kolejny pojawiły się podejrzenia o współudział Cryptopii w ataku. Sama giełda wówczas nie prowadziła jakiejkolwiek komunikacji ze swoimi klientami, milcząc na wszystkich swoich kanałach społecznościowych. Elementus oszacował również skalę ataku na znacznie wyższą od pierwotnych 3,6 mln dolarów - szacunki dotyczyły kwoty przynajmniej 16 mln dolarów straty, poniesionej w wyniku kradzieży ETH i tokenów ERC20. 4 lutego Elementus, skrupulatnie śledząc środki wyprowadzone z Cryptopii, poinformował o upłynnieniu przez hakerów tokenów wartych wówczas ponad 3,2 mln dolarów, z których największa liczba została sprzedana na zdecentralizowanej giełdzie Etherdelta.
Po niecałym miesiącu od ataku nowozelandzka policja zakończyła swoje dochodzenie i poinformowała o tym, że giełda jest gotowa do wznowienia swojej działalności. 26 lutego Cryptopia opublikowała komunikat, w którym zapewniła że wciąż pracuje nad szacowaniem strat, jednak ich wysokość „w najgorszym wypadku” nie przekroczy 10% wszystkich depozytów giełdy. Do dziś jednak nie opublikowano szacunkowych kwot, ani nie poinformowano o tym jakie kryptowaluty i tokeny zostały skradzione. Jeśli łupem hakerów padły portfele Ethereum, to dlaczego po wznowieniu prac giełdy ograniczano również wypłaty m.in. BTC czy LTC? Na odpowiedzi na te pytania najprawdopodobniej trzeba będzie jeszcze długo poczekać.
Od dwuosobowego zespołu do wyższych obrotów niż nowozelandzki parkiet
Giełda kryptowalut Cryptopia została założona w 2014 r. przez dwóch developerów mieszkających w Christchurch, Roba Dawsona i Adama Clarka, którzy początkowo traktowali prace nad rozwojem własnej platformy handlowej jako hobby. Co ciekawe, przez pierwsze dwa lata działalności giełdy byli oni jedynymi osobami, które zajmowały się powoli zyskującą użytkowników platformą. Na początku 2017 r. zdecydowali się oni na rzucenie swoich dotychczasowych zajęć i oddanie się w całości pracy nad Cryptopią. Wraz z coraz dynamiczniejszymi wzrostami na rynku kryptowalut, rosła również popularność samej giełdy, czego najlepszym dowodem jest fakt, że już pod koniec 2017 r. zatrudniała ona pięćdziesięciu pracowników. Liczba aktywnych użytkowników giełdy wzrosła od początku 2017 r. do grudnia z 30 tys. do ponad miliona, zaś w styczniu 2018 r. dochodziła do niemal półtora miliona klientów. W okresie największej świetności Cryptopia miała znacznie większe obroty niż nowozelandzka giełda papierów wartościowych, wciąż pozostając stosunkowo niewielką firmą. Wówczas też pojawiły się liczne problemy techniczne, wynikające ze zbyt dużej liczby użytkowników, próbujących korzystać z platformy, co w szczycie rynkowej euforii na przełomie 2017 i 2018 r. było poważnym utrudnieniem również dla znacznie większych giełd, takich jak m.in. Bitfinex, czy Bittrex.
Cryptopia nigdy bezpośrednio nie przyjmowała depozytów w walutach fiducjarnych, jednak od maja 2017 r. oferowała cyfrowy token o nazwie NZDT, mający pełnić rolę stable coina, odzwierciedlającego wartość dolara nowozelandzkiego. Rezerwy w NZD trzymane były w nowozelandzkim ASB Banku, z czym wiążą się pewne kontrowersje - w styczniu 2018 r. bank zdecydował się zamknąć konta zawierające rezerwy Cryptopii, co zmusiło giełdę do szybkiego wycofania tokenu NZDT. Miał być on przywrócony w pierwszym kwartale 2019 r. po nawiązaniu współpracy z innym bankiem, jednak przeszkodził w tym styczniowy atak hakerski.
Giełda nigdy wcześniej nie miała żadnych poważniejszych incydentów związanych z bezpieczeństwem, nie przechodziła też przez istotniejsze problemy wizerunkowe. Cryptopia swoją stosunkowo dużą popularność, również wśród użytkowników z Polski, zawdzięczała wyjątkowo szerokiej ofercie niskokapitalizowanych, rozwijających się projektów, które nierzadko były dostępne wyłącznie na jej platformie. Giełda chwaliła się w mediach społecznościowych, że posiada najszerszą gamę altcoinów spośród wszystkich platform handlowych. W momencie styczniowego ataku Cryptopia posiadała ponad 1150 różnych instrumentów w swojej ofercie handlowej.
