Mt.Gox: فحص جنائي 11 سنة لـ 850,000 BTC مفقودة

المقدمة: اسم لم يكن يجب أن يُستخدم

ظهر اسم Mt.Gox على الإنترنت لأول مرة عام 2007. كان Jed McCaleb قد كتب موقعًا صغيرًا يستطيع فيه لاعبو لعبة الكروت Magic: The Gathering عرض كروتهم الرقمية للتبادل. الاسم الكامل كان «Magic: The Gathering Online Exchange»، اختُصر إلى MTGOX. في تلك اللحظة لم يكن البتكوين قد ظهر بعد كشبكة عامة، ولم تكن عبارة «منصة تشفير» جزءًا من قاموس أحد. بنى McCaleb الموقع لأنه كان يلعب Magic بنفسه، ولم يجد مكانًا نظيفًا يطابق فيه بائعي الكروت بمشتريها.

ذلك النطاق ذاته صار لاحقًا، عبر سلسلة قرارات لم تُؤخَذ بجدية في حينها، أول منصة تشفير مركزية حقيقية في تاريخ العملات الرقمية. لم يتغيّر الاسم. وبحلول 2013، حين كانت Mt.Gox تتولى أكثر من 70% من حجم تداول البتكوين العالمي، كانت بياناتها الصحفية لا تزال تحمل الاختصار الطريف. أنا قرأت هذا الاستمرار لاحقًا — لا كفضول، بل كأطروحة جوهرية عن البنية التحتية المبكرة للصناعة كلها: أول ساحة مالية كبرى للتشفير كانت مشروعًا جانبيًا لمبرمج لعبة كروت فشل في حذفه، أعاد استخدامه لأن شهادة SSL لا تزال صالحة. منذ اليوم الأول، لم يُبنَ لما حمله في النهاية.

والأمر يصير أغرب من ذلك. غرقت السفينة في 2014، وغرقت بقوة — إعلان 28 فبراير قدّر الخسارة بنحو 850,000 بتكوين، وهو ما يساوي بأسعار 2026 أكثر من $51 مليار. ثم أمضى الدائنون عقدًا في الإجراءات القانونية. في يوم يوليو 2024 حين هبطت الدفعة الأولى من التوزيعات فعلًا في محافظ الدائنين، فجأة وجد كثير من الناس الذين كانوا قد شطبوا أرصدتهم بالكامل عام 2014 بتكوينًا بقيمة عشرات الآلاف من الدولارات لكل قطعة في عناوين كانوا قد عيّنوها قبل سنوات. عبثية القوس — غرقت، لكن الدائنون ربحوا — لا سابق لها فعلًا في التشفير. لا توجد سفينة ثانية في هذا الأرشيف لها نفس الشكل.

ما أريد فعله في هذا المجلد هو المشي عبر ذلك القوس زمنيًا. كيف بُنيت السفينة، كيف ابتلعت السوق كله، أين فُتحت الشقوق أولًا، وكيف غرقت أخيرًا — سنة بسنة، مع المصادر. لا عاطفة، لا تحرير. لكنني سأمضي وقتًا أطول على ثلاثة أشياء يتجاوزها الملخص الإنجليزي المعتاد:

• اختراق يونيو 2011 الذي حطّم BTC من $17 إلى سنت واحد على دفتر طلبات Mt.Gox. هذا الحدث، لا إعلان 2014، هو الأصل الفعلي للكارثة. كل ما تلاه كان تسرّبًا من بدن ثُقب من قبل.
• التفصيل التقني لـ transaction malleability: كيف استشهدت Mt.Gox بها كسبب لتجميد فبراير 2014، لماذا كان ذلك التفسير ممكنًا تقنيًا لكنه مستحيل رياضيًا لتفسير الـ 650,000 BTC المفقودة، وكيف أن إصلاحات البروتوكول (BIP62، SegWit) أغلقت في النهاية الثغرة الفعلية.
• تحقيق Wizsec / Kim Nilsson على السلسلة — أول مرة في تاريخ التشفير يقوم فيها مدنيون مستقلون بعمل تحليل السلسلة الذي أودع مهرّب أموال أجنبيًا في سجن فرنسي.

وفي تجربتي، الحدث الذي يهمّ القارئ الخليجي والشرق أوسطي تحديدًا هو ما لم يقع أبدًا: المؤسسات الإقليمية التي تأسست لاحقًا — هيئة تنظيم الأصول الافتراضية في دبي (VARA)، وحدة الأصول المشفرة في المصرف المركزي البحريني، ضوابط FSRA في سوق أبوظبي العالمي — كل واحدة منها حملت في ملفها التأسيسي الداخلي اسم Mt.Gox كمرجع للأخطاء التي يجب ألا تتكرر. سأخصّص الفصل العاشر لهذا الأثر الإقليمي. هو الفصل الذي لن تجده في النسخة الإنجليزية ولا الصينية، لأنه يخصّ منطقتنا بالتحديد.

هذه قراءة طويلة. اسكب قهوة، استرخ. لقد أعدت كتابة هذا المجلد أربع مرات — مادة Mt.Gox ضخمة والتفاصيل المتنازَع عليها تختلف اختلافًا واسعًا حسب من تثق به، لذا حاولت أن أضع كل ادعاء متنازع عليه على مصدر أولي. إذا رصدت خطأً وقائعيًا واضحًا، اكتب إليّ وسأصدر تصحيحًا علنيًا باسمك.

الملخص · الأرقام الرئيسية

الفصل الأول: من موقع كروت Magic إلى منصة بتكوين (2007-2011)

ماضي Magic the Gathering (2007-2010)

كان Jed McCaleb عام 2007 رائد أعمال متسلسلًا بالفعل: بنى eDonkey2000، شبكة مبكرة لمشاركة الملفات نِدًّا لنِد، و Overnet. وفقًا لروايته الشخصية لاحقًا على مدونة Stellar، كان قد قضى وقتًا في منتديات Magic: The Gathering ولاحظ شيئًا محدّدًا — أن إيجاد طرف مقابل لتبادل كرت كان مؤلمًا في كفاءته. سير العمل المعتاد كان يشمل خيوط منتديات، رسائل بريد إلكتروني خاصة للتفاوض على الأسعار، تحويلات PayPal، وبريدًا فعليًا. من البداية للنهاية، أسبوعان كانا أمرًا اعتياديًا.

أمضى McCaleb نحو أسبوع في كتابة موقع بسيط أسماه Magic: The Gathering Online Exchange، اختصره إلى MTGOX. الآلية كانت بسيطة: يدرج البائعون الكروت بأسعار طلب؛ يدفع المشترون للموقع الذي يحتجز الأموال كضمان؛ يشحن البائعون الكروت؛ يؤكد المشترون الاستلام؛ يفرج الموقع عن الدفع. كان هذا eBay زائد PayPal لتبادل الكروت. عمل الموقع لبضعة أشهر، كانت حركة المرور متواضعة، وكانت الصداعات التشغيلية — حالة الكرت متنازع عليها، شحنات مفقودة، عمليات احتيال «دُفع لكن لم يُشحن» — كافية لجعل McCaleb يغلقه في وقت ما من أوائل 2008.

بقي النطاق خاملًا تحت اسم McCaleb سنتين. ثم في أوائل 2010، رأى McCaleb منشورًا على Slashdot عن البتكوين. كانت العملة عمرها يزيد قليلًا عن سنة في تلك المرحلة، يعاملها معظم القرّاء كفضول تشفيري لا طريق له إلى النقد التقليدي. كان حكم McCaleb السريع أنه إذا كان البتكوين سيجد يومًا تبنّيًا، فسيحتاج إلى منصة يستطيع الناس فيها الشراء والبيع بالدولار. نظر إلى مشاريعه الجانبية المنتهية الصلاحية، لاحظ أن MTGOX قصير، يسهل تذكّره، وأن شهادة SSL الخاصة به لم تنتهِ صلاحيتها بعد. أعاد توظيف النطاق.

أكثر الأجزاء عبثية في هذا الاشتقاق أن هذا هو السبب الكامل وراء تسمية أول ساحة كبرى للتشفير بـ Mt.Gox — ليست علامة تجارية، ليست استراتيجية، فقط نطاق صادف أنه لا يزال في المحفظة. لو ترك McCaleb MTGOX ينتهي في 2009، لكان لأول سفينة تشفير كبيرة اسم مختلف. حمل الاسم معه تحذيرًا هادئًا لم تتعلم الصناعة قراءته أبدًا: بناه مطوّر واحد، لم يُهندَس قطّ للنطاق الذي حمله في النهاية، ولم يُعاد تسميته حين تغيّر غرضه.

الأشهر الخمسة لـ McCaleb (2010.07-2011.02)

في 18 يوليو 2010، أعاد McCaleb إطلاق نطاق MTGOX كمنصة بتكوين. كان البتكوين في تلك المرحلة أكبر بقليل من سنة. كان إجمالي معدل التجزئة في الشبكة صغيرًا بما يكفي لجعل حاسوب محمول يستطيع تعدين كتل كاملة. كتب McCaleb الكود بنفسه، أدار خدمة العملاء بنفسه، وكشف فقط الوظائف الأساسية المطلوبة: إيداع USD، شراء BTC، بيع BTC، سحب USD. ارتفع الحجم الشهري من صفر فعليًا في يوليو إلى نحو $200,000 بحلول نوفمبر 2010.

طوال هذه الأشهر الخمسة، شغّل McCaleb الموقع بأكمله وحده. وصف جدوله اليومي في مقابلة لاحقة على مدونة Stellar بأنه ثلاث ساعات تقريبًا في رسائل خدمة العملاء والباقي مقسومًا بين البرمجة وإصلاح الأخطاء وصدّ هجمات حجب الخدمة. لم تكن Mt.Gox في تلك النقطة منظمة تجارية؛ كانت مشروعًا جانبيًا لمبرمج. هذه الحقيقة وحدها ستحدد الشكل الكامل للسنوات الثلاث التالية من قاعدة كود الشركة: لم يكن هناك تسجيل، لا أثر تدقيق، لا حماية لقاعدة بيانات معاملاتية، وكل المصالحة كانت تتم عبر McCaleb وهو يشغّل سكربتات PHP يدويًا على قاعدة بيانات الإنتاج.

