21:22
10/2/2014

W zeszłym tygodniu giełda Bitcoinów Mt.Gox zawiesiła wszystkie wypłaty w Bitcoinach tłumacząc się “technicznymi problemami”, które jednak nie zostały opisane w szczegółach. Niektóre osoby przypuszczały, że może to mieć związek z utratą finansowej płynności giełdy i brakiem środków na wypłaty. Pojawiały się też głosy, że giełda mogła stać się celem ataku.

Mt.Gox zawiesza wypłaty

Dzisiaj Mt.Gox opublikował komunikat prasowy, z którego wynika, że wypłaty zostały zawieszone z powodu błędu w protokole BitCoin. Brzmi poważnie… ale przecież taka dziura nie dotyczyłaby tylko giełdy Mt.Gox, ale całej sieci P2P Bitcoina. I tu pojawia się problem, bo to co unieruchomiło Mt.Gox to …”błąd” znany jest od 2011 roku! A w dodatku, podatność ta nie jest na tyle poważna, żeby mogła ona stanowić problem dla funkcjonowania jakiejkolwiek giełdy — o ile jej właściciele odpowiedni oprogramują proces transakcji.

Czyżby takie oświadczenie Mt.Goxa oznaczało, że jego developerzy nie do końca orientują się w sytuacji? A może giełda z innych powodów gra na spadek wartości cen Bitcoina albo tłumaczy przerwę w swoim działaniu tym właśnie problemem?

BitCoin

BitCoin

Na czym polega błąd w protokole Bitcoina?

Problem dotyczy transakcji, które nie zostały jeszcze potwierdzone i pozwala na niewielką zmianę niektórych parametrów transakcji (ale nie kwoty, czy źródła i odbiorcy transakcji). Zmian można dokonać bez konieczności “łamania” podpisu.

Jak wykorzystać błąd? Użytkownik prosi giełdę o wypłatę środków na jego adres. Większość Bitcoinów (80-90%) jest przechowywana w sejfie offline, dlatego giełda wysyła użytkownikowi Bitcoiny z innego adresu — takiego, na który ktoś niedawno wpłacił środki na giełdę (z tego właśnie powodu, za każdym razem kiedy otrzymujemy wypłatę z giełdy pochodzi ona z innego adresu niż ten przypisany do naszego konta).

Giełda zapisuje hash transakcji dotyczącej wypłaty. Wtedy użytkownik może zobaczyć, że taka transakcja “wisi” w sieci P2P i oczekuje na dołączenie do łańcucha bloków. Jeśli oszust posiada odpowiednie umiejętności, to może zmienić niektóre bajty w taki sposób, że jedyne co ulegnie zmianie to identyfikator transakcji. Następnie jeśli będzie miał szczęście to jego transakcja zostanie zapisana w łańcuchu bloków jako pierwsza i w tym przypadku Mt.Gox mimo, że wysłał Bitcoiny pod wskazany adres, to nie wie o tym, czy one dotarły. Odbiorca który otrzymał Bitcoiny mógłby w takiej sytuacji zgłosić się do supportu giełdy ze skargą, że ich nie otrzymał. W ten sposób giełda widząc, że transakcja z ID którym oni dysponują nie doszła do skutku, wysłałaby ponownie Bitcoiny użytkownikowi.

Przez większość czasu nikt nie ‘majstrował’ przy transakcjach w ten sposób. Być może sytuacja uległa zmianie i przedstawiciele giełdy boleśnie zdali sobie sprawę z istnienia podatności. Teraz giełda wiedząc o problemie musi go obejść, żeby móc wznowić działanie. W jaki sposób? To proste: zamiast obserwować ID transakcji giełda powinna obserwować, czy na adres wpisany przez użytkownika wpłynęła żądana kwota z adresów (może być ich kilka), z których transakcja została wysłana przez giełdę.

