マウントゴックスが2014年1月まで自己売買ボット「ウィリー」を運用し、価格を不当に釣り上げていたという主旨の「ウィリーレポート」を公開した東京拠点のコンサルティングファームWizSecが、再びマウントゴックス破綻の真相に迫るレポートを公開した。これによると、マウントゴックスの予備残高は2011年より徐々に減少し、2013年8月には殆どが失われていたとWizSecは主張している。

最近ではシルクロードの特別捜査官ショーン・ブリッジが、当局が押収するはずだったシルクロードの資産（ビットコイン）のうち80万ドル相当を自身のマウントゴックス口座へと移し、個人の口座へと転用しようとした疑いで訴訟を受けた。これを受け、シルクロードに関連する捜査官がマウントゴックス資産の消失に関与しているのではないかという憶測も飛び交っている。しかし、WizSecのブロックチェイン分析者キム・ニルソン氏は彼らは本件に関与しておらず、まったく別の原因が存在したことを証明するデータを提示した。

関連：シルクロード潜入捜査官2名、ビットコイン窃盗の容疑で起訴

マウントゴックスの事件から一年が経ち、最近では「取引所の問題だった」としあまり騒がれなくなってきているものの、債権者は依然としてその怒りを忘れるには至っていない。昨年11月には、米国のビットコイン取引所クラーケンの日本法人が3000万円の資金を投じると共に、破産管財人 小林信明弁護士や警視庁らと協力し調査を進めている。WizSecも彼ら調査チームの一員であり、現在、債権者の要請に応えるためマウントゴックスが使用していたビットコインアドレスのリスト作成のための調査を進めている。

WizSecのレポートによると、マウントゴックスから漏洩したデータベースの一部（ブロックチェイン取引）と照会し、データベースの時間と合致するブロックチェイン上のトランザクションをクラスター分析で洗い出すことで、現在、200万を超えるアドレスリストを作成した。本レポートの結果は、それらのアドレス群から推定した期待される値と実際の値の乖離に焦点を当てたものである。

あまりにも大きな乖離

ニルソン氏は、これらのアドレス群から使用済みビットコインと未使用ビットコインの値を以下のグラフに指し示した。

マウントゴックスは2011年6月23日に支払い能力の証明（Proof of Solvency）を行い424,242.42424242BTCを所有していたことは証明されている。そこからニルソン氏は2014年2月時点での期待される保有ビットコインは950,000BTCであると推定し、しかしながら実際にはそれよりもずっと少ない残高（ビットコイン）で運用されていたことが図で示されている。すなわち、純粋に受け止めるとすれば、2011年11月以降は少なくとも実態よりも少ない残高で運用していたことになる。

これらの原因としては

誰も認識していないコールドウォレットが存在する

ビットコインが何者かに継続的に盗まれていた

データベースに残らない形でビットコインが売買され継続的に現金化されていた

などが考えられる（これらに関しては後述する）。

このグラフで注意したいのは、2011年6月から11月のデータのほとんどは含まれていないことだ。2011年6月19日、マウントゴックスは何者かにデータベースへとハッキングを受け、ビットコインの価格を不正に1ドルにまで操作された。このため市場は非常に混乱し、同社はその後一週間操業を停止していたことが記録として残っている。

さらに、2012年7月、および2013年5月の時点で、マウントゴックスの口座（ウォレット）にはビットコインの殆どが存在していないことになる。データの分析が終了していないとはいえ、これは非常に示唆に富む内容であると言える。2014年2月、マウントゴックスの破綻時点所持していたと期待される95万BTCからは明らかに大きな乖離があり、ウォレットの実際の残高との乖離は徐々に広がっていることが次のグラフに示される。

ウィリー

2013年8月以降は両グラフから鑑みるに、残高は殆ど残っていないことが明らかのようだ。WizSecが以前公開した「ウィリーレポート」と併せて分析すると、マウントゴックス（もしくは第三者）はこの後に「ウィリー」を運用し、価格の釣り上げを行っている。

関連：2014/05/25 - The Willy Report: proof of massive fraudulent trading activity at Mt. Gox, and how it has affected the price of Bitcoin2015/02/24 - WizSec: MtGox investigation update and preliminary release

ウィリーは5-10分毎に10-20BTCずつ購入し、一度も売りを行っておらず、マウントゴックスにアクセス出来ない期間にも取引を継続して行っていた。また、ウィリーボットの取引ログは通常の形式で保存されておらず、異常なデータとして記録されていたことが調査で明らかとなっている。

すると、仮にマウントゴックスがウィリーを運用していた場合、既にマウントゴックスの口座からはビットコインが消失していたにもかかわらず、何故そのようなことを行ったのかという疑問が残る。これは、明確に以前の調査結果に反する結果であることを示唆しているようだ。ウィリーが何を意図して動かされてたのかは解明されておらず、今後の調査に期待するしかない。

マウントゴックスのBTCはどこへ？

ニルソン氏は、上記のグラフに含まれない取引として「誰も認識していないコールドストレージへの移動」「オペレーションを円滑に保つために取引を結合、あるいは分割」「出金エラー対応のための手動操作」が存在すると語る。これらはシステムの範囲外の操作であるため、データベースには記録されない。また、「盗まれた」ビットコインは確実に存在するとしながらも、それらをすべて把握するのは困難であるとニルソン氏は述べた。

マウントゴックスの所有アドレスは数百万にも上り、これらの取引はまとめられ、分割され、ブロックチェイン上の他のウォレットを経由しながら匿名のコインとして流通する。これがダークウォレットなどのミキシングサービスを介して行われた場合はさらに困難であり、別の取引所を数個介すだけでまったく追跡不可能になってしまうだろうことは容易に想像可能だ。しかし、ニルソン氏はこれらの盗難ビットコインはそれでも追跡可能であると希望を持って語った。

“通常、取引所を介した取引はビットコインのロンダリングを行い追跡を困難にするために用いられますが、この場合には単に現金化のために使用されると考えています。盗まれた可能性があるビットコインは、恐らく多くが保持されたままであろうと思われます。この調査がうまくいけば、彼らの動きをさらにトレースし全貌を明らかにすることができるでしょう。”

誰が盗みだしたのかを解明するには恐らく、まだまだ多くの時間が掛かるだろう。ブロックチェイン上に存在するままでは、特定の個人を識別するまでは絶対に不可能だ。銀行口座と紐ついたアカウントへのBTC入金、あるいは銀行出金が確認されてはじめて個人にたどり着く。しかしながら、FBIの特別捜査官がブロックチェインデータを解析され、容易く逮捕に至ったという事実はマウントゴックス事件の前例として充分な可能性を指し示した出来事だ。今年中に、警視庁からなんらかの進展が発表されることに期待したい。

画像出典：いずれもWizSec参考：WizSec - The missing MtGox bitcoins