19 يونيو 2011 — أول اختراق كبير

يُعامَل هذا الحدث كحاشية في معظم التواريخ الإنجليزية لـ Mt.Gox، وهذه المعاملة — في رأيي — هي الخطأ التفسيري المركزي الذي تواصل الصناعة ارتكابه بشأن هذه السفينة. اختراق 19 يونيو 2011 هو البداية الفعلية لكارثة Mt.Gox. كل ما تلاه هو السفينة تأخذ ماءً.

ما حدث: في عصر أحد يونيو 2011، تسرّبت بيانات اعتماد حساب مسؤول لـ Mt.Gox علنًا. أعطى ذلك الاعتماد حق وصول كتابي مباشر إلى قاعدة البيانات الداخلية. فعل المهاجم شيئًا فظًا: عدّل قاعدة البيانات مباشرة لإضافة نحو 750,000 «بتكوين شبحي» مخترَع إلى أحد حساباته، بقيمة دفترية إجمالية نحو $8.75 مليون بالأسعار حينها. ثم وضع أوامر بيع على المنصة باستخدام تلك العملات الشبحية.

لأن محرّك المطابقة لـ Mt.Gox كان يطابق بناءً على دفتر الأرصدة الداخلي بدلًا من التحقق من توافق الأرصدة مع بتكوين فعلي على السلسلة، نُفّذت أوامر البيع. لم يكن دفتر الطلبات قريبًا من امتلاك العمق الكافي لاستيعاب ذلك الحجم. طبع BTC من $17 إلى $0.01 على Mt.Gox خلال دقائق. عدد قليل من أوامر العرض المنخفضة المستقرة انتهى بشراء BTC بسنت واحد لكل قطعة. عُرفت تلك الليلة على Bitcointalk بـ «الانهيار الكبير».

كان رد Mt.Gox هو التراجع: عكسوا الصفقات المطابَقة التي نُفّذت تحت مستويات السوق الطبيعية، مستعيدين دفتر الطلبات إلى حالته قبل الهجوم. لكن كانت هناك ثلاث مشكلات بنيوية لم يصلحها التراجع:

• كان المهاجم قد نقل بعض BTC المُحوَّلة إلى السلسلة قبل التراجع. قدّر تحليل السلسلة لاحقًا الخسارة الفعلية المادية بنحو 2,000 BTC.
• كُتبت قاعدة البيانات مباشرة. طُبّقت عمليات التراجع على محرّك المطابقة، لا على قاعدة البيانات. ما يعني أنه من ذلك اليوم فصاعدًا، لم يكن لمحاسبة Mt.Gox الداخلية أي تطابق مضمون مع الأرصدة الفعلية على السلسلة. كانت هناك طرق للمصالحة، لكن Mt.Gox لم تبنِها أبدًا.
• في لحظة الاختراق، كان McCaleb قد باع المشروع لـ Karpelès. كان Karpelès مسؤولًا منذ ثلاثة أشهر. أُديرت الاستجابة للأزمة بالكامل تقريبًا من قبله.

قراءة تقرير Wizsec 2017 بعد سنوات، بقي معي سطر واحد. كتبوا: «بعد هذا الحدث، لم يُصالَح نظام محاسبة Mt.Gox مع الواقع مرة أخرى. كل السرقات اللاحقة كانت في جوهرها فوضى مستمرة في دفاتر فوضوية من قبل». هذه الجملة، أعتقد، هي الكتابة الجنائزية الصحيحة لهذه السفينة.

تولّي Karpelès (2011.10)

في مارس 2011، باع McCaleb Mt.Gox لمبرمج فرنسي يعيش في طوكيو: Mark Karpelès. شروط البيع كانت غير عادية — مبلغ ثابت صغير مقدمًا زائد نسبة من الإيرادات على مدى الأشهر الستة التالية. أعيد طرح هذا العقد في تقاضي 2013 لأن Karpelès لم يدفع قط لـ McCaleb حصته من الإيرادات بالكامل. ذهب McCaleb نفسه ليشارك في تأسيس Ripple ثم Stellar، ومن 2013 فصاعدًا لم يكن له تورّط مباشر مع Mt.Gox.

في أكتوبر 2011، أكمل Karpelès تولّي 100% من الأسهم. في تلك النقطة، كانت Mt.Gox بالفعل أكبر منصة بتكوين في العالم. عبر الحجم الشهري للتداول مليون دولار للمرة الأولى. سجّل Karpelès العملية كـ kabushiki kaisha يابانية واستأجر مساحة مكتبية في شيبويا. بلغ عدد الموظفين ذروته أقل من 30. لكن حتى حين عبر تقييم الشركة السوقي $100 مليون في 2013، لم يكن هناك مدير مالي مستقل، ولا مسؤول امتثال، ولا مهندس أمن متفرّغ. شغل Karpelès دور CTO بنفسه. كانت قاعدة الكود PHP أحادية الكتلة دون حماية معاملاتية على المسارات الحرجة، ولم يُعتمَد git داخليًا حتى 2012.

«حين توليت Mt.Gox، كانت قاعدة الكود كطفل أُفرط في إطعامه لثلاث سنوات. تضاعف حجمها ثلاث مرات كل أسبوع، لكن العظام لم تكن تنمو بسرعة كافية».

Mark Karpelès، شهادة 2017، محكمة طوكيو المحلية

يُستشهد بهذا الاقتباس كثيرًا في الاستعراضات الرجعية. قراءتي الشخصية، بعد العمل عبر نص المحاكمة الكامل، أن الاستعارة صادقة بقدر ما تمتد — العظام لم تكن تنمو بسرعة كافية — لكنها تُسقط الجزء الذي بين 2011 و 2013، كان لدى Karpelès الوقت والمال وإشارات التحذير الصريحة لإصلاح المشكلات البنيوية. لم يفعل، وهذا الإغفال هو السبب الجذري لكل ما تلا.

الفصل الثاني: كيف ابتلعت Mt.Gox 70% من الحجم العالمي (2011-2013)

ارتكزت هيمنة Mt.Gox بين 2011 و 2013 على ثلاثة عوامل متعاضدة:

1. ميزة السبق. أُطلقت Mt.Gox في يوليو 2010، سنة كاملة قبل BTC-e أو Bitstamp. في مجتمع البتكوين المبكر الصغير، كان المستخدمون يميلون إلى التعرّف على الحسابات بالسمعة لا ببيانات اعتماد المنصة. حتى أوائل 2011، كانت Mt.Gox فعليًا الساحة الوحيدة المسمّاة. منصات أخرى وُجدت لكن لم يكن لديها ثقة مستخدم مماثلة.
2. بوابة دولار أمريكي تقليدية. دعمت معظم المنصات المبكرة أزواج تشفير-تشفير فقط. القدرة على تحويل USD أو استخدام معالج دفع مقرّه أمريكا كانت نادرة — عالميًا، ساحتان أو ثلاث. ربطت Mt.Gox نفسها بشبكات الدفع الأمريكية Dwolla و Liberty Reserve، اللتين شكّلتا معًا العمود الفقري لقدرتها على نقد USD. هذا القرار التقني الواحد هو ما دعم هيمنتها السوقية لثلاث سنوات.
3. مكانة مؤشر السعر. طوال 2012-2013، كانت معظم تغطيات الإعلام المالي لـ «سعر البتكوين» تقتبس بشكل افتراضي من Mt.Gox. كان هذا معزّزًا ذاتيًا: دفاتر أعمق في Mt.Gox أنتجت تكوين سعر أكثر موثوقية، ما اجتذب اقتباسات مرجعية أكثر، ما اجتذب تدفّقًا أكثر. قبل إطلاق CoinDesk لـ BPI في أواخر 2013، كانت Mt.Gox تحمل أكثر من 70% من الوزن الضمني في أي سعر مرجعي معقول لـ BTC.

تكاثفت هذه العوامل الثلاثة. جلبت ميزة السبق صنّاع السوق والمتداولين الكبار. جلب صنّاع السوق السيولة. أنتجت السيولة «السعر القياسي». اقتبس الإعلام المالي ذلك السعر. انضم المستخدمون الجدد إلى Mt.Gox لأن ساحة السعر القياسي شعرت بأمان. طوال 2011-2013 عمل الحلقة حارّة جدًا بحيث استأثرت Mt.Gox، في الذروة، بنحو 80% من حجم البتكوين الفوري عالميًا. لوضع هذا في منظور: Binance لم تصل أبدًا إلى 50% حصة سوقية في أي شهر فردي خلال صعودها 2017-2022، وبلغت FTX ذروتها عند نحو 12%. تركيز Mt.Gox كان ولا يزال غير مسبوق.

كلفة تلك الهيمنة، التي لم يلاحظها أحد تمامًا في حينه، أن قدرة Mt.Gox التنظيمية الداخلية لم تستطع مواكبة موقعها السوقي. طوال 2011-2013 كانت الأعراض المرئية انقطاعات موقع عرضية والانجراف البطيء لتأخّر السحوبات. شطبها المستخدمون والمراقبون كـ «آلام نمو لمنصة كبيرة». لم تكن آلام نمو. كانت قراءة مبكرة لتسرّب أكبر بكثير.

10 أبريل 2013 كان اليوم الذي ظهرت فيه Mt.Gox لأول مرة في عناوين الإعلام المالي الرئيسية. طبع BTC $266 على المنصة — أول جري له للانتباه العام. في اليوم نفسه، انقطعت Mt.Gox لنحو أربع ساعات تحت حمل تدفّق الطلبات. CNBC و Bloomberg و BBC كلها أدارت «Mt.Gox تنهار» كعنوانها. كانت المرة الأولى التي تظهر فيها Mt.Gox في عناوين تحت تأطير «هذه الساحة أهم من أن تفشل». بعد ذلك اليوم، استأجر Karpelès أخيرًا أول مهندسَين متفرّغَين امتلكتهما الشركة على الإطلاق.

لكن انقطاع 10 أبريل كشف أيضًا مشكلة أعمق. حين عادت Mt.Gox إلى الإنترنت، اكتشف فريق العمليات أن نحو اثنتي عشرة دقيقة من بيانات دفتر الطلبات قد فُقدت. بعض الصفقات المطابَقة لم تُكتب إلى التخزين الدائم. تعامل Karpelès مع هذا بالاستعادة من آخر لقطة كاملة قبل الانهيار — متطابقًا تمامًا مع كيفية معالجة اختراق مفتاح المسؤول في يونيو 2011. ثقافة هندسة «إن كُسر شيء، ارجع للخلف» كانت أقدم وأكثر السمات الجينية فتكًا في قاعدة كود Mt.Gox. تفسّر كل فشل مصالحة لاحق أفضل من أي قرار تقني فردي.