To nie błąd w Bitcoinie a w obsłudze transakcji

Oleg Andreev, deweloper i entuzjasta Bitcoina stwierdził na twitterze, że “to jest błąd w ich obsłudze płatności, nie w Bitcoinie“.
Wtóruje mu jeden z użytkowników Reddita:

Protokół nie ma tu nic do rzeczy. To tylko niekompetencja deweloperów [Mt.Goxa]. To ich wina, że polegają na hashach, aczkolwiek ta podatność w transakcjach to nic nowego.

Inny deweloper Bitcoina, Greg Maxwell stwierdził w wywiadzie dla CryptoCoinsNews, że podatność ta w protokole Bitcoina cały czas jest naprawiana i może to zająć lata zanim zostanie w pełni usunięta — wymaga to bowiem zmiany w oprogramowaniu. Warto tutaj zaznaczyć, że każda zmiana oprogramowania musi zostać zaakceptowana przez użytkowników, a klient Bitcoina z oczywistych powodów nie ma mechanizmu automatycznej aktualizacji.

Daniel Haczyk, autor bloga bitcoinet.pl

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

24 komentarzy

Dodaj komentarz
  1. Bitcoin jest już bardzo drogi, więc nie zdziwiłoby mnie granie na spadek wartości Bitcoina. Jego kurs nie może przecież rosnąć bez końca.

    • Jak najbardziej może, a nawet… powinien.
      To waluta deflacyjna w odróżnieniu od standardowych “biletów narodowych” – w jej istnienie wpisany jest wzrost kursu do innych walut. Oczywiście wahania są normalne i w tym sensie masz rację.

  2. Kur….A !!! Ja ostatni raz korzystam z tego Gówna!!!

    Był problem z wypłatą, czekałem ponad 3 miechy a teraz nawet z wpłatą jest problem, z zaksięgowaniem.

    Dobrze że małe pieniądze to jakoś przeżyje jak by coś, ale nosiłem się z zamiarem wpłacenia powyżej 5k pln !!!

    Jeb…ani nawet łachę robią że odpisują !!!

    Po prostu nie polecam MASAKRA !!! Szkoda że nie ma konkret polskiego kantoru … ;/;/

    A z tego MT ostatni raz ostatni raz korzystam niech ich dod…s…ują aż się całkowicie wysypią, się im należy za taką obsługę !!!!

    Bez odbioru ….. ;/

  3. Dokonałem zlecenia wypłaty środków z mtgox na zdefiniowane w ich systemie własne konto bankowe w listopadzie ubiegłego roku. Po wielokrotnym mailowaniu z supportem w ubiegłym tygodniu wspaniałomyślnie zgodzili się na cancel zlecenia wypłaty środków. Plan był taki, by zakupić bitcoiny i wyprowadzić je przez Bitcurex, z którym do tej pory nie ma ŻADNYCH problemów. Niestety plan się nie powiódł, bo nie ma również możliwości wypłaty w bitcoin z mtgox i kiszę teraz tą “walutę”…
    Jeśli uda się wreszcie wypłacić, pierwszą rzeczą jaką zrobię będzie zamknięcie konta w mtgox…

    • Mam podobnie… Podkusił mnie arbitraż między currexem, a mtGox’em (konto miałem zweryfikowane ale brak dodanej opcji wypłaty gotówką). Teraz ani wypłaty gotówki (opcje od 2 tyg wyszarzone) ani BTC. Jak w niedziele stwierdziłem, że spróbuje wypłacić jako BTC to się okazało, że wypłaty są wstrzymane. Na domiar złego monit pojawił się dopiero przy użyciu przycisku do wypłaty (straciłem na tym procederze 150zł za manewr PLN->BTC->PLN). Teraz się chociaż pokwapili żeby dać monit w widocznym miejscu :/

  4. Jeśli ktoś używa hasha transakcji jako identyfikatora przed jej zatwierdzeniem, to już jego wina. Że Mt. Gox zdecydowali się na użycie własnego przedawnionego klienta BTC i zamiast zdecydować się na sprawdzanie pozostałych danych transakcji, użyli niesprawdzonego hasha pomimo informacji z 2011, a także wielokrotnych ostrzeżeń i ofert pomocy od developerów BTC, to nie wina protokołu.

