Zerwana umowa, hack i komornik – o kłopotach Unlimited i Coinquisty z Michałem Stryjewskim

W wywiadzie z Michałem Stryjewskim, prezesem Unlimited i Coinquisty, pytamy o zeszłoroczne problemy obu spółek i ich klientów. Temat hacku giełdy Coinqusta poruszaliśmy dokładnie w tekstach:

• Coinquista ofiarą hacku? Klient giełdy domaga się zwrotu 1,4 mln PLN
• Co wydarzyło się na Coinquiście: wywiad z Michałem Stryjewskim

  Cryps: W samej końcówce 2020 zhakowano Coinquistę, której jesteś prezesem. Na początku zeszłego roku pojawiły się problemy w twojej firmie Unlimited. To całkiem sporo jak na tak krótki czas. Jak to przetrwałeś? Michał Stryjewski (Unlimited / Coinquista): Nie było łatwo. Kilka osób wycofało się z firmy. Nie chcę powiedzieć, że zostawiły nas samych na pokładzie tonącego statku, jednego i drugiego, ale trochę tak to wyglądało. Gdy zostaliśmy zhakowani właściwie miesiąc później wycofał się cały zespół. W Unlimited było podobnie, ale tam zostały te najbardziej zaufane osoby. Ludzie odchodzili przeWz chaos wokół, nie chcieli tracić czasu w sądach, więc też to rozumiem. Zdecydowałem, że nie będę się na to obrażać i tyle, dam sobie jakoś radę, ale nie było łatwo. Miałem… może to złe słowo u faceta, że depresję, ale na pewno nie było mi łatwo na głowie. Zwłaszcza, że mam kompleks na punkcie bycia uczciwą osobą. Kiedy ktoś zarzuca mi nieuczciwość dostaję szewskiej pasji. Strasznie się z tego powodu stresuję, co nieraz było widać w social mediach po moich komentarzach. Odbijam piłeczkę bardzo mocno, więc tym bardziej kiedy stało się coś takiego, poczułem to na głowie. Tego się właśnie najbardziej obawiałem, że zostanę uznany za nieuczciwą osobę, jakiegoś złodzieja, czy oszusta. Spełnił się mój najgorszy koszmar i było mi bardzo ciężko - odpowiadając ci krótko na to pytanie. Czy zaczynasz nowy rok z czystą kartą? Tak w stosunku do osób, które były jakkolwiek pokrzywdzone w ramach Unlimited. Coinquista to jest jeszcze sprawa nie rozwiązana do końca. Tutaj nie mogę jeszcze powiedzieć, że zacząłem z czystą kartą, ale w Unlimited na 100% tak. Osiągnęliśmy bardzo dobry wynik na koniec roku, więc firma się nie zwinęła a wręcz rozwinęła. Otwieramy lokal w Warszawie, zatrudniamy 11 osób, zupełnie legalnie, co w Polsce nie jest łatwe no i spoko, mamy kilka fajnych planów na przyszły rok. Co wykazało śledztwo w sprawie hacku Coinquisty? Śledztwo trwa, dostałem wezwanie na przesłuchanie ws. analizy powłamaniowej, którą przygotował dla nas RED TEAM. Tyle mogę powiedzieć, bo nie wiem o co będą mnie pytali. Zgłosiłem podejrzenie o popełnieniu przestępstwa do Prokuratury Okręgowej w Warszawie i od tamtej pory nie zadziało się nic poza jednym przesłuchaniem. Dopiero teraz po roku czasu odezwała się do mnie policja z Warszawy z informacją, że przekażą sprawę do Elbląga, bo mam tu bliżej i w zeszłym tygodniu dostałem telefon z wezwaniem. De facto nadal trwa śledztwo, które nic nie wykazało. Byłem też wzywany do KNF-u i do Ministerstwa Finansów, żeby przedłożyć wszelkiego rodzaju wyjaśnienia z działalności prowadzonej przez Coinquistę. Pojawiły się jakieś efekty? Nie otrzymałem żadnego potwierdzenia, ale mogę powiedzieć, że takie badanie trwa 14 dni, a nam udało się zakończyć wszystko po 5 dniach. Przekazaliśmy wszelkie odpowiedzi i dokumenty, nie było żadnych obsunięć. Liczę na sukces, ale od pół roku nie dostaliśmy wiadomości. Natomiast przekonałem się, że mamy licencję prawie jak bank. Jak wyglądało badanie w Ministerstwie Finansów? Myślałem, że jadę tam na chwilę, miałem tylko segregator z dokumentami. Nie brałem prawnika, wychodząc z założenia, że nie jestem żadnym słupem i tym bardziej chciałem to udowodnić. Więc pojechałem z segregatorem, bez prawnika, bez księgowego, bez nikogo, a oni mówią: “tak panie Michale, ale teraz będzie pan wzywany o 8 rano codziennie przez 14 dni”. Nie miałem żadnej torby, żadnych ciuchów, przyjechałem na jedno przesłuchanie, nie byłem poinformowany. Myślałem, że będę mógł dosyłać jakoś te dokumenty mailowo, ewentualnie zdalnie odpowiadać na pytania. Odpowiedzieli mi, że muszę pojawiać się osobiście każdego dnia. Chodziłem tam przez 5 dni, po 12 km budynku, masakra. Ale spoko, bo trafiłem na przyjemnych kontrolerów. Rozmawiało nam się bardzo miło, miałem do nich numery, później dzwoniłem gdy chciałem o coś dopytać. Bardzo fajny kontakt o dziwo. Natomiast zdziwienie moje było ogromne, wyobraź sobie, przyjeżdżam na dwie godziny do Warszawy i zostaję na 2 tygodnie. Nie byłem na to gotowy, musiałem zdobyć wszystkie dokumenty wisząc na telefonie z prawnikami, dostarczałem pisma. Ciężko uwierzyć co oni tam chcieli. W 5 dni udało nam się przedstawić wszystkie dokumenty, moje szkolenia AML, bo też takie oczywiście mam, jako prezes giełdy nie mógłbym nie mieć. Zaskoczyłem się też miło bo mamy wszystkie dyrektywy, licencje, listy sankcyjne, czy wszelkiego rodzaju oprogramowanie, które wykrywa ewentualne pranie brudnych pieniędzy czy finansowanie terroryzmu. Regulaminy Coinquisty są napisane w bardzo fajny sposób. Nie wiedziałem nawet, że my mamy te wszystkie rzeczy. Tutaj chapeau bas dla Irka, poprzedniego prezesa, który to przygotowywał, bo zrobił to bardzo, bardzo solidnie i przyznam szczerze, że później nie musiałem się wstydzić. Jeżeli chodzi o te oficjalne czynniki, śledztwo posuwa się jednak powoli. Posuwa się mega ślimaczym tempem. Dzwoniłem tam kilka razy, dopytywałem czy coś wiadomo, natomiast to jest… ja dostałem informację z góry, tak nieoficjalnie, że raczej nic z tego będzie. Wiem jeszcze tylko tyle, że przesłuchują świadków, bo jeden z programistów mi wspominał, że dostał wezwanie. Coś się tam dzieje za kulisami, ale nie otrzymałem żadnych oficjalnych informacji. Co z waszym niezależnym śledztwem zleconym programistom? W tej sprawie mam dostać jeszcze informacje, bo oni wskazali nam 5 czy 6 miejsc, w których mogło dojść do hacku, ale nie znaleźli żadnego konkretnego śladu po włamaniu. Więc to też mnie trochę zadziwiło, ale oni sami powiedzieli, że nie są w stanie określić i to byłyby horrendalne koszty, żeby mogli zrobić to dokładnie. To się zamykało w granicach miliona złotych więc na tamten okres, ten z resztą też, dopóki nie będzie finansowania firmy, jest to niewyobrażalne. Zrobili analizę powłamaniową, która trwała 2 miesiące, to jedna z najlepszych firm tego typu w Polsce. Współpracowała z PKO i niejedną dużą spółką. Czyli wiadomo jakie były luki, ale nie wiadomo, którą wykorzystano i kto to był, tak? Dokładnie tak. To jest też moja wina jako prezesa giełdy, że ja ani moi programiści nie dojrzeliśmy ich wcześniej… OK, ale znacie adres albo adresy, na które wypłynęły wtedy środki? Nie. Niestety nie. RED TEAM ich nie wskazał. Nasi programiści również nie byli w