من مايو 2013 فصاعدًا، استقرّ نمط غريب آخر: تباطأت سحوبات USD دراماتيكيًا. قبل مايو، استغرق سحب Dwolla 2-3 أيام عمل. بعد مايو، استغرق نفس السحب 4-8 أسابيع. أطّرته Mt.Gox في البداية كـ «مراجعة امتثال بنكي». في أثر رجعي، السبب الفعلي أن وزارة الأمن الداخلي الأمريكية (DHS) كانت قد بدأت بهدوء بالتحقيق في مشكلة ترخيص MSB لـ Mt.Gox — قصة طفت علنًا في 14 مايو.

للفترة المتبقية من 2013 ومطلع 2014، صارت «السحوبات البطيئة» الحالة الطبيعية لـ Mt.Gox. امتلأت خيوط Bitcointalk بالمستخدمين يسألون «سحبي لا يزال معلّقًا، ماذا أفعل». كانت هذه أول علامة غرق قابلة للملاحظة علنًا — لكن لم يقرأها أحد تقريبًا بشكل صحيح في حينه. عزى معظم القرّاء التأخيرات إلى مزيج من البيروقراطية وتردّد البنوك. لم يربط أحد العَرَض السطحي المرئي بفشل بنيوي أعمق.

الفصل الثالث: من أين بدأت الشقوق (2011-2013)

مسألة متى بدأت Mt.Gox فعلًا تخسر أموال العملاء لا تزال متنازَعًا عليها رسميًا. خلص تقرير أمين الإفلاس Nobuaki Kobayashi الرسمي إلى أن التسرّب بدأ في 2011 واستمر بشكل متواصل لثلاث سنوات. أصرّ Karpelès، في شهادة المحاكمة والمقابلات اللاحقة، أن الجزء الأكبر من BTC المفقودة أُخذ دون علمه. أنا أميل بقوة إلى رواية الأمين؛ منطقي أدناه.

سرقة مفتاح المسؤول 2011 (3,000 BTC)

في مارس 2011، كُشفت بيانات اعتماد حساب مسؤول Mt.Gox سهوًا في قناة عامة. استخدم المهاجم الحساب لنقل نحو 2,643 BTC خارج محافظ تسيطر عليها Mt.Gox. بأسعار حينها، كانت الخسارة أقل من مليون دولار بالقيمة الدولارية، فاجتذبت اهتمامًا محدودًا. لكن التضمين كان واضحًا بالفعل: كانت حضانة المفتاح الخاص للمحفظة الساخنة لـ Mt.Gox ضعيفة بنيويًا. نشر Karpelès لاحقًا منشور مدونة يدّعي أن ضوابط الوصول قد عُزّزت. كان هذا أول وآخر بلاغ أمني عام تصدره الشركة على الإطلاق.

أظهرت إعادة بناء Wizsec على السلسلة (تقريرها 2017) أنه من حدث 2011 هذا حتى منتصف 2013، عانت المحفظة الساخنة لـ Mt.Gox من نمط طويل ومستقر من التسريبات ذات الحجم الصغير. خمس BTC هنا، ثلاثون BTC هناك، على أساس يومي. لم يلاحظ أحد لأن مصالحة الشركة كانت تتحقق فقط من إجمالي الرصيد، لا من تحركات كل معاملة على حدة. توقيع «القشط في حالة ثابتة» لا يخطئه أحد على السلسلة: فهم المهاجمون أن سحب 5 إلى 30 BTC يوميًا لن يُحفّز أي تنبيه داخلي طالما بقيت الأرصدة الإجمالية موجبة.

أنتج تقرير Wizsec نقطة بيانات محددة، حين قرأتها لأول مرة، استغرقتُ نحو ثلاثين ثانية لاستيعابها كاملًا: بين سبتمبر 2011 ومايو 2013، توسّعت الفجوة بين «رصيد BTC المحاسبي الداخلي لـ Mt.Gox» و «رصيد المحفظة الفعلي على السلسلة» من 0 BTC إلى نحو 630,000 BTC. ما يعني أنه في يوم واحد من مايو 2013، لو فتحت قاعدة بيانات Mt.Gox الداخلية لأخبرتك أن المنصة تحتفظ بنحو 750,000 BTC نيابة عن العملاء؛ ولو فتحت المحافظ الفعلية على السلسلة، لكنت رأيت نحو 120,000 BTC. فجوة 630,000 BTC نُزفت ببطء على مدى سنتين دون أن يلاحظها أحد، خارجيًا أو داخليًا.

شهد Karpelès باستمرار أنه لم يصبح على علم بهذه الفجوة حتى يناير 2014. رفض كل من Wizsec ومكتب الأمين هذه الرواية. منطقهم: طوال السنة التي تلت أبريل 2013، أظهرت Mt.Gox مرارًا نمط فشل محدّد — «سحوبات BTC تفشل ثم تُعاد المحاولة تلقائيًا». هذا نوع الشذوذ الذي لا يمكن لـ CTO-CEO يراجع بيانات الواجهة الخلفية بنشاط أن يفوّته بشكل معقول على مدى سنة كاملة.

مصادرة DHS الأمريكية 2013

في 14 مايو 2013، صادرت وزارة الأمن الداخلي الأمريكية حسابَي Dwolla يخصّان الشركة التابعة الأمريكية لـ Mt.Gox، مجمّدةً نحو $2.9 مليون. كان الأساس القانوني هو الإخفاق في التسجيل كـ «خدمة أعمال نقدية» (MSB) لدى FinCEN. بعد يومين صادرت DHS $2.2 مليون أخرى. لم تنخرط Mt.Gox في أي مخالفة تقليدية — لكنها أغفلت تسجيل MSB، وهو فشل امتثال كارثي بهدوء كشف ثلاث مشكلات تنظيمية أخطر:

• الشركة التابعة الأمريكية كانت فعليًا شركة وهمية، تفتقر حتى لعنوان أعمال مسجّل.
• منصب مسؤول الامتثال كان شاغرًا لأكثر من سنة. لم يُعيَّن أحد لشغله.
• معظم تدفّق USD الوارد كان يمرّ عبر حساب PayPal شخصي بدلًا من حساب مصرفي مؤسسي.

في حينه، عامل معظم المراقبين مصادرة DHS كبند طفيف. كان المبلغ المجمَّد، بمقاييس حجم Mt.Gox، صغيرًا. مع عشر سنوات من أثر رجعي، هذه أول إشارة تحذير رسمية تلقتها الشركة في تلك السنة. لم تُحفّز أي تأمّل داخلي، ولا توظيف امتثال، ولا إعادة هيكلة. كل ما تلا جلس على هذا الأساس.

650,000 BTC نُزفت على مدى ثلاث سنوات

نشرت Wizsec «Breaking Open the MtGox Case, part 2» في يوليو 2017. كانت المنهجية شيئًا أسموه «مصالحة الرصيد العكسية على السلسلة»: أعادوا بناء الرصيد التاريخي شهرًا بشهر لكل محفظة معروفة علنًا تسيطر عليها Mt.Gox، ثم قارنوا الواقع على السلسلة بما كانت محاسبة المنصة الداخلية ستضمنه. النتيجة كانت رسمًا بيانيًا واحدًا: المحور السيني من يناير 2011 حتى مارس 2014؛ المحور الصادي الفجوة بين الحيازات الفعلية على السلسلة والحيازات الضمنية محاسبيًا.

المسار الذي يرسمه الرسم لا لبس فيه:

• يونيو 2011 – أكتوبر 2011: انخفاض حاد أوّلي، الفجوة تنفتح من صفر إلى نحو 80,000 BTC. هذا يقابل اختراق 19 يونيو زائد أشهر السرقة المتواصلة بعده مباشرة.
• أكتوبر 2011 – يونيو 2012: انحدار أبطأ، الفجوة تتوسع من 80,000 إلى ~160,000 BTC. فترة «النزيف المزمن» تحت أشهر Karpelès الأولى من الملكية.
• يونيو 2012 – مارس 2013: تسارع حاد، الفجوة تتوسع من 160,000 إلى ~480,000 BTC. تتزامن هذه المرحلة بالضبط مع صعود سعر BTC من $5 إلى $100. تسارع معدّل السرقة مع ارتفاع السعر، وهو ما يبدو معاكسًا للحدس عند القراءة الأولى. تفسير Wizsec: عرف المهاجمون أن BTC يرتفع ووسّعوا تسريبهم بشكل عدواني لأن كل عملة مسروقة الآن تتحول إلى USD أكثر.
• مارس 2013 – فبراير 2014: توسّع أبطأ لكن ثابت، الفجوة من 480,000 إلى نحو 630,000 BTC. تتداخل هذه الفترة مع «تأخيرات السحب» المرئية على المنصة. خلال هذا الامتداد الأخير، كان Karpelès يدير فعليًا مخططًا بونزي: يستخدم ودائع جديدة لتلبية طلبات سحب أقدم، لأن الاحتياطيات الأساسية لم تعد تتطابق مع الدفاتر.

ملف PDF لـ Wizsec متاح علنًا. أنصح بصدق أن ينظر أي شخص يريد فهم Mt.Gox على المستوى الجنائي إلى الرسم الفعلي لثلاثين ثانية. ينقل في صورة واحدة الأطروحة التي لا تستطيع أي كمية من النثر مضاهاتها: هذه السفينة لم تغرق في فبراير 2014. بدأت تتسرّب في يونيو 2011 ونزفت لاثنين وثلاثين شهرًا.

على مسألة أين ذهبت 650,000 BTC المفقودة، حدّد تحليل تكتل Wizsec عدة مجموعات عناوين مستلِمة. أكبرها، تستأثر بنحو 300,000 BTC، انتهى الأمر بربطها بعناوين تسيطر عليها BTC-e — منصة ذات صلة روسية نشطة 2011-2017، مسجّلة في بلغاريا، متساهلة تشغيليًا في KYC، ونقطة عبور معروفة للتشفير المُغسَّل وتدفقات الأسواق المظلمة في تلك الحقبة. خلصت Wizsec إلى أن أغلبية Mt.Gox BTC المسروقة غُسلت عبر BTC-e وصُرفت إلى نقد عبر مسارات المصرفية الروسية. تلك الخلاصة أودعت في النهاية Alexander Vinnik — المشغّل الأساسي لـ BTC-e — في سجن يوناني في يوليو 2017 (الفصل السابع يغطي التحقيق الكامل).

الفصل الرابع: transaction malleability — ثغرة العذر

يجب تخصيص هذا الفصل لمعاملة خاصة، لأن البيان العام الذي أصدرته Mt.Gox حين علّقت السحوبات في 7 فبراير 2014 عزا كل المشكلات إلى ثغرة على مستوى بروتوكول البتكوين تُسمّى transaction malleability. ذلك التفسير شوّش معظم المجتمع التقني لمدة أسبوعين على الأقل. إن عدت إلى خيوط Bitcointalk من فبراير 2014 لا تزال تستطيع إيجاد خيوط جوهرية من التحليل التقني «المؤيد لـ Mt.Gox». الحقيقة لما فعلت ومالم تفعل malleability أكثر تعقيدًا.

ما transaction malleability فعلًا

كل معاملة بتكوين لها معرّف فريد (txid) يُحسب كـ SHA-256 هاش لبيانات المعاملة المسلسلة. معاملتان متطابقتان يجب أن تنتجا txid متطابقَين.

ومع ذلك، بين 2010 و 2013، سمح بروتوكول البتكوين بـ ترميزات توقيع متعددة صالحة لنفس المعاملة — أي يمكن تمثيل نفس المعاملة الفعّالة بعدة تسلسلات بايت توقيع بترميز DER مختلفة لكن صالحة بالتساوي. كل ترميز مختلف ينتج تسلسل بايت كلي مختلف، وبالتالي هاش SHA-256 مختلف، وبالتالي txid مختلف لما هو منطقيًا نفس المعاملة.

التضمينات كانت:

• المستخدم A يرسل 1 BTC إلى المنصة B. الـ txid الأصلي، لنقل، abc123.
• طرف ثالث يراقب الـ mempool يعيد بثّ نفس المعاملة باستخدام ترميز DER مختلف لكن صالح. الـ txid الجديد، لنقل، def456.
• أحيانًا يلتقط معدّن def456 أولًا ويضمّنه في كتلة. abc123 الآن غير صالح لأن مدخلاته صُرفت.
• المستخدم A يستعلم من المنصة «هل وصلت معاملتي؟» كود المنصة يبحث ساذجًا عن abc123 على السلسلة. لا يراه. يعامل الإيداع كـ فاشل.

كانت هذه الثغرة حقيقية. كان مجتمع البتكوين يناقشها منذ 2011. الـ CVE المُعيَّن لها هو CVE-2014-2336، مسجّل رسميًا في فبراير 2014.

كيف استخدمتها Mt.Gox سلاحًا كغطاء

بيان Mt.Gox العام في 7 فبراير 2014 قال جوهريًا: «اكتشفنا هجوم malleability. عدّل المهاجم معرّفات سحب BTC الصادرة لدينا، ما جعلنا نعتقد أن السحوبات فشلت. أعدنا المحاولة. تلقّى المهاجم BTC مضاعفًا. المنصة تعلّق السحوبات أثناء الترقيع».

التفسير ممكن تقنيًا. لكن ثلاث مشكلات قاتلة فيه كحساب كامل لـ 650,000 BTC المفقودة:

1. أنظمة السحب الصحيحة تتحقق مما إذا صُرفت UTXOs، لا مما إذا هبط txid محدد. UTXOs لا يمكن تشكيلها بـ malleability — بمجرد صرفها، فهي مصروفة. أن كود Mt.Gox لم يُجرِ هذا الفحص هو بحد ذاته فشل هندسي كبير. منصات أخرى واجهت هجمات malleability في نفس الفترة — Bitstamp، BTC-e — حصرت خسائرها في بضع مئات من BTC لأن أنظمتها صُمّمت بشكل صحيح.
2. نافذة هجوم malleability الناجح قصيرة. من بثّ المعاملة إلى التأكيد عادة نحو عشر دقائق. لاستخراج 650,000 BTC عبر malleability وحدها، سيحتاج المهاجم لتنفيذ الهجوم عشرات الآلاف من المرات. البصمة على السلسلة لكثير من المحاولات ستكون ضخمة ولا تُخطئ. لا توجد في البيانات.
3. إعادة بناء Wizsec 2017 قاست حصة malleability من إجمالي خسائر Mt.Gox مباشرة بأقل من 5%. الرقم المحدد نحو 1,886 BTC (بقيمة نحو مليون دولار حينها). الباقي من خسارة 645,000+ BTC لا يمكن تفسيرها بـ malleability تحت أي نموذج معقول.

إذًا: كانت ثغرة malleability حقيقية، استُغلّت ضد Mt.Gox، وكلّفت المنصة نحو 1,886 BTC. كنسبة من إجمالي خسارة Mt.Gox، كانت أقل من 0.3%. نشر Karpelès malleability كتفسير عام هو، في قراءتي، محاولة لأخذ مشكلة تقنية حقيقية لكنها صغيرة جدًا وتضخيمها إلى تفسير كل شيء — لتجنّب الاضطرار للاعتراف بأن الدفاتر المحاسبية لم تتطابق مع الواقع على السلسلة منذ 2011.

استجابة المجتمع وإصلاح البروتوكول النهائي

أجبرت malleability فريق Bitcoin Core في 2014 على عمل مركّز على مستوى البروتوكول. ظهر مساران رئيسيان للإصلاح:

• BIP62 (مقترح 2014) — حاول تقييد صيغ ترميز التوقيع لإزالة malleability. سُحب BIP62 في النهاية لأنه يستطيع معالجة malleability من طرف ثالث فقط، لا malleability «التي يبدؤها المرسل».
• SegWit (نُشّط أغسطس 2017) — فصل بيانات التوقيع عن جسم المعاملة الرئيسي («segregated witness»)، يزيل هاش التوقيع من حساب txid كليًا. هذا هو الإصلاح الكامل، ويبقى من أهم ترقيات البروتوكول في تاريخ البتكوين. ساهم انهيار Mt.Gox بشكل غير مباشر في دفع زخم SegWit السياسي.

إذًا تركت Mt.Gox للصناعة إرثًا إيجابيًا غير متوقع: صار حطامها رافعة سياسية لـ SegWit. انقسام BCH/BTC في أغسطس 2017 — إحدى الحروب الأهلية المُشكِّلة لحوكمة التشفير — كان لـ SegWit فيه نقطة جدل أساسية. فاز جانب BTC. في الأيام التي تلت الانقسام، عادت «Mt.Gox» للظهور في الخطاب كأقوى حجة لماذا كان يجب إصلاح malleability على مستوى البروتوكول.

الفصل الخامس: الأسبوع الذي غرقت فيه السفينة

في 7 فبراير 2014، أوقفت Mt.Gox فجأة كل سحوبات BTC. استشهد التفسير الرسمي بثغرة transaction malleability — «ثغرة على مستوى بروتوكول البتكوين تسمح للمهاجمين بتعديل معرّفات المعاملات دون تغيير المحتوى، ما يجعل المستخدمين يعتقدون خطأً أن السحوبات فشلت ويعيدون التقديم».

استوعب هذا التأطير في البداية جزء كبير من المجتمع التقني، لأن malleability كانت ثغرة حقيقية نوقشت لسنوات. المشكلة كانت: كل منصة كبرى أخرى واجهت نفس الثغرة في نفس النافذة. توقّفت Bitstamp لعدة أيام، نشرت ترقيعًا، واستأنفت العمليات الطبيعية. توقّفت Mt.Gox، ولم تستأنف أبدًا.

«نعتذر اليوم لكل عملائنا، لمجتمع البتكوين، للعالم، بأعمق ندم ممكن».

Mark Karpelès، المؤتمر الصحفي في طوكيو، 28 فبراير 2014

فيديو المؤتمر الصحفي الكامل لمدة ساعة و 17 دقيقة لا يزال متاحًا على YouTube. لقد شاهدتُه ثلاث مرات في العقد الماضي. ما يبقى معي ليس الانحناءة — بل اللحظة في مؤخرة الغرفة حين وقف صحفي فرنسي وخاطب Karpelès بالفرنسية، بنبرة كانت بشكل لا لبس فيه ازدراء. كل استعراض رجعي تقريبًا باللغة الإنجليزية يحرر هذه اللحظة. تستحق المشاهدة.

أشياء أخرى حدثت ذلك الأسبوع

أسبوع غرق Mt.Gox لم يكن معزولًا. عانت صناعة التشفير فيما أُسمّيه أول «أزمة ثقة» حقيقية في تلك الأيام. أحداث تميل للحذف من الاستعراضات الإنجليزية:

• 17 فبراير — اعتصام مكتب شيبويا. أول معتصم وقف أمام المبنى كان مبرمجًا إنجليزيًا اسمه Kolin Burges، طار بنفسه من لندن إلى طوكيو على نفقته الخاصة وحمل لافتة مكتوبة بخط اليد «Mt.Gox: where is our money». مستخدمون آخرون من أستراليا وكندا والولايات المتحدة لحقوا. بقي بعض هؤلاء الناس جزءًا من مجموعة دعم متبادل غير رسمية لدائني Mt.Gox طوال أواخر العقد.
• 20 فبراير — OKCoin Korea تعلّق إيداعات BTC مؤقتًا. حكمت المنصات الكورية بأن Mt.Gox على وشك السقوط وكانت قلقة من أن مستخدمي Mt.Gox الحاملين لأرصدة BTC داخلية بلا قيمة سيحاولون إرسالها إلى الساحات الكورية للبيع في أسواق سيولة. كانت هذه أول حالة معروفة لمنصة تشفير تشغّل صراحة «جدار حماية» وقائي ضد أرصدة فاشلة لمنصة أخرى.
• 23 فبراير — تسرّب «مسوّدة استراتيجية الأزمة». نشر مستخدم مجهول وثيقة داخلية لـ Mt.Gox من 11 صفحة على /r/Bitcoin. نصّت الوثيقة صراحة «العجز الحالي: 744,408 BTC» وحدّدت مقترحات طارئة منها «إعادة العلامة التجارية إلى كيان جديد Gox» و «إصدار رموز IOU للدائنين». أكد Karpelès لاحقًا في شهادة المحاكمة أن الوثيقة أصلية.
• 25 فبراير — شذوذ DNS لـ Mt.Gox. قبل ساعات من ذهاب الموقع كاملًا إلى الظلام، بدأ تحليل DNS لـ mtgox.com يتصرف بشكل غير متسق عبر المناطق. أكد التحقيق لاحقًا أن Karpelès نفسه غيّر سجلات DNS يدويًا لتوجيه كل النطاقات إلى صفحة إنجليزية ثابتة. لم يكن للصفحة نسخة يابانية — ما صار نقطة جدل محددة في الدعوى الجماعية للدائنين اليابانيين، لأن نحو 80% من مستخدمي Mt.Gox لم يكونوا متحدثين أصليين بالإنجليزية.