    Protokół tak działa i tyle. Trzeba się dostosować albo godzić się na konsekwencje. Są też kruczki w choćby obsłudze TCP i też trzeba się dostosować. Płakanie, że jest tak, a nie inaczej, nie pomoże. Można oczywiście zamiast tego wierzyć w bystrość developerów i słuszność architektury wspaniale zorganizowanego serwisu Magic: The Gathering Online eXchange.

  5. Używał ktoś tego kantoru: http://liliontransfer.org ??
    Obsługuje wiele kryptowalut, walut narodowych, PayPal i inne

    • Wygląda to na proste proxy do innych serwisów, w tym Mt. Gox. Polecałbym raczej sprawdzić ich listę i ręcznie wybrać najlepszą opcję.

  6. Blame it on MT.GOX
    https://www.youtube.com/watch?v=K2ku1A5Ox8U

    nie pierwszy, nie ostatni raz.

    • :D :D :D i hu…j i ded…os w łeb….
      Piździel…..ce !!!!!!!

  7. No dobra ale w takim razie po co zatrzymali wypłaty btc? wystarczyło by skrupulatniej weryfikować zgłoszenia o ponowną wypłatę i jednocześnie przygotowywać soft do podmiany. Chyba że soft z automatu ponawiał wypłatę a ktoś tym sposobem grubo oskubał GOXa który teraz próbuje zniżyć kurs by dokupić tanio brakujące BTC lub ogłosić plajtę i wypłacić w $ po niskim kursie. Regularnie ktoś sprzedaje po 30-70 BTC (zawsze liczba z czterema cyframi po przecinku) co 4-6 minuty od co najmniej nocy.

    • Jakby się przejmowali, to by wystarczyło weryfikować hashe transakcji *po* zatwierdzeniu lub sprawdzać numer portfela, wartość i timestamp zamiast hasha w momencie realizacji zleceń. Jako że tego nie robili, ludzie to wykorzystali i wypłacili na tyle dużo, że Mt. Gox stracił płynność finansową. Ponadto, nie mogą teraz wprowadzić ot tak sobie zmian czy ręcznej weryfikacji, bo system jest nie najlepiej zbudowany, a użyta implementacja protokołu Bitcoin niechlujna i przestarzała. Teraz to się mści. Największa szkoda jest taka, że zamiast wziąć to na klatę, przyznać się do błędu i poprawić, mówią, że to wina całej platformy Bitcoin.

  8. Spalił im się portfel offline, albo pies go wylizał i wygryzł i chcą to zatuszować :P

  9. Chyba ktoś to już wykorzystał.
    http://techcrunch.com/2014/02/13/silk-road-2-hacked-88000-bitcoin-allegedly-stolen/

  10. No i się posypało
    http://www.bankier.pl/wiadomosc/Mt-Gox-oglasza-bankructwo-3070899.html

  11. Skoro sprawa się wyjaśniła – mtgox bankrupcy – proponuje utworzyć nowy artykuł uświadamiający ludzi w ryzyku obracania NIEKONTROLOWANYMI walutami.

  12. […] Jak widać, ostatni czas dla Bitcoina nie jest zbyt udany. Przypomnijmy, że problemy Bitcurexa następują po krachu największej giełdy Bitcoina MtGOX. […]

  13. […] porażka giełdy bitcoinowej Mt.Gox, która doprowadziła do kradzieży 850 000 bitcoinów może być “robotą […]

  14. […] tego, co od momentu włamania do Mt.Gox miało miejsce — i gdzie są […]

  15. […] policja aresztowała Marka Karpelesa, twórcę Mt.Gox — giełdy bitcoina która zbankrutowała w lutym 2014 roku po kradzieży 850 000 bitcoinów (wartych wtedy 500 milionów […]

Odpowiadasz na komentarz Paweł Nyczaj

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: