Um ficheiro não copiado. 440 milhões de dólares em 45 minutos.

O script de implementação de um criador de mercado saltou um de oito servidores. Esse servidor ainda tinha código de teste de oito anos inativo — e uma flag reaproveitada despertou-o, enviando uma avalanche de operações descontroladas que quase acabou com a empresa antes da hora de almoço.

falha de negociação da Knight Capital perda de 440 milhões de dólares da Knight Capital falha de negociação algorítmica exemplo de custo de uma implementação falhada
Deslize para ver a cronologia
45 min Da abertura do mercado até à suspensão da negociação
440 M$ Perda — quase a totalidade da capitalização bolsista da empresa

O que aconteceu, numa tabela.

As fontes estão ligadas no texto; este incidente está documentado de forma invulgarmente completa graças à investigação subsequente da SEC e à sua ordem pública.

Data 1 de agosto de 2012, a partir da abertura do mercado às 9h30, hora do Leste dos EUA.
O que falhou Um técnico que implementava um novo código de encaminhamento de ordens esqueceu-se de o copiar para um dos oito servidores de produção da Knight. Esse servidor ainda continha uma função de teste antiga e não utilizada chamada "Power Peg", e uma flag reaproveitada pelo novo código reativou-a acidentalmente — enviando para o mercado uma avalanche de ordens de compra e venda não intencionais.
Escala Em cerca de 45 minutos, o sistema da Knight enviou mais de 4 milhões de ordens enquanto tentava processar apenas 212 ordens legítimas de clientes, negociando cerca de 397 milhões de ações em aproximadamente 154 títulos e acumulando grandes posições indesejadas.
Deteção e paragem Os engenheiros da Knight demoraram quase 45 minutos a diagnosticar o comportamento errático da negociação antes de desligarem o sistema — não existia nenhum disjuntor automático nem interruptor de emergência capaz de travar sozinho o processo específico que estava a falhar.
Custo reportado A Knight Capital revelou uma perda de negociação de 440 milhões de dólares — superior aos lucros combinados da empresa nos vários anos anteriores. A perda praticamente eliminou a sua capitalização bolsista, obrigando a uma angariação de capital de emergência, e, em poucos meses, a Knight foi adquirida pela concorrente Getco numa operação de resgate.

Sem plano de reversão, sem interruptor de emergência.

Esta é a perda mais rápida e concentrada desta lista — um lembrete de que a velocidade de deteção importa mais do que quase qualquer outra coisa em sistemas automatizados.

01

Código morto não é código inofensivo

A função Power Peg estava sem uso há anos, mas nunca foi removida — uma flag reaproveitada noutra parte do código foi suficiente para a despertar. Os caminhos de código obsoletos representam um risco latente enquanto existirem.

02

Implementações parciais são piores do que nenhuma implementação

Sete dos oito servidores receberam a atualização correta; o oitavo não. Um processo de implementação sem verificação automatizada de que cada nó corresponde ao estado pretendido pode deixar um sistema em pior estado do que antes da alteração.

03

O tempo de deteção é aqui todo o custo

Cada minuto em que o sistema esteve em funcionamento aumentou as perdas a um ritmo que poucos outros incidentes desta lista conseguem igualar — na negociação automatizada, um interruptor de emergência rápido e automático vale mais do que quase qualquer outro investimento individual em fiabilidade.

Knight Capital, explicado.

Perguntas que surgem ao citar este incidente num caso de segurança de implementações ou infraestrutura de negociação.

Isto foi um ataque informático ou uma tentativa de manipulação do mercado? Não — os reguladores e a própria Knight atribuíram-no a um erro interno de implementação, e não a qualquer ataque externo ou manipulação intencional.
A Knight Capital recuperou? Não de forma independente — a empresa sobreviveu apenas graças a uma injeção de capital de emergência por parte de investidores, e foi adquirida pela Getco em poucos meses, tornando-se mais tarde parte da KCG Holdings.
O que mudou na indústria depois disso? O incidente tornou-se um caso amplamente citado sobre a importância de listas de verificação prévias à implementação, lançamentos canary e disjuntores automáticos em qualquer sistema capaz de tomar decisões financeiras sem revisão humana.
Como é que isto se traduz na calculadora? Veja a calculadora de broker-dealer, que modela exatamente este tipo de risco de infraestrutura de negociação de baixa frequência e alta gravidade, com um objetivo de MTTR curto.

Quanto lhe custariam 45 minutos de automação descontrolada?

Modele os seus próprios sistemas de negociação, exposição de receita e tempo de recuperação usando a mesma fórmula.

Modo

Cor de destaque