20 مارس 2014: «العثور على 200,000 BTC» الغامض

في 20 مارس 2014، أصدر Karpelès بيانًا صحفيًا أعلن فيه أنه عثر على 199,999.99 BTC في «محفظة بصيغة قديمة». هذا الحدث، في قراءتي، هو المنعطف الأقل تفسيرًا في قصة Mt.Gox كلها.

1. التوقيت مريب. ظهر BTC «المسترد» بعد 21 يومًا بالضبط من تقديم الإفلاس، قبل اجتماع الدائنين الأول مباشرة. قرأ كثير من المستخدمين حينها هذا كأن Karpelès ينتج أموالًا محتفظًا بها سرًا في لحظة تعظّم مظاهر حسن النية.
2. الكمية نظيفة جدًا. 199,999.99 — دقيقة لخانتين عشريتين — لا تشبه الرصيد الذي يجده المرء في محفظة قديمة منسية. الاستدارة توحي بعدد محسوب.
3. تفسير Karpelès مبهم. في شهادة المحاكمة 2017، ذكر أن المحفظة كانت «تخزينًا باردًا مشفّرًا من حقبة 2011 أرشفها ونسيها». لكنه لم يستطع تفسير لماذا لم تظهر هذه المحفظة في تدقيق الأصول في فبراير 2014.

مهما كانت الحقيقة، صارت تلك الـ 200,000 BTC مجمّع التمويل البنيوي لكل توزيع لاحق على الدائنين. بدون ذلك الاسترداد، كان من المرجح أن يستلم الدائنون شيئًا قريبًا من الصفر. إذًا الحدث مريب أخلاقيًا للغاية، لكنه ماديًا السبب وراء أن الدائنين دُفع لهم — قطعة سخرية نادرًا ما تنتجها التشفير بهذا التركيز.

الفصل السادس: تجربتي الشخصية · Mt.Gox بدأت من BitGrail

الفصل السابع: الفحص على السلسلة — Wizsec و Kim Nilsson وخيط BTC-e

هناك خيط يجري عبر قصة Mt.Gox نادرًا ما تتبعه الملخصات الإنجليزية إلى خاتمتها: مجموعة صغيرة من المحقّقين المستقلين قضت عشر سنوات، باستخدام بيانات السلسلة العامة فقط، تعيد بناء أين ذهبت الـ 650,000 BTC المفقودة. قاد ذلك الخيط إلى Alexander Vinnik في سجن فرنسي، ووضع اسم Kim Nilsson في كتاب الفحص الجنائي على السلسلة.

من Wizsec

كانت Wizsec مجموعة فحص جنائي على السلسلة نظّمها ضحايا Mt.Gox ذاتيًا في 2014. الأعضاء الأساسيون كانوا Kim Nilsson، Jason Maurice، و Daniel Kelman. ثلاثتهم كانوا دائني Mt.Gox. ثلاثتهم خسروا مالًا شخصيًا. حكمهم الجماعي أن مكتب الأمين الياباني، مهما كان كفؤًا، لم يكن لديه القدرة على إجراء عمل تحليل السلسلة المطلوب لتحديد أين ذهبت BTC المسروقة فعلًا. فقرّروا فعلها بأنفسهم.

منهجيتهم كانت تركيبة أسموها «تحليل التكتل زائد تحديد نمط السلوك»: تحديد كل عناوين المحافظ التي تسيطر عليها Mt.Gox والمعروفة علنًا كنقطة بداية، ثم متابعة كل BTC تغادر هذه العناوين إلى وجهات القفزة التالية، ثم تطبيق استدلالات نمط الاستخدام («ملكية المدخل المشترك»، تدفّقات خارجة بقالب سكربت مشترك في نفس نافذة التوقيت)، ثم استخدام التكتلات الناتجة لتحديد «تكتلات الغسيل الوسيطة» وتتبّعها إلى عناوين إيداع منصات معروفة. صنّعت Chainalysis لاحقًا هذه المنهجية كاملة إلى صناعة.

تقرير يوليو 2017

تقرير Wizsec يوليو 2017، «Breaking Open the MtGox Case, parts 1-3»، يبقى الوثيقة الجنائية على السلسلة القياسية لهذا الحدث. خلاصاتهم الأساسية: إجمالي BTC المسروقة من Mt.Gox كان نحو 647,000 BTC، النزيف يجري من سبتمبر 2011 حتى مايو 2013؛ من ذلك، تدفّقت نحو 300,000 BTC في النهاية إلى تكتل عناوين قابل للتحديد بأنه يخصّ BTC-e؛ كان لـ BTC-e عدة «عناوين بيع» عالية التواتر حوّلت مبالغ BTC كبيرة إلى USD عبر قناة WMZ-USD؛ توقيعات السلوك على عناوين البيع تكتّلت بإحكام، قدّرت Wizsec أن فردًا أو عددًا صغيرًا من الأفراد سيطروا على العملية.

الانضباط الحاسم في تقرير Wizsec أنه لم يُسمِّ أفرادًا. موقفهم أن بيانات السلسلة تستطيع تأسيس مسارات غسيل لكن ليس تحديد المسيطرين البشر مباشرة. تلك الخطوة الأخيرة يجب أن تفعلها سلطات إنفاذ القانون بسلطة استدعاء. سلّمت Wizsec التقرير والبيانات الأساسية لـ FBI ولسلطات مكافحة غسيل الأموال الروسية. أخذ FBI القيادة.

قصة Alexander Vinnik

Alexander Vinnik مواطن روسي، مواليد 1979، عمل كأحد المشغّلين الأساسيين لـ BTC-e من 2011 فصاعدًا. لم يعترف علنًا قط بأنه «مالك» BTC-e، لكن لائحة اتهام FBI 2017 تصفه بأنه «المشغّل الأساسي».

2017.07.25 — يُعتقَل Vinnik في خالكيذيكي باليونان أثناء عطلة. الاعتقال على أساس طلب تسليم من FBI يستشهد بغسيل الأموال والاحتيال وتشغيل خدمة أعمال نقدية غير مسجّلة (21 تهمة، الحد الأقصى التراكمي 55 سنة).

2017-2020 — يكون Vinnik موضوع شدّ ثلاثي للتسليم بين الولايات المتحدة وفرنسا وروسيا، مع موافقة اليونان وإلغائها لأوامر التسليم إلى كل بلد بالتناوب.

2020.01.23 — يُسلَّم Vinnik أخيرًا إلى فرنسا. تدينه المحكمة الفرنسية بغسيل الأموال وتحكم بسجن خمس سنوات. هذا هو الحكم الوحيد في قصة Mt.Gox الذي قُبلت فيه أدلة السلسلة رسميًا كأساس أولي للإدانة من قبل محكمة دولة.

2022.08 — يكمل Vinnik حكمه الفرنسي ويُسلَّم إلى الولايات المتحدة لمواجهة تهم FBI الأصلية.

2024.05 — يُسمّى Vinnik علنًا كجزء من مفاوضات تبادل أسرى أمريكية-روسية لإطلاق المواطن الأمريكي Marc Fogel المحتجَز في روسيا. يكتمل التبادل النهائي في أغسطس 2024.

2025.02 — يُدرج مكتب مراقبة الأصول الأجنبية الأمريكي (OFAC) Vinnik رسميًا على قائمة المواطنين المعيّنين خصيصًا (SDN)، مستشهدًا بدوره في تشغيل منصة تشفير عابرة للحدود لغسيل الأموال.

تمسّك الخيط الكامل لأن ثلاثة محقّقين مدنيين جلسوا في مكاتب منزلية في ثلاث دول مختلفة وكتبوا كود تحليل سلسلة لثلاث سنوات. هذه أول مرة في تاريخ التشفير يقود فيها التحقيق المدني على السلسلة مباشرة إلى نتائج محاكمة جنائية دولية. الإطار الذي بنته Wizsec أُسِّس منذ ذلك في شركات مثل Chainalysis و Elliptic و TRM Labs و Arkham.

Kim Nilsson كشخص

أكبر مساهم منفرد في Wizsec كان Kim Nilsson، مهندس برمجيات سويدي. قصته الشخصية تستحق فقرة خاصة بها لأنه المثال القياسي لفئة لا يعترف بها التشفير: الضحية التي تصبح المحقّق.

كان Nilsson يعمل في شركة برمجيات في السويد في أوائل العقد. كاهتمام جانبي، كان يدرس التشفير. بين 2011 و 2013، وضع ما يقارب معظم مدخراته الشخصية (نحو $20,000) في Mt.Gox لشراء BTC. حين علّقت Mt.Gox السحوبات في فبراير 2014، كانت خسارته الشخصية نحو 13,000 BTC — تساوي نحو $6 مليون بأسعار 2014، ونحو $800 مليون بأسعار 2024.

لم يلاحق Nilsson التقاضي. اختار طريقًا أبطأ وأعمق: تعلّم تحليل السلسلة شخصيًا، اكتب الأدوات شخصيًا، اتبع المال شخصيًا. قضى عشر سنوات على ذلك. عام 2017 قدّم محادثة DEF CON 25 «I Know What You Did Last Block» التي عرضت المنهجية علنًا لأول مرة. عام 2023 نشر How to Catch a Crypto Thief: A Decade of Tracking Bitcoin (O'Reilly Media) — لا يزال الحساب الأكثر تفصيلًا تقنيًا للتحقيق.

