Вероятно, многие пользователи Хабра участвуют в торговле ценными бумагами и/или криптовалютами. Инвестиции и торговля - один из инструментов для увеличения объемов собственного капитала. Ну а биржи дают возможность использовать эти инструменты.
В большинстве случаев вся работа ведется в "цифре", и сами биржи чрезвычайно устойчивы к негативным внешним факторам. Все понимают, что сбой в нормальной работе крупной платформы может привести к локальным или даже глобальным финансовым и экономическим проблемам. Но все же сбои иногда случаются. О самых интересных из них - под катом.
Как алгоритм Power Peg привел к убыткам в $400 млн
Наверное, это один из самых известных случаев потери огромных средств на бирже из-за программного обеспечения. Компания Knight Capital Group, о которой пойдет речь ниже, основана в 1995 году, пару десятков лет работала очень хорошо. Настолько хорошо, что смогла заработать несколько млрд долларов США.
И едва ли не все эти деньги компания потеряла всего за 45 минут. Причина - недоработанное программное обеспечение, которое Knight Capital Group использовала для торгов.
Компания внедрила у себя новое ПО для автоматизации торгов. Но руководство Knight Capital Group спешило, и из-за чего не все серверы получили обновление. Более того, ни в новом, ни в старом ПО не было "красной кнопки", которая позволила бы моментально прекратить торги.
В итоге получилось что получилось: несколько сотен миллионов долларов просто испарились. И проблемой было не новое программное обеспечение - вернее, не только оно. Основной убыток принес алгоритм Power Peg, не использовавшийся компанией около восьми лет. Это была тестовая система, которая работала по принципу "покупай по максимальной цене, продавай по минимальной", притом без ограничения по объему операций.
Пока проблему обнаружили, пока добрались до причин - прошло полчаса. Потом - еще 15 минут. В итоге за это время было произведено 4 млн операций с 397 млн акций 154 компаний. В проблемных операциях задействовали $6,5 млрд - огромная сумма. И к убыткам добавился еще и штраф в $12 млн от комиссии по ценным бумагам (ее защиту, кстати, в свое время взломали злоумышленники, получив доступ к ценнейшей инсайдерской информации).
К потере сотен миллионов долларов компанию привели:
Сырое ПО от сторонней организации.
Авральный режим, который практически всегда приводит к проблемам.
Отсутствие инструментов отслеживания сбоев в процессе апдейтов.
Отсутствие "красной кнопки".
Взлом Комиссии по ценным бумагам и биржам США
SEC (Securities and Exchange Commission) - одна из наиболее грозных для крупных компаний организаций-регуляторов в Америке. Именно она не дала создателю Facebook выпустить свою криптовалюту. И она же помешала Павлу Дурову сделать то же самое, из-за чего у последнего возникли крупные, хоть и временные, неприятности.
SEC же наложила штраф на компанию, о которой рассказывалось выше, не помогли ни просьбы, ни увещевания.
Но киберзащита у Комиссии не такая грозная, как сама организация. В 2017 году злоумышленники взломали корпоративную базу данных SEC, похитив ценную для трейдеров информацию. Взлом был произведен еще в 2016 году, и киберпреступники около года пользовались украденной информацией.
По данным самой SEC, которая хранит огромный объем конфиденциальной информации о действующих или будущих участниках торговли, хакеры смогли найти уязвимость в защитном ПО биржи.
Отключение электричества и остановка торгов биржи Сиднея
Иногда для остановки работы даже очень надежных систем хватает отключения электричества. Именно из-за этой неожиданной проблемы в марте 2009 года остановила торги фондовая биржа Сиднея. Тогда блэкаут был очень масштабным - без света осталось почти 100 тыс. домов и административных зданий. Одним из них и стала биржа Сиднея.
Электричества не было несколько часов, и за это время в Сиднее наступил полный хаос - жизнь города приостановилась. Но особенно пострадали участники биржи, которые не смогли реализовать планы на день.
Сбой обновления ПО и остановка Австралийской фондовой биржи
А здесь уже возникли проблемы с программным обеспечением Австралийской фондовой биржи. В 2020 году торги пришлось остановить вскоре после открытия, поскольку с апдейтом ПО возникли серьезные проблемы.
Тогда представители биржи закрыли торги на целый день. Вскоре после остановки работы биржа заявила, что вместе с представителями Nasdaq проблему удалось локализовать. Дело в том, что на выходных перед неудачными торгами именно Nasdaq работала с ПО Австралийской биржи, устанавливая последнее поколение своих торговых систем.
Несмотря на то, что ПО тщательно тестировалось, как в автономном режиме, так и под нагрузкой, что-то пошло не так. И бирже пришлось остановить торги на целые сутки,. возобновилась работа лишь на следующее утро.
