Esta es la historia de cómo se traicionó ShapeShift. No una, ni dos, sino tres veces en menos de un mes.
En total, ladrones internos y externos robaron casi doscientos mil dólares en criptomonedas, sin mencionar los importantes recursos gastados a su paso. Sin embargo, los fondos de los clientes nunca se perdieron o estuvieron en riesgo, un hito para una industria plagada de tragedias pasadas. ShapeShift se ha adaptado y reconstruido, humillado por la experiencia aprendida y cada vez más resuelto en su misión de intercambio de activos seguro y sin fricciones.
En el espíritu de apertura de Bitcoin, queríamos compartir esta historia con la comunidad; Que esté informado, entretenido, reflexivo y siempre diligente en sus propios asuntos.
Este artículo / documento / publicación / contenido fue publicado originalmente el 19 de abril de 2016 por Erik Voorhees y podría ser modificado ligeramente para su traducción por el flujo de trabajo de Información y Globalización de ShapeShift para un proyecto de archivo en curso. Nota: se han cambiado algunos nombres y detalles confidenciales.
Desde su creación en la primavera de 2014, ShapeShift ha sido una criatura en evolución. Lo que comenzó como una forma experimental rápida de intercambiar entre Bitcoin y Litecoin se convirtió en un motor avanzado para el intercambio sin esfuerzo de todos los principales activos de blockchain, uno por otro, sin fricciones del usuario. Sin cuentas de usuario. Sin proceso de registro. Es el Traductor de Google de criptomonedas.
Y siempre nos hemos puesto al día. Tratar de construir a la velocidad de esta industria, no solo a lo largo de la vertical de Bitcoin, sino a lo largo de toda la criptografía, es un desafío. El otoño pasado, nos dimos cuenta de que la arquitectura de servidor de “producto mínimo viable” establecida originalmente para ShapeShift era insuficiente. Necesitábamos un profesional para unirse al pequeño equipo y crear un aparato de servidor escalable y seguro en el que nuestra tecnología pudiera crecer.
Contratamos a una persona así y nos dimos una palmada en la espalda por nuestra decisión proactiva. Sobre el papel, se veía genial; la referencia que llamamos confirmó su rol y responsabilidad anteriores. Incluso había estado en Bitcoin desde 2011/2012 y había construido mineros en su habitación. Impresionante. Llamaremos a este nuevo empleado Bob … de hecho, su nombre real comienza con una B.
Durante los meses siguientes, Bob construyó y administró la infraestructura de ShapeShift. Lo hizo bien, nada especial, pero estábamos contentos de tener un profesional que se ocupara de DevOps al menos lo suficientemente bien como para permitir que nuestros ingenieros construyeran sobre la arquitectura.
En el primer trimestre de este año, cuando el mercado descubrió lo que ya sabíamos - que nuestro mundo estará conformado por muchos activos de blockchain, cada uno de los cuales necesitará liquidez con el otro- los volúmenes de intercambio aumentaron en ShapeShift. Ethereum estaba en aumento, específicamente. Nuestra infraestructura no estaba preparada para el ritmo de crecimiento. Era como andar en bicicleta en la que los motores a reacción aparecen repentinamente en toda su potencia.
Desafortunadamente, Bob hizo poco para ayudar. Se movió sin rumbo fijo mientras el equipo trabajaba largas horas para mantener el barco unido. Téngase en cuenta que, en realidad, Bob no estaba sin rumbo. Se estaba preparando para robarnos.
En la mañana del 14 de marzo, en medio de una de nuestras semanas de mayor volumen, recibí una llamada de nuestro Jefe de Operaciones, Greg. “Erik, a nuestra billetera caliente le faltan 315 Bitcoin”. ¿Por qué teníamos tanto en una billetera caliente, preguntas? Bueno, con los volúmenes en aumento, nuestra billetera caliente se agotaría a través del negocio normal en una hora a ese nivel, lo que luego requería un reequilibrio manual constante. ¿Hay formas de automatizar y reducir ese riesgo? Absolutamente … pero la retrospectiva de las prioridades de desarrollo de uno siempre es 20/20.
Entonces 315 Bitcoin se habían ido.
Para aquellos que han experimentado tales incidentes, el sentimiento de enfermedad es profundo. Es un estado profundo y lúgubre, que no se detiene al borde de la pérdida financiera, sino que penetra hasta la médula. Cuando los sistemas son violados, los sistemas que uno ha diseñado, cuidado profundo y obsesivamente, esa violación de lo que uno considera seguro y protegido es muy, muy incómodo. Y luego está la pérdida en sí. 315 Bitcoin … aproximadamente $ 130,000. Eso es matrícula universitaria, parte de una casa, comida durante diez años … un par de meses de nómina. Es mucho dinero para una startup sin fines de lucro.
Corrí a la oficina, esperando que hubiera algún error. El único pensamiento reconfortante fue que la pérdida fue solo nuestro propio dinero. Sin cuentas de clientes, ni los fondos de los clientes ni la información personal estaban en riesgo por el ataque. Eso fue por diseño desde el comienzo de ShapeShift; uno de nuestros principios. Pero incluso si nadie cerca resulta herido, un puñetazo en la cara todavía duele como el infierno.
Greg, uestros dos ingenieros principales y yo revisamos registros y servidores, tratando desesperadamente de averiguar qué había sucedido. Los 315 BTC fueron a una dirección de Bitcoin desconocida y estaban sentados allí.