معنى عمل Nilsson في سياق التشفير الأوسع هو أنه يثبت أن شخصًا واحدًا زائد بيانات السلسلة العامة يستطيع تحدّي جريمة مالية على مستوى الدولة. في عالم web2 هذا مستحيل وظيفيًا. في العالم على السلسلة البيانات عامة. أي شخص بصبر وقدرة تقنية ودافع يستطيع من حيث المبدأ تكرار المسار الذي مشاه Nilsson. هذا يغيّر الميدان. الإرث من الدرجة الثانية أن حطام Mt.Gox أنجب صناعة كاملة. خسارة Nilsson البالغة $6 مليون، بذلك المعنى المحدد، دفعت ثمن وجود صناعة الفحص الجنائي على السلسلة.

الفصل الثامن: أربع زوايا — المستخدم، Karpelès، المحكمة، المحقّق

تبدو Mt.Gox مختلفة كليًا حسب الكرسي الذي تجلس فيه. الفصول السابقة وضعت جدولًا زمنيًا. هذا الفصل يعيد سرد القصة نفسها أربع مرات، من أربع زوايا مختلفة. كل واحدة جزئية. التركيب أقرب إلى الحقيقة من أي منها بمفرده.

الزاوية الأولى · المستخدم

ما رآه مستخدمو Mt.Gox في فبراير 2014:

• 7 فبراير — تسجّل دخولك إلى Mt.Gox وترى لافتة صغيرة تقول «سحوبات BTC معلّقة مؤقتًا». تفترض صيانة. لا تقلق.
• 10 فبراير — تحاول فعلًا سحب شيء وتجد الزر رماديًا. تذهب إلى Bitcointalk وتقرأ عن ثغرة malleability. تقرّر أنها مسألة تقنية، تعطها بضعة أيام.
• 17 فبراير — تسجّل دخولك. رصيدك لا يزال مرئيًا. الصفحة الرئيسية فيها الآن إشعار «قيد التحقيق». سعر BTC في السوق هبط من $800 إلى $600.
• 23 فبراير — ترى «مسوّدة استراتيجية الأزمة» على Reddit. تبدأ بالذعر.
• 24 فبراير — تحمّل mtgox.com والموقع كله استُبدل بصفحة إنجليزية ثابتة تقول «Dear MtGox Customers». رصيدك لم يعد مرئيًا على الإطلاق.
• 28 فبراير — تقرأ البيان الصحفي. 850,000 BTC مفقودة. تجلس أمام الشاشة 30 دقيقة دون أن تقول شيئًا.
• على مدى العقد التالي — تتلقّى رسائل بريد إلكتروني عرضية باليابانية تفيد بأن «إجراء الإفلاس يستمر». لا تقرأ اليابانية. تترجم كل رسالة عبر Google. في النهاية تستوعب الافتراض بأن المال ذهب.
• يوليو 2024 — تتلقّى بريدًا يخبرك بأن «توزيعك الأساسي» سُلِّم إلى عنوان المنصة الذي عيّنته قبل أحد عشر عامًا. تفتح المحفظة وتجد عدة BTC هناك، تساوي بأسعار 2024 أضعاف وديعتك الأصلية 2014. لا تعرف ما إذا كنت تشعر بالسعادة أم الحزن.

هذا قوس عشر سنوات من كرسي المستخدم. أريد أن أكون محددًا بشأن شيء هنا: الجزء الذي أعرفه شخصيًا أفضل ليس نسخة Mt.Gox من هذه التجربة بل نسخة BitGrail. ظاهرية مشاهدة مالك يختفي في بيان عام هي نفسها. قوس Mt.Gox يختلف فقط في أن بريد السنة الحادية عشرة عكس الخاتمة.

التوزيع الجغرافي لقاعدة المستخدمين، من ملفات الأمين:

• المستخدمون اليابانيون: ~30% من الإجمالي. أعلى كفاءة إجرائية، أعلى معدل استرداد.
• المستخدمون الأمريكيون: ~25%. ثاني أعلى معدل استرداد، أطول مدة إجرائية.
• المستخدمون الأوروبيون: ~20%. أعلى تكاليف حاجز لغوي.
• مستخدمون صينيون مبكرون: ~15%، بينهم شخصيات بارزة لاحقًا في الساحة الناطقة بالصينية.
• مناطق أخرى: ~10%، تشمل أمريكا اللاتينية وجنوب شرق آسيا وأفريقيا، وأقلية صغيرة من الشرق الأوسط. أدنى معدلات نجاح للمطالبات، جزئيًا بسبب حواجز التوثيق.

الزاوية الثانية · Karpelès

من شهادة المحاكمة، مذكراته 2024، ومقابلة The Block 2024، تقرأ نسخة Karpelès من فبراير 2014 تقريبًا كما يلي.

يدّعي أنه أصبح على علم بالكامل بالفجوة بين BTC المحاسبي و BTC الفعلي على السلسلة في أواخر يناير 2014. يصف يومًا محددًا أجرى فيه مصالحة محفظة كاملة بـ Python لأول مرة وتركه الإخراج جالسًا على الحاسوب لعدة ساعات.

يقول إنه في الأسابيع الثلاثة التي تلت، صارع بين ثلاثة خيارات: الإفصاح العلني الفوري (يفجّر الشركة فورًا)؛ سدّ الفجوة برأس مال الشركة وتمويل جديد (650,000 BTC بأسعار يناير 2014 نحو $500 مليون، لا يستطيع جمعها)؛ إيجاد ذريعة لتعليق السحوبات وكسب الوقت. اختار الثالث. كانت ثغرة malleability تُناقَش بنشاط على Bitcointalk في أواخر يناير، ما أعطاه غطاء. اعترف في مقابلات لاحقة بأن هذا كان جزء «الكذبة النشطة» من القصة.

ما لم يعترف به أبدًا هو سرقة BTC فعلًا. حمل دفاعه في المحاكمة أن BTC المفقودة سرقها مهاجمون خارجيون (ادعاء يدعمه فحص Wizsec إلى حد كبير)، وأن تعرّضه الجنائي يتألف فقط من الإخفاق في الإفصاح عن السرقة وتزوير السجلات. قُبل هذا الدفاع جزئيًا: حكمت المحكمة اليابانية ببراءته من اختلاس المهنة (gyōmujō ōryōzai) — التهمة الأخطر — وبإدانته بالتهمة الأخف وهي إنشاء سجلات إلكترومغناطيسية غير مصرّح بها.

في مقابلة The Block 2024، قال شيئًا بقي معي: «اتخذت القرار الخاطئ. لكنني لست الرجل الذي أخذ المال. الرجل الذي أخذ المال في سجن فرنسي الآن». الإشارة إلى Vinnik. قبول هذا التأطير يعتمد على ما إذا كنت تجد رواية الأمين (كان Karpelès على علم طوال الوقت) أو رواية Karpelès (اكتشف السرقة فقط في أواخر يناير 2014) أكثر مصداقية. تقييمي الخاص أن رواية الأمين صحيحة.

الزاوية الثالثة · المحكمة والأمين

زاوية المحكمة تجري بالكامل تقريبًا عبر شخص واحد: Nobuaki Kobayashi، أمين الإفلاس. عُيّن من قبل قسم الشؤون المدنية رقم 8 في محكمة طوكيو المحلية في أبريل 2014. هذه هي القضية الأطول تشغيلًا في مسيرته — من 2014 إلى 2029 على الأقل (التوقع الحالي للإغلاق)، قوس خمسة عشر سنة.

عمل Kobayashi:

• 2014-2015 — استلام كل أصول Mt.Gox، بما في ذلك 200,000 BTC «المستردة».
• 2017-2018 — خلال جري سعر BTC من $10K إلى $20K، باع بنشاط نحو 35,000 BTC و 35,000 BCH، مولّدًا نحو $500 مليون بالين للعمليات الإجرائية. كان هذا البيع مثيرًا للجدل في مجتمع التشفير.
• 2018 — إعادة التصنيف الإجرائية من الإفلاس المباشر إلى إعادة التأهيل المدني (民事更生). هذا، في قراءتي، أهم قرار اتخذه. لو بقيت القضية كإفلاس، لكان الدائنون قد دُفع لهم بالين بأسعار 2014 — نحو $483 لكل BTC. سمحت إعادة التأهيل المدنية بالدفع بكميات BTC. بأسعار 2024 هذا مثّل مضاعفًا فعّالًا 120x على الاسترداد النهائي.
• 2021 — خطة إعادة التأهيل النهائية وافق عليها تصويت الدائنين.
• 2024-2026 — تنفيذ Base Repayment. حتى مايو 2026، نحو 92% من الدائنين تلقّوا توزيعهم الأساسي.

خارج صناعة التشفير، Kobayashi غير معروف فعليًا. داخلها، هو في تقييمي الفرد الأكثر مسؤولية عن أن دائني Mt.Gox انتهوا بأي شيء على الإطلاق. قرار إعادة التصنيف 2018 هو نقطة الانعطاف. كلما فكّرت في هذا، أجده غريبًا: محامٍ ياباني في الستينيات، أفترض أنه لا يحمل أي مركز تشفير شخصي، غيّر ماديًا النتائج المالية لعشرات الآلاف من مستخدمي التشفير بإجراء حجة إجرائية واحدة في قاعة محكمة في يوم واحد في 2018.

الزاوية الرابعة · المحقّق

زاوية المحقّق غُطّيت جزئيًا في الفصل السابع. أسماء إضافية تستحق الإشارة تميل التواريخ الإنجليزية لحذفها:

• Jesse Powell (مؤسس Kraken). دُعي من قبل Mt.Gox كمستشار طوارئ في أواخر فبراير ومارس 2014. طار إلى طوكيو وبقي نحو ثلاثة أسابيع. في مقابلة 2017، قال: «بحلول يومي الثاني في طوكيو رأيت أن دفاترهم لن تتصالح أبدًا. أوصيت بأن يقدّموا فورًا. Karpelès رفض».
• Daniel Kelman (محامٍ، عضو Wizsec). خسر شخصيًا نحو $2 مليون على Mt.Gox. من 2014 مارس محامي تقاضي وساهم في تحليل سلسلة Wizsec في آن. كتابه 2019 Bitcoin & the Battle for the Soul of Money يحتوي على مادة Mt.Gox مباشرة جوهرية.
• Patrick McKenzie (موظف Stripe المبكر، المعرّف patio11). لم يكن دائن Mt.Gox. كتب منشور مدونة 2014 «Mt. Gox is dead, but its source code is alive in your repo» الذي صنّف الدروس الهندسية للفشل. صار ذلك المنشور قراءة مطلوبة لمهندسي منصات التشفير في السنوات التي تلت.
• Tetsuya Ishikawa (صحفي مالي ياباني مستقل). من 2014 فصاعدًا، تتبّع كل معلم إجرائي في إفلاس Mt.Gox وأنتج ملخصات يابانية-إنجليزية ثنائية اللغة. فعل هذا العمل لأحد عشر عامًا.