Сбой Московской биржи
В 2015 году возникла нештатная ситуация на "фондовом, валютном и срочном рынках Московской биржи". Сбой был настолько крупным, что даже сайт Московской биржи прекратил работу.
«8 сентября произошел сбой сетевого оборудования биржи, установленного в дата-центре М1. Биржа готовится к возобновлению торгов на резервном оборудовании», — говорилось в сообщении в официальном аккаунте Московской биржи в Facebook.
Неполадки тогда возникли в работе сетевого оборудования Московской биржи в дата-центре. Информация просто перестала поступать, и торги закрылись. Брокеры убытки не понесли, за исключением, возможно, высокочастотных трейдеров.
Ошибка в торгах на Шанхайской бирже
А это проблема 2013 года - тогда ошибочные действия компании Everbright Securities привели к скачку индекса самой биржи на 5%. При этом сама ошибка заключалась в приобретении ценных бумаг стоимостью в $3,8 млрд. Компания утверждает, что не собиралась покупать бумаги на такую большую сумму.
Проблема здесь была, как оказалось, не в человеческом факторе, а в электронных системах пострадавшей компании. Общий объем убытков составил $31 млн. Деятельность компании на Шанхайской бирже приостановили на 3 месяца, а сама она собиралась добиться отмены хотя бы части ошибочных операций.
Правда, неизвестно, получилось у нее это сделать или нет.
А можно ли специально сделать так, чтобы биржи упали, есть обрушить биржу?
Смотря что понимать под "обрушить". Если это означает приостановку торгов на какое то время, как видим, вполне возможно. Конечно, биржи постоянно совершенствуют защитные меры, но какие-то уязвимости, пусть и сложные для эксплуатации, всегда есть.
Но даже если злоумышленники решат воспользоваться ими для обрушения крупной биржи - ничего не получится. Дело в том, что в случае сильного падения котировок торги просто приостанавливаются, а все сделки за проблемный день считаются отмененными. Минимальный порог приостановки торгов - 7%, затем - 13% и 20%.
Возможно, когда-то кому-то удастся создать искусственный "идеальный шторм", который погребет под собой одну или несколько бирж, но это крайне маловероятно.
Если вы знаете другие подобные истории - поделитесь ими в комментариях, ведь подобных случаев достаточно много, но не все они у всех на слуху.
Комментарии (7)
VldE
16.11.2021 23:12+2С энергетическим коллапсом это конечно, надо ещё умудриться. По идее там должно быть два независимых фидера, их отслеживает один ATS контроллер имеющих право врубить ВРУ состояние MAINS отслеживает Mains controller, который дружит с GENSET контроллером и всё это вместе связано через CAN bus, плюс должен быть оператор, который по SCADA должен понять что вообще происходит, это логическая структура от Comap control, если высоковольтная штука то на выходных фидерах ещё дополнительно стоят модули от поставщика кру. Нет, я видел турецкие контроллеры (лучше бы не видел и не слышал, нервы дороже), но в ЦОД/, биржах по идее деньги есть и стандарты жёсткие. Ну по низкой стороне естественно стоит backup ups. Пока этот дизельный коллос просыпается.
Единственное узкое место - ДЭС. Если на топливной системе не стоят клапана и таймеры переодического запуска (в идеале тест под нагрузкой в синхронизации с основной системой - будет как раз остановка. Примеров знаю массу. Не экономьте на клапанах, реле и солярке. Пускай лишние литры сожрёт, но проснется как положено.
Pro-invader
17.11.2021 18:54Поток сознания, невозможно понять смысл, если не в теме, без знаков препинания.
"имеющих право врубить ВРУ состояние MAINS" или "имеющих право врубить ВРУ"?
если высоковольтная штука то на выходных фидерах ещё дополнительно стоят модули от поставщика кру
высоковольтная штука где? Скорее всего, у датацентра своя ТП. Какие там выходные высоковольтные фидеры?
Не очень понятен комментарий в общем.