stanie ich określić, ale wiadomo, czekają nas dalsze audyty, na które w tej chwili nas nie stać. Mamy problemy z oddaniem części pieniędzy osobom z którymi podpisaliśmy ugody. Trwa przyjście nowego inwestora więc odsuwa się to w czasie i tam nastroje jakieś świetne nie są, wśród tamtych ludzi. Ile jest jeszcze osób, które czekają na zwrot środków? Pięć. Z nimi mamy ugody, bo jeżeli ktoś się nie zgłosił mogę nie wiedzieć o jego istnieniu. W sumie było osiem osób, ale trzy straciły do 1000 euro, także je spłaciliśmy od razu. Większe kwoty zostały w jakiś rozliczeniach. Na pewno jedna osoba, która była poszkodowana na 50 tysięcy złotych, została podzielona na dwie raty, ale największy klient, który miał tam milion złotych, dostał tylko 100 000 jak dobrze pamiętam. Niestety ciężko zgłosić się nam do tych ludzi i mieć dla nich dobre informacje, gdy ich nie ma, no bo czekamy ciągle na ten podpis, żeby sprzedać akcje. Wtedy będziemy mogli zadzwonić i powiedzieć, dzień dobry panowie, mamy dla was pełny zwrot środków. Kiedy dojdzie do podpisania umowy z nowym inwestorem? Moi prawnicy spinają ostatnie elementy zawarcia umowy, w tym porządkują księgę akcji i cały rejestr, by transakcja mogła się odbyć bez żadnych przeszkód. Planowany podpis to 20.03.2022, miejmy nadzieje ze dojdzie do skutku Przypuśćmy, że podpiszecie umowę. Co dalej? Ruszycie z Coinquistą po spłaceniu klientów? Przede wszystkim będę miał pieniądze żeby zrobić audyt bezpieczeństwa, zatrudnić deweloperów, krótko mówiąc outsourcować całą zewnętrzną firmę, żeby zająć się developmentem w Coinquiście. Dodatkowo reaktywacja serwerów i baz danych, dodanie poprawek do zabezpieczeń oraz od razu kilku nowych funkcji. Będziemy musieli reaktywować kilka umów takich jak BitGo, procesor płatności w kraju i procesor płatności w Europie. Do tego zatrudnienie, rekrutacja nowego zespołu. Mam już kandydatów. Wystarczy dograć szczegóły, wynająć nowe biuro, które też już mamy na oku na przedmieściach Warszawy. To wszystko jest zaplanowane i przedstawiałem to inwestorowi, bo jak się domyślasz nie chciałby współpracować z nami na dobre słowo. Musiałem napisać cały plan i przekazać mu jak to widzę. Wszystko leży na jego biurku, dokumenty czekają na podpis, ja jestem gotowy do realizacji planu. To tylko kwestia pieniędzy. Odświeżysz starą markę, czy planujecie rebranding? Planuję rebranding, natomiast najpierw chcę zamknąć temat, żeby Coinquista nie została niewyjaśnioną sprawą. Chcę żebyśmy omówili to w kilku wywiadach w różnych mediach, w tym w formie telewizyjnej. Po prostu powiedzieli jak było. Gdy będę miał spłaconych wszystkich klientów chcę też w jakiś sposób ich przeprosić, żeby nie żywili do mnie większej urazy, bo byłem tylko trybikiem w tym wszystkim co się stało. Jakby nie było musiałem poświęcić dwa lata życia i pracy, żeby to wyprostować. Oddasz im pieniądze według kursu z dnia włamania? Tak, czyli to nie będą kwoty, które oni sobie nie raz wyliczali w szczytowych momentach, jak 1,5 mln złotych. Tam normalnie było to oszacowane na 700 czy 800 tysięcy z tego co pamiętam u tego jednego klienta. Włamanie było końcem grudnia, tak? Tak, środki zaczęły wypływać 21 grudnia. Nie ukrywam, że nasz programista poinformował nas o tym trochę za późno. Tak też zeznawałem, bo nie mogę tutaj kłamać. Jak mówię, zawaliliśmy sprawę po stronie programistycznej. Mogliśmy się też szybciej zorientować. Działanie jako giełda przerwaliście dopiero 26 stycznia, więc chwilę to faktycznie zajęło. Tak, natomiast staraliśmy się wykluczyć konta, które były zagrożone. Wyłączyliśmy od razu transakcje, ale nie wyłączyliśmy całkowicie platformy. Trading był nieaktywny odkąd się zorientowaliśmy, jakoś 31 grudnia, albo 1 stycznia, kiedy dostałem informację. Strona była jeszcze włączona, żebyśmy mogli zbadać sytuację, a poza tym nie chcieliśmy do tego tak dramatycznie podchodzić, bo nie zdawaliśmy sobie sprawy z tego co się dzieje. Byliśmy przekonani, że to błędy w rozliczeniach, w bazie danych, po naszej stronie, a później okazało się jednak, że brakuje aż takiej kwoty. To była rozwojowa sprawa. Teraz mam już wiedzę na ten temat i jestem mądrzejszy, ale wtedy nie miałem pojęcia co się dzieje. Mnie to komunikowano jako błędy w bazie danych z saldami klientów. Że jest to hack okazało się pod koniec stycznia albo na początku lutego. Dowiedzieliśmy się wtedy, że środków wypłynęło znacznie więcej niż się wydawało i na Bitgo jest ich mniej niż w saldach klientów. Mniej więcej w tym samym czasie rozpoczęły się też problemy Unlimited? Dokładnie też na przełomie stycznia i lutego. Pośrednio producent, a bezpośrednio jego dystrybutor wycofali się z dostawy kart. Możesz opowiedzieć dokładnie o tej sytuacji? Zamówiliśmy 3608 kart, pamiętam to bardzo dobrze, bo Unlimited to bezpośrednio moja własność i bardziej odczuwałem jakąkolwiek klęskę, czy porażkę w tej firmie. Umowę podpisaliśmy z Crypto Mining Tools, firmą ze Stanów Zjednoczonych, która jest także dystrybutorem EVGA, producenta kart graficznych. Zapłaciliśmy za dostawę na rzecz klientów, którzy dokonali u nas zamówienia wcześniej, czyli już zapłacili. Nie chcieliśmy użyć własnej gotówki, no bo też nie mieliśmy takich pieniędzy. To był deal na prawie 10 mln złotych, wobec czego musieliśmy znaleźć od razu klientów. Pojawili się dosyć szybko, bo cieszyliśmy się wiarygodnością i zaufaniem na rynku. To był też dobry czas na kupno kart graficznych, bo ich ceny szybowały o 300, 400 procent w górę. AVGA jest jednym z czołowych producentów i wtedy robiła jedne z najlepszych jakościowo kart, np. RTX model 3060. Nie było też jeszcze blokad LHR (Lite Hash Rate). Te karty kopały na 100-procentowej mocy, nie tak jak teraz gdy są nałożone ograniczenia dla miningu. Do maja RTX 3060 były bez nich. Od maja każda wyprodukowana karta miała ograniczenia, więc to był bardzo łakomy kąsek, także dla dystrybutorów, bo kupili je u nas nie tylko mali gracze, ale także większe firmy, nawet od naszej. Właściwie większość klientów była większymi graczami, bo nie chcieliśmy sprzedawać poniżej 50 kart, a tyle dla zwykłego zjadacza chleba to jest jednak bardzo dużo, 100 kart razy 3000 złotych to 300 000, a to już cena mieszkania. Zamówiliśmy te karty, które miały być wysłane pod koniec stycznia i dojść do nas na początku lutego. Zebraliśmy zamówienia i podpisaliśmy umowę z Crypto Mining Tools. Tutaj popełniłem błąd, bo nie wpisaliśmy żadnych kar umownych w ramach warunków rozwiązania tej umowy poza tym, że zapłacą jakiś śmieszny procent, za wydłużony czas oczekiwania - pół procenta w skali roku bodajże. I za ten miesiąc, przez który to się opóźniało, dostaliśmy jakieś 200 albo 300 dolarów. To był “liść w pysk” brzydko mówiąc. Końcem stycznia dostaliśmy informację, że dostawa się opóźni i będzie w połowie marca. Zgodziliśmy się oczywiście bez wahania. Zawaliliśmy, bo nie powiedzieliśmy o tym klientom przed faktem tylko już po. Przelewy od nich wędrowały na konto VAT i znalazło się tam kilka milionów złotych. Na początku marca okazało się, że dostawy nie będzie. Pośrednik powiedział nam wprost, że producent nie jest w stanie określić dokładnego terminu realizacji i nie wie czy to będzie miesiąc, dwa, pół roku, czy rok. Nie mogliśmy się na to zgodzić, ale daliśmy mu jeszcze 3 dni żeby coś wykombinował, znalazł zamówienie z innej firmy, wymienił model, znalazł cokolwiek co możemy dać naszym klientom w zamian i nie robić korekt. Nie udało się. My też próbowaliśmy jeszcze na własną rękę, ale nie znaleźliśmy żadnej dogodnej oferty w zastępstwie. Tym bardziej, że ceny szybowały windą do nieba. 100% tygodniowo. W końcu napisaliśmy do klientów, że będziemy musieli zwrócić im pieniądze i zwróciliśmy się w tej sprawie do Crypto Mining Tools. On przelewał nam je w ratach, po 600 000 tysięcy dolarów w kryptowalutach, bo też oczekiwał przelewów w krypto. W umowach były zawarte adresy, wszystko było zabezpieczone, my też współpracowaliśmy z nim wcześniej, kupowaliśmy tam sporo koparek i ten kontakt był pewny. Wiedzieliśmy, że nie zniknie jak to czasem bywa w tym światku. Zaczęliśmy zwracać pieniądze klientom, ale jak mówię, część środków była na koncie VAT i musimy połączyć to jeszcze z Tetherami. To wszystko musiałem przedstawić skarbówce. Nie wiedzieli co się dzieje. Ja im pokazuję portfele, że wysyłam pieniądze w USDT. To był dla nich szok. Nie było łatwo im tego wyjaśnić, sprawa podatkowa ciągnęła się do sierpnia, kiedy przyznali, że jest zwrot, ale zaraz potem poprosili o dodatkowe 2 miesiące na sprawdzenie. Później znowu przedłużyli termin o kolejne dwa miesiące i de facto około 19 grudnia dostałem przelew. Byłem w kontakcie z jednym urzędnikiem podatkowym i sprawdzali nam działalność od początku istnienia, nie tylko tę transakcję, ale wszystko od 2018 roku do teraz. Jak zareagowali klienci gdy powiedziałeś im w marcu, że nie przyjdzie do nich sprzęt? Tragicznie. Miałem problemy z komornikiem, bo z jednym z klientów podpisałem klauzulę 777. To jest dobrowolne poddanie się egzekucji. Któregoś dnia zapukał do mnie komornik, że ma nakaz zabrania mi jakiś rzeczy z domu. Ten klient to był prawnik, tym bardziej znał się na temacie i nie chciał czekać na zwrot pieniędzy. Zamiast zakomunikować nam w jakikolwiek sposób, że jest już u niego źle, powiedzieć “dawaj pieniądze Michał”, poszedł bezpośrednio do komornika. Na szczęście miałem tylko jedną taką klauzulę, natomiast podpisując taki dokument byłem pewien, że wszystko się uda. Nie wyobrażałem sobie innego scenariusza. Gdybym miał zamiar kogokolwiek oszukać, przecież nie podpisałbym komorniczej klauzuli, jeszcze na swoją własną osobę, nie na firmę. Czy komornik wyniósł coś z twojego domu? Nie, nie wpuściłem tego człowieka. Poszczułem go psem - mówię pół żartem, pół serio, ale powiedziałem mu “nie wpuszczę pana, mam dużego psa, jak dostanę wezwanie to się do pana zgłoszę”. Wtedy zadzwoniłem do prawników. To był dla mnie trudny czas, nie byłem jakoś wybitnie zdolny finansowo. Miałem też problemy Coinquisty, gdzie spłaciłem dwóch klientów z własnych pieniędzy. Starałem się spłacać tych ludzi jak mogłem, z każdych swoich wolnych pieniędzy, ile się dało. Musiałem też ich jakoś obdzielić, nie chciałem dać jednemu całej swojej kasy, a drugiemu nie dać nic. Oddawałem im 99% tego co miałem, żeby otrzymać też ten zwrot VAT-u, ale były problemy. Finansowe problemy, mentalne, w mediach były problemy. Wtedy to była kulminacja. Klienci z Unlimited czekali długo na zwrot pieniędzy? Krócej niż my. Oddałem prawie wszystko zanim zwrócili mi pełny VAT. W listopadzie pieniądze dostał przedostatni klient, a ostatni w grudniu. To było 60 000 złotych. Tyle zostało z tych milionów, które trzeba było pokryć. Wszystkie zarobione przez nas pieniądze szły na ten cel. Nie kupowałem sobie domów ani samochodów, tylko spłacaliśmy tych ludzi. Staraliśmy się dawać też jakieś rekompensaty, ale pewnie nie każdy dostał taką, która by go usatysfakcjonowała, bo to były olbrzymie pieniądze. Było ciężko, spłaciliśmy wszystkich, wysłaliśmy im paczki świąteczne z kartką, książkami o kryptowalutach, daliśmy im dożywotnie zniżki, ale wiadomo, że ciężko będzie im się skusić znowu na nasze usługi po takich przejściach. Uważam, że mam przynajmniej czyste sumienie, nikogo nie oszukałem, każdemu oddałem pieniądze i przeprosiłem osobiście. Co mogłem więcej zrobić? Sam padłem nie raz ofiarą tego typu sytuacji z innymi firmami, też zamówiłem karty, które nigdy nie przyszły (firma całkiem zniknęła), więc różnie w życiu bywa. Jestem osobą, która doprowadza rzeczy do końca jak coś spieprzy i nie chowam głowy w piasek. Nie wychylałem się zbytnio, nie mówiłem jak to jest świetnie, nie pokazywałem się w gazetach ani w wywiadach, bo nie chciałem też, żeby mnie obsmarowywali. Ogólnie jestem wrażliwym psychicznie gościem, więc nie lubię tego czytać, bardzo dotykają mnie komentarze ludzi. Nieraz zdarzało mi się, że siedziałem spocony i odpisywałem na to przez 4 godziny od rana zamiast pracować. Dotyka mnie to, także musiałem się odsunąć na bok. Z tego co mówisz w tym roku zeszło z ciebie trochę problemów. Co dalej? Rozwijam biznes i bardzo cieszę się, że możemy wreszcie iść do przodu, a nie tylko zamykać stare tematy. No i jestem dumny, że mamy taki a nie inny zespół, który bardzo mi pomaga. Z Unlimited mamy sprawy z głowy. Jeszcze tylko Coinquista, żebyśmy to dopięli, bym mógł obsadzić tam odpowiednie osoby i znowu ją uruchomić. Mam na to fajne plany, których nie widziałem u konkurencji, więc chciałbym mieć możliwość je wdrożyć. Potrzeba tylko kapitału. Jeżeli nowy inwestor mi to umożliwi, wierz mi, będzie o nas bardzo głośno. Z polskich giełd które startowały razem z nami nie istnieje już chyba żadna, poza BitBayem, który też jest już zresztą pod inną nazwą. Nie ma Coideala, Coxi, BitMarket to w ogóle już wcześniej siadł, została chyba tylko Kanga na polu walki, ale też trafiła ostatnio na listę ostrzeżeń. Polskie giełdy straciły już chyba całkowicie zaufanie. O właśnie, Tokeno też jeszcze poszło z dymem. Jak widać nasze rodzime platformy miały tu zawsze spory problem. My chcieliśmy udowodnić, że się da i jak widać wyszedł falstart, bo zabezpieczenia nie były wystarczające. Mam jednak plan jak to rozegrać i odzyskać zaufanie. Oczywiście już nie pod tym brandem, ale wielu ludzi będzie na pewno pamiętało, że to była Coinquista. W każdym razie jeśli oddam ludziom pieniądze do końca i zamknę te sprawy, będziemy też chyba jedyną polska giełdą, która rozliczyła się z klientami po włamaniu.