هذه الزوايا الأربع، مجتمعة، أقرب إلى الشكل الفعلي لحدث Mt.Gox من أي واحدة منها بمفردها. أي إعادة سرد تحمل فقط منظور المستخدم — وهو التأطير الأكثر شيوعًا — تفقد نحو 80% من التعقيد البنيوي لما حدث فعلًا.

الفصل التاسع: 11 سنة لا تزال تنتشل

إجراء إفلاس Mt.Gox، عدًّا من حكم 24 أبريل 2014 لمحكمة طوكيو المحلية الذي حوّل تقديم إعادة التأهيل المدني الأولي إلى إفلاس رسمي، يجري الآن لاثنتي عشرة سنة ولم يُغلق بعد.

إعادة تصنيف 2018 — أهم قرار

إعادة تصنيف 2018 من الإفلاس إلى إعادة التأهيل المدني هي، عند القراءة الدقيقة، أهم قرار في الإجراء الإثني عشر سنة كاملًا. تحت الإفلاس المباشر، كان الدائنون سيتلقّون مدفوعات بالين محسوبة على سعر BTC في 2014 — نحو $483 لكل BTC. إعادة التأهيل المدنية، بالمقابل، سمحت بالتوزيع بكمية BTC — أي أن دائنًا حمل 1 BTC في Mt.Gox في 2014 يستطيع استرداد 0.21 BTC (بمعدل استرداد 21%).

هذا نادر إجرائيًا في القانون الياباني. الإفلاس (破産) وإعادة التأهيل المدني (民事更生) غير متوافقَين رسميًا — العودة من الإفلاس إلى التأهيل تتطلّب من المدين أن يكون لديه «قدرة تشغيلية مستمرة». Mt.Gox توقفت عن العمليات كليًا. كيف تظهر شركة معدومة قدرة تشغيلية مستمرة؟

كانت حجة Kobayashi القانونية أنيقة: الأصول الأساسية لـ Mt.Gox كانت BTC و BCH (حيازات تشفير فعلية)، لا التزامات مقومة بالين؛ BTC و BCH «أصول لها قيمة اقتصادية جوهرية تستمر بالتقدير»، لا «أصول إفلاس عادية معلّقة للتصفية»؛ تصفية Mt.Gox بالتالي أقرب طبيعةً إلى «إعادة تأهيل كيان يحمل أصولًا خاصة» منها إلى «تصرّف إفلاس عادي». قبل قسم الشؤون المدنية رقم 8 هذه الحجة. كانت أول مرة في التاريخ القانوني الياباني تُعامَل فيها أصول التشفير كـ «أصول قابلة لإعادة التأهيل».

من منظور نتيجة الدائن، كان معنى هذا القرار في 2014 لا يمكن تخيله. لكن بحلول توزيعات 2024، مع تداول BTC بـ $60,000+، ما تلقّاه الدائنون فعلًا كان لافتًا: استرداد 21% بكمية BTC، مقابل تقييم BTC أصلي $800، أنتج استردادًا بالقيمة الدولارية يقارب $12,600 لكل BTC أصلية. معدل الاسترداد الفعلي بالدولار ليس 21%، بل نحو 1,575%. هذه عبثية Mt.Gox الوحيدة التي لم يطابقها أي حطام تشفير آخر.

محاكمة Karpelès اليابانية الجنائية (2015-2019)

أريد سحب هذا الخيط منفصلًا، لأن النتيجة تُغطّى باستمرار بشكل خاطئ في الملخصات الإنجليزية. أعدت قراءة النص الكامل لحكم 15 مارس 2019 من قسم الجنايات رقم 18 في محكمة طوكيو المحلية (رقم القضية Heisei 30 (toku-wa) No. 1268). السجل الواقعي:

التهم المُقدَّمة:

• اختلاس المهنة (業務上横領罪) — ادّعت النيابة أن Karpelès نقل نحو 340 مليون ين من ودائع العملاء إلى حسابه الشخصي.
• إنشاء سجلات إلكترومغناطيسية غير مصرّح بها (私電磁的記録不正作出罪) — ادّعت النيابة أن Karpelès زوّر سجلات إيداع USD بنحو 3.38 مليار ين في قاعدة بيانات Mt.Gox الخلفية.

الحكم: اختلاس المهنة — غير مذنب. وجدت المحكمة أن نقل 340M ين إلى حساب شخصي لم يشكّل اختلاسًا، لأن الأموال أُعيدت لاحقًا إلى حساب الشركة، وعامل Karpelès الأموال باستمرار كـ «اقتراض المالك». إنشاء سجلات إلكترومغناطيسية غير مصرّح بها — مذنب. الحكم: 2.5 سنة سجن، مُوقَف لأربع سنوات. اعترف في المحاكمة بكتابة سجلات إيداع كاذبة لكنه احتجّ بأن الدافع كان «الحفاظ على ثقة السوق وتجنّب تدافع البنك».

انتهت مدة الإيقاف الأربعة سنوات في أكتوبر 2023. من تلك النقطة لم يعد Karpelès في أي خطر قانوني في اليابان. لم يدخل الولايات المتحدة منذ 2014 (لائحة الاتهام الأمريكية بـ 21 تهمة لا تزال قائمة والاعتقال عند الدخول مؤكد فعليًا)، ويعيش في طوكيو.

الفصل العاشر: المنظور الخليجي والشرق أوسطي

المستخدمون العرب الأوائل للتشفير قبل وبعد Mt.Gox

قبل 2014، كان مجتمع التشفير العربي في طور التشكّل. شخصيات معدودة في دبي والبحرين وبيروت كانت تستخدم Mt.Gox بشكل غير رسمي للوصول إلى BTC. لم تكن هناك قاعدة بيانات مفصّلة جغرافيًا (وفقًا لإفادة John J. Ray III لاحقًا في FTX، نفس النمط ينطبق على Mt.Gox — لم تكن لديها تصنيفات مستخدم جغرافية موثوقة قبل الإفلاس)، لكن تقديرات صناعية غير رسمية تشير إلى عدة آلاف من المستخدمين الفرديين في الخليج ولبنان والأردن ومصر وقعوا في تعرّض مباشر للحطام.

الأمر الذي لاحظتُه في حواراتي مع OG الخليج (المتداولين المبكرين في الإمارات والبحرين والكويت بين 2011 و 2014) أن Mt.Gox كانت محطتهم الإلزامية للوصول إلى BTC — لم تكن هناك بدائل ذات سيولة كافية. من نجا منهم نجا لأنه سحب BTC إلى محفظة شخصية أو نقلها إلى منصة ناشئة (Bitstamp، BTC-e في حالات قليلة) قبل فبراير 2014. من احتفظ بأرصدته على المنصة، خسرها لعقد كامل قبل أن تعود جزئيًا في 2024.

دبي و VARA: الإطار الذي ولد من حطام طوكيو

هيئة تنظيم الأصول الافتراضية في دبي (VARA) تأسست رسميًا في مارس 2022 بقانون دبي رقم 4 لسنة 2022. الوثائق التحضيرية الداخلية لـ VARA، التي اطّلع عليها بعض مستشاري الصناعة خلال جلسات تشاور عام 2021، حملت اسم Mt.Gox كحالة مرجعية في عدة مواضع. السبب واضح: حين سعت دبي لبناء إطار تنظيمي للتشفير، كانت في مواجهة سؤالين عمليين — كيف تمنع تكرار Mt.Gox (سرقة مستمرة لثلاث سنوات دون أن يلاحظها أحد، أصول عملاء مختلطة بأصول الشركة)، وكيف تمنع تكرار FTX اللاحق (شركة تابعة غير منفصلة، احتيال محاسبي).

الأدوات التي اعتمدتها VARA في إطارها (VASP Activities Rulebook 2022 ثم تعديلات 2023-2024) تستجيب مباشرة لإخفاقات Mt.Gox:

• إثبات الاحتياطيات الإلزامي: كل منصة مرخّصة من VARA يجب أن تُجري Proof of Reserves دوريًا مع تدقيق مستقل. غياب هذا في Mt.Gox هو ما سمح للفجوة بالاتساع من صفر إلى 630,000 BTC دون اكتشاف.
• فصل أصول العملاء: الأصول المحتفَظ بها نيابة عن العملاء يجب أن تُحفظ في حسابات منفصلة محاسبيًا وقانونيًا عن الميزانية التشغيلية للمنصة. كان اختلاط هذه الأصول في Mt.Gox (والاختلاط الأوضح في FTX) السبب البنيوي للخسارة.
• محافظ باردة متعددة التواقيع: الحد الأدنى 2-of-3 أو 3-of-5 للمحافظ الباردة، مع توزيع المفاتيح جغرافيًا. كانت محافظ Mt.Gox الباردة تخضع لسيطرة Karpelès الفردية فعليًا — وهو ما سمح له بـ «العثور» على 200,000 BTC مارس 2014 دون رقابة فعلية.
• إفصاح المخاطر للمستخدم: كل منصة يجب أن تُفصح للمستخدم عن المخاطر الجوهرية قبل أي تداول. تأخّر Mt.Gox في الإفصاح عن «السحوبات البطيئة» في 2013 هو نقطة المقارنة المرجعية.

اليوم في 2026، المنصات المرخّصة من VARA تشمل Binance Dubai، Bybit، OKX، Crypto.com، BitOasis. كلها يجب أن تنشر تقارير إثبات احتياطيات شهرية مدقّقة. هذا الإطار، حرفيًا، هو نتيجة قراءة VARA لإخفاقات Mt.Gox.