VldE
18.11.2021 12:58+1Давайте рассмотрим схему так:
Мы имеем несколько входных фидеров от горсетей. Не будем лезть в недра стандартизации какой-то Малайзии, не интересно, у нас тут свои осины и папуасы. Мы это обозначим как Main 1/2 Основная задача нашего оборудования - LTS. load transmission (Это группа оборудования, отвечающая за анализ пофидерно и межсекционные связи с блокировкой обратной мощности) Передача мощности. Он отслеживает что происходит с "городом" и свои наблюдения по информационной CAN BUS шине сообщает всем кто ниже. Ниже - это или системы шин сетевого напряжения, аналогичные городу или понижающая КТП. Особенно интересно последнее так как за КТП шин может быть и не одна и не две (SubMain1,2,3,4). (For example: bus for server, bus to front office, bus to back office, stuff and secondary room - garage, laundry or etc. ). Где-то между этим уютным дурдомом стоит задача приоритезации работы оборудования - то есть если работаем от сети Mains 1/2 - гуляй, равнина! Подсветка здания, гаражи, прачечные, не жалко. Но если садимся на генератор то тут каждый кВт и кВр на счёте. Поэтому мы ставим на каждую шину Mains контроллеры и даём им приоритет. Генерация пока за своим автоматом прячется. Плюс в изначальном комментарии были железяки производителя ячеек. Это специализированные контроллеры и аппаратов, обеспечивающие включение высоковольтных выключателей, релейную защиту высоковольтного оборудования и логическую защиту шин. В общем, высоковольтные материи, не имеющие в этом комментарии особенного интереса.
Итак, в одну не прекрасную снежную и вьюжную ночь у нас "падает" фидер Main 1. Входящий в комплект LTS контроллер MCB видет что шина начала падать. Если это произошло не резко то он может оповестить второй контроллер что шине поплохело (группа уставок предупреждения + выдержка) и через BTS контроллер с минимальной задержкой ( тот самый свет моргнул, потому что мы не должны допускать обратной утечки из одного фидера М2 в фидер М1, поэтому логика - одновременно отключить одно и включить другое) подключить всё на фидер М2. Отлично. На какое-то время этого хватает, но тут нагрузка ползёт в гору и наш М2 тоже начинает потихоньку сваливаеться до неприятных величин. Может быть и сразу в ноль. И тут вступает в братия на sM1-4. По информационной шине, не дожидаясь пока всё развалится отключаются (в этом и есть преимущество когда всё связанно единой сетью и все контроллеры имеют свою логику, а не дуболомная релейка, которая может и запороть генератор, если не будут использоваться многоканальные командоаппараты и нетривиальное количество реле) не приоритетные шины sM3-4 и их контроллеры ждут пока всё образумится. Ну и отлично. Тем временем начинается прогрев и запуск ДЭС. После готовности ДЭС М2 контроллер, может отключился, если до этого он не упал, если упал, то он уже отключен - напряжение на цепях управления обеспечивает блок бесперебойного питания АСУ. Вообще он должен охранятся и содержаться как ядерные секреты и никто к нему кроме тех, кому положено не присоединяется. Поэтому АСУ не связано с процессами на М1/М2. У неё может вообще стоять своё реле защиты.
Отлично. Мы запустили ДЭС, sM1 висит на своих источниках питания, КТП отключена своей рза ( плюс логика "И" от цепей LTS контроллера. ) что бы мы не грели трансформаторы от бесперебойного питания. Отлично. ДЭС садиться на шину и питает кого положено. Потом всё собирается обратно, при этом есть возможность всё вести в синхронизацию с своей генерацией и её тут же отключить (Soft unload- это самый лучший вариант отключения ДЭС - мягко снять нагрузку)
Самым проблемными местом является ДЭС так как в ТНВД ДЭС не настолько сильные клапаны что бы превратить осушение магистрали и запуск. Ну и аккумуляторы, куда же без них. Или пневмостарт.
В основу берём эту схему.
Pro-invader
19.11.2021 18:58Спасибо за комментарий, это все понятно, 1 особая группа по надежности электоснабжения. Логика в принципе такая же, как и 50 лет назад, оборудование, да, совершеннее.
VldE
20.11.2021 07:18Да, что мне нравится сейчас - вариативность и сценарии работы ДГУ в зависимости от нагрузки вплоть до того что мы можем начать запитывать город со своих шин. Любой элемент между частями, например, BTB контроллер позволяет включить секции в синхронном режиме, раньше это было сложнее и можно было пролететь. Это даёт нам широкие возможности, например, быстро и бесшовно и безошибочно можно вывести в ремонт КТП и её секцию шин заместить ДГУ. Удобно. Ну и плюс всевозможные scada и онлайн мониторинг поднимаются по щелчком мыши на пачке сигарет, на которой есть возможность запустить браузер. Я вон скаду от этого поставщика контроллеров настроил и поднял примерно за 10 минут.
Enigmat
А сейчас что-то подобное возможно? Криптобиржи, особенно небольшие, наверное, уязвимы. Но что насчет глобальных бирж в наше время?
iamnosupeman Автор
От сбоев не застрахован никто, иногда проявляется сраду скаскад негативных факторов, сочетание которых считает невозможным. Но современные биржи, конечно, защищены очень неплохо, как от взлома, так и от высокой нагрузки - ведь современный трейдинг это огромное количество операций в секунду.