Topic: Gox-Tracer (Read 1722 times)

Nochmal kurz ein Update zu dem Thema. Es gibt bei reddit ein Projekt, wo die geleakten Transaktionen mit der Blockchain abgeglichen wurden. Dort konnten schon 87% der Transaktionen zugeordnet werden. Die Ergebnisse wurden noch nicht veröffentlicht, aber die Daten sind ziemlich groß (ca. 3GB).  Ich weiß nicht, ob man damit was anfangen kann. Weitere Infos hier:

http://www.reddit.com/r/mtgoxAddresses/wiki/transactionidentification

Zumindest haben wir da etwas Zeit zum Programmieren. Eigentlich sind diese 200k ja uninteressant, weil ziemlich sicher im Besitz von Gox. Aber momentan ist es das einzige, was wir sicher wissen.  

Ist aber so. Ich kann mich noch gut daran erinnern, dass wir in der Vergangenheit erst mal 200k BTC "finden" mussten, bevor Mark diese dann auch ganz plötzlich in einer alten Wallet gefunden hat.

Aber bald ist ja Ostern, vielleicht kommt da der Hase mit den Geschenken... 

Ich glaube, wir sind in eine Sackgasse geraten. Es kann doch überhaupt nicht sein, dass wir auf der Basis geleakter Daten und Dergleichen die "fraudolenten" Transaktionen erraten müssen. Hallo?!
Ich meine, sind wir hier im Kindergarten?  

Es ist sinnlos. Ich gehe sehr fest davon aus, dass Gox, wenn sie wirklich pleite gehen, uns die betroffenen Transaktionen liefern wird und schreibe dafür meinen Code bzw. studiere den bereits vorhandenen.

Als Testfall können wir die 3a1b9e330d32fef1ee42f8e86420d2be978bbe0dc5862f17da9027cf9e11f8c4 nehmen.

Aber es ist letztlich an Gox uns die anomalen Transaktionen zu liefern. Oder einen sehr guten und glaubhaften Grund warum sie das nicht können.

Man könnte im ersten Ansatz erst mal mit Zeitintervallen filtern. Vermutlich muss man ein bischen spielen um ein sinnvolles Intervall zu finden. Damit hat man die Liste der Transaktionen für die Weiterverabreitung schon mal deutlich eingeschränkt.

Du sprichst über die Daten aus der MtGox2014Leak.zip?

MD5: 90e78be95914f93030b04eaceb22b447
SHA1: 6bcf91965a1848cecfc9156fe5691d0f94680d8f

Ich hatte sie mir gestern aus einem Torrent gezogen, dann gesehen, dass "dewdeded" sie wohl auch hier abgelegt hat:

https://bitcointalksearch.org/topic/m.5610125

Also um diese Daten geht es?

Ich habe sie mir angesehen. Ist schon erschreckend, dass ich dort meinen Kontostand und meine Transaktionen finde. Allerdings auch ein Indiz dafür, dass die Daten trotz des mitgelieferten Trojaners valide sind. Die von Dir vorgeschlagene Zuordnung halte ich jedoch leider für nahezu unmöglich, da ich nicht denke, dass die Zeiten in der Datei btc_xfer_report.csv auch nur annähernd mit den Daten in der Blockchain übereinstimmen müssen, bzw. das müsste man erstmal sicher stellen, nur wie? Dann ist es immer noch ein ziemliches Puzzlespiel. Die Zeiten in der Datei scheinen zumindest mit den Zeiten in den Withdraw-Bestätigungsmails, die Gox immer verschickt hat, übereinzustimmen. Dadurch konnte ich jedenfalls meine eigene Wallet identifizieren. Auch hier scheint wieder alles zu stimmen.

Merkwürdige finde ich in mtgox_balances die negativen Kontostände am Ende der Datei. Aber meine persönlichen Kontostände stimmen (BTC und Euro).