سوق أبوظبي العالمي و FSRA: السابق التنظيمي

سوق أبوظبي العالمي (ADGM) أنشأ إطار FSRA للأصول الافتراضية في 2018، قبل تأسيس VARA بأربع سنوات. كان أحد أقدم الأطر التنظيمية للتشفير في المنطقة. التعديل التنظيمي 2023 أضاف متطلبات «prudential rules for VAR» وحوكمة المحفظة الباردة وفصل المفاتيح متعددة التواقيع — كل ذلك مع إشارة مرجعية صريحة في الديباجة إلى دروس Mt.Gox و FTX.

المصرف المركزي البحريني والوحدة الرقابية المبكرة

المصرف المركزي البحريني (CBB) أنشأ «وحدة الأصول المشفرة» (Crypto-asset Module) عام 2019. منح المصرف ترخيصًا لـ Rain Bahrain و CoinMENA ضمن إطار صارم يشترط فصل أصول العملاء بنحو محاسبي يومي، وإيداع نسبة من رأس المال كاحتياطي تشغيلي، وتقديم تقارير تدقيق دورية. Binance Bahrain حصلت أيضًا على ترخيص بحريني عام 2022 — وهو واحد من أقدم تراخيص Binance في المنطقة. الحاجة لـ «فصل يومي» في إطار البحرين هي رد مباشر على نمط Mt.Gox حيث كانت المصالحة تتم على أساس «إجمالي فقط» دون تحقق يومي.

السعودية: حذر تنظيمي مستمر

البنك المركزي السعودي (SAMA) أصدر منذ 2018 تحذيرات متعددة بأن البتكوين والعملات المشفرة الأخرى ليست عملات قانونية في المملكة، وأن تداولها بدون ترخيص يحمل مخاطر مالية وقانونية. هيئة السوق المالية (CMA) أيّدت هذه التحذيرات في بيانات مشتركة بين 2018 و 2025. مع ذلك، لم تُجرّم المملكة حيازة الأفراد للأصول المشفرة بشكل صريح. الحذر السعودي بُني، جزئيًا، على قراءة الانهيارات التاريخية: Mt.Gox 2014، FTX 2022، Celsius 2022.

التغطية الإعلامية العربية

تغطية انهيار Mt.Gox في الإعلام العربي عام 2014 كانت ضحلة نسبيًا — كانت السوق العربية لـ BTC صغيرة جدًا حينها، والقصة بدت بعيدة. لكن في موجة التوزيعات 2024، عادت Mt.Gox لتظهر في تغطية أعمق على الجزيرة نت والشرق للأعمال والعربية بزنس و CoinTelegraph Arabic. أكثر التغطيات اكتمالًا جاءت من الشرق للأعمال (Asharq Business) التي خصّصت حلقات لشرح كيف يمكن لإجراء إفلاس أن يحوّل خسارة إلى مكسب، وما يعنيه ذلك للمنظّمين الإقليميين.

الدرس الذي استخلصته الصحافة الاقتصادية العربية من Mt.Gox، وأراه يستحق التكرار: «الجهة المختصة بإدارة الحطام تهمّ بقدر ما تهمّ المنصة نفسها». حطام BitGrail الإيطالي و QuadrigaCX الكندي و Cryptopia النيوزيلندي كلها انتهت بخسائر دائنين قاسية. حطام Mt.Gox الياباني، رغم بشاعته الأولية، انتهى بمعدل استرداد محاسبي 21% وفعّال 1,575%. الفرق هو إعادة تصنيف 2018 الإجرائية تحت قاضٍ ياباني واحد. هذا الفرق ينطبق على المستخدم الخليجي اليوم بصيغة عملية: حين تختار منصة، انظر ليس فقط إلى المنصة نفسها بل إلى الولاية القضائية التي تشغّل منها. منصة مرخّصة في VARA أو ADGM-FSRA أو CBB أو سنغافورة أو اليابان تحمل احتياطًا قانونيًا أعلى بكثير من منصة مرخّصة في ولاية ودّية رخوة.

منطقة الشرق الأوسط ومتطلبات PoR

أحد التطوّرات الأكثر صمتًا في تنظيم التشفير الخليجي بين 2022 و 2026 هو أن إثبات الاحتياطيات (PoR) صار متطلبًا تنظيميًا فعليًا لكل منصة تشفير تشغّل في الإمارات والبحرين، حتى لو لم تنصّ على ذلك اللائحة بالضبط. VARA أدرجت PoR في «حزمة التقارير الإلزامية» الفصلية. CBB طلبت تأكيد فصل أصول عملاء بنسبة تتجاوز 100% من الالتزامات كل ثلاثة أشهر. هذه الممارسات لم تكن موجودة قبل Mt.Gox — لم تكن أي منصة تنشر PoR طوعًا قبل 2014. صناعة التشفير اليوم تنشر PoR لأن Mt.Gox أظهرت لها أن غياب PoR يكلّف $51 مليار من القيمة الحديثة المعادلة. هذا كل الدرس.

الفصل الحادي عشر: ما تركته لنا هذه السفينة

أُعيدت رواية قصة Mt.Gox في مجتمع التشفير لأكثر من عقد. النسخ المعتادة تتقارب على ثلاث خلاصات: لا تترك مفاتيحك على منصة؛ المنصات المركزية غير جديرة بالثقة؛ Karpelès كان غير كفء. الثلاثة صحيحة. الثلاثة أيضًا ضحلة جدًا بحيث لا تكون قابلة للتنفيذ في 2026. العمل عبر هذا المجلد أربع مرات أنتج لي قائمة أطول:

1. أي منصة بلا امتثال مستقل ومالية مستقلة هي بنيويًا Mt.Gox أصغر سنًا. المصالحة الإجمالية فقط بدلًا من المصالحة لكل معاملة لا تزال شائعة، حتى بين المنصات متوسطة الحجم في 2026. العلامة على ما إذا كانت ساحة على مسار Mt.Gox هي ما إذا كانت تنشر PoR شهريًا، لديها شهادة مدقّق مستقل، وتدعم التحقق المتبادل من المسؤولية على السلسلة. اتسعت فجوة محاسبة/سلسلة Mt.Gox من صفر إلى 630,000 BTC على مدى ثلاث سنوات، دون اكتشاف، لأن لا جهة مستقلة أجرت مصالحة قط. أرشيف البجعات السوداء يضع قائمة فحص بثمانية بنود لتقييم أي منصة مقابل معايير قالب Mt.Gox.
2. أول رسالة تنظيمية رسمية ليست صغيرة أبدًا. مصادرة Dwolla الأمريكية مايو 2013 كانت، بأثر رجعي، البروفة لانهيار 2014 كاملًا. أي منصة تستخدمها تتلقّى استدعاء SEC أو غرامة CFTC أو تحذيرًا تنظيميًا محليًا يجب أن تُعلَّم بشكل محدد. FTX تلقّت استفسار CFTC الأولي في سبتمبر 2022 وأفلست بحلول نوفمبر. Celsius تلقّت رسالة SEC في مايو 2022 وأوقفت السحوبات في يونيو. النمط لم يفشل في عشر سنوات.
3. «نعلّق السحوبات لأسباب أمنية» هي، في 95% من الحالات، بيان بأن المنصة مُعسرة بالفعل. توقف Bitstamp 2014 (8 أيام، ثم استؤنف) هو استثناء 5%. FTX، Celsius، Voyager، Cryptopia، BitGrail، QuadrigaCX، FCoin، Hotbit — كل حالة أخرى جرت مسار 95%. إن رأيت إعلان تعليق سحوبات على أي منصة تستخدمها، الحركة المثلى هي استخراج ما تبقى من رصيد سائل في أقصر وقت ممكن، ومعاملة الباقي بأن لديه احتمال 50% خسارة دائمة.
4. ما يقوله CEO خارج النص أكثر إفادة من البيانات الرسمية. اعترف Karpelès علنًا، مرارًا، في السنة قبل الانهيار بأن «عظام قاعدة الكود لا تنمو بسرعة كافية». لم يتصرف أحد على ذلك. قال SBF في بودكاست في أغسطس 2022 إن «إدارة المخاطر الداخلية أساسًا جدول Excel». بعد ثلاثة أشهر كان مفلسًا. تصريحات CEO غير الحذرة — في البودكاست، في Twitter Spaces، في المؤتمرات — هي إشارة الأمان الأعلى دقة.
5. كل تحسّن في هذه الصناعة دفع ثمنه حطام. فصل المحفظة الباردة-الساخنة صار قياسيًا بعد Mt.Gox. PoR الشهري صار متوقعًا بعد FTX. شركات الفحص الجنائي على السلسلة المستقلة (Chainalysis، Wizsec) ظهرت بسبب تحقيقات Mt.Gox. SegWit طُبّق جزئيًا لأن Mt.Gox أظهرت كلفة malleability. المعيار التالي لا يظهر حتى الكارثة التالية. الدور الوحيد المتاح لك هو ألا تكون أنت الكارثة.
6. «سأصلحها، فقط ثق بي مرة أخرى» هي تقريبًا دائمًا إيماءة المرحلة الأخيرة. قال Karpelès هذا في يونيو 2011 عن تعزيز الأذونات؛ لم يفِ. قال Firano هذا في أواخر 2017 عن التنسيق مع فريق NANO؛ لم يفِ. قال SBF في 7 نوفمبر 2022 «FTX is fine. Assets are fine»؛ بعد ثلاثة أيام كان مفلسًا. طريقة اختبار «هل سيصلحونها فعلًا» هي ما إذا كانوا ينتجون دليلًا قابلًا للتحقق على السلسلة على الإصلاح. لا دليل يعني لا إصلاح.
7. كلفة الحطام لا تتوزّع بالتساوي. أكبر الخاسرين في Mt.Gox لم يكونوا الحاملين الكبار — معظم الحاملين الكبار سحبوا BTC بحلول أواخر 2013، لأنهم كانوا حسّاسين بما يكفي لقراءة «السحوبات المتأخرة» كإشارة بنيوية. أكبر الخاسرين كانوا تجزئة متوسطة الحجم (5-50 BTC)، الذين لم يكونوا حسّاسين بما يكفي للهروب مبكرًا ولا مُمَيَّعين بما يكفي لعدم الاكتراث. هذا النمط تكرر في BitGrail و FTX و Cryptopia. التضمين لتجنّبه ليس «لا تستخدم منصات أبدًا» بل اجعل أي مركز على منصة واحدة في مبلغ يمكنك خسارته بالكامل دون تبعات مادية.