這座博物館裡很多故事,毀於太貪;Mt. Gox 不是。它是當時全世界最大的比特幣交易所 —— 2013 年到 2014 年初,全球約 七成的比特幣交易,都走它一家。然後在 2014 年 2 月,它只花了 21 天,就從「最大」走到「沒了」:停止提幣、官網變空白、聲請破產,客戶與自家共約 85 萬枚比特幣消失。倒下它的,不是駭客的一次精彩進攻 —— 是一個原本拿來交易紙牌的網站,被裝上了管全世界比特幣的水龍頭。
從《魔法風雲會》紙牌站,變成全球比特幣門戶
2007 年,美國程式設計師 Jed McCaleb 註冊了一個叫 mtgox.com 的網域 —— 全名 「Magic: The Gathering Online eXchange」,本來是給玩家交換《魔法風雲會》卡牌用的。這站短暫運作幾個月後就沒人理。直到 2010 年 7 月,McCaleb 在 Slashdot 上看到一篇關於比特幣的文章,決定把這個閒置的紙牌交易網域,改成比特幣的買賣站。
2011 年 3 月,McCaleb 把網站賣給住在日本的法國工程師 Mark Karpelès。隨後幾年,比特幣價格從幾美元一路飆到上千美元,Mt. Gox 成了全世界最熱門的比特幣門戶。研究機構估計,2013 年到 2014 年初的高峰,全球約 70% 的比特幣交易都經過 Mt. Gox。在大多數使用者眼中,它就是「比特幣交易所」這個概念本身。
底下卻是一個從沒長大的紙牌站
但這個門面光鮮的最大交易所,背後仍是當年那個紙牌交易站的架構 —— 後來的審計與報導點出許多離譜細節:沒有像樣的版本控管、沒有正規的測試流程、會計上把客戶的錢與公司資金混在一起、用熱錢包(常時連網的錢包)放著大量比特幣。從很早開始就有比特幣被慢慢從錢包中悄悄轉出 —— 不是某天「砰」一聲被一次搬空,而是多年慢性失血,Mt. Gox 自己長期渾然不覺。
Mt. Gox 的崩潰不是一場精彩的駭客攻擊,而是基礎建設長期業餘的累積結果。後續的 WizSec 鏈上分析顯示,Mt. Gox 錢包中的比特幣早從 2011 年起就在被陸續搬走;Mt. Gox 自己直到 2014 年才驚覺缺口巨大。再加上 2013 年下半年到 2014 年初,內部一個被研究者命名為 「Willy Bot」 的自動程式持續在 Mt. Gox 平台上買進比特幣,被多份研究指出可能拿來掩蓋資金缺口或刺激價格 —— 時任 CEO Karpelès(2011 年 3 月自 McCaleb 買下 Mt. Gox)後來在 2019 年被東京地方法院判一項「偽造電子紀錄」罪、緩刑 4 年(同案中被指控的業務上侵占、特別背信等其餘罪名,則均被判無罪)。
消失的不只是比特幣,還是「最大就是最安全」的幻覺
Mt. Gox 倒下時,客戶有約 75 萬枚 BTC、Mt. Gox 自家有約 10 萬枚 BTC 消失 —— 後來在一個 2011 年的舊錢包中尋回約 20 萬枚,但仍有約 65 萬枚再也沒找回來。最致命的不是金額,而是觀念:許多人把 BTC 留在交易所,是因為它「最大」。但「最大」在沒有適當托管制度、沒有獨立審計、沒有資金隔離的情況下,只是把更多人的籌碼疊在同一個薄弱的單點上 —— 這個單點一斷,所有人一起斷。
這跟你的「資產放哪」有什麼關係?
不只比特幣,在任何資產上都一樣:「平台是不是大牌」不等於「你的錢有沒有被妥善隔離」。要看的是它有沒有受到第三方托管、有沒有定期被獨立會計師審計、它怎麼把客戶資產跟公司自有資金分開。Mt. Gox 的教訓在十年後 FTX(No.8)的故事中又重演一次:再大的交易所,也只是個「替你保管錢的中間人」,而中間人能搬空你的錢,並不因為他大,就比較不會搬。
是 Mt. Gox 從沒長大過。 Mt. Gox 的墓誌銘
「他是全世界最大,放在他那裡最安全」——
「大」不等於「穩」;真正的安全是制度,不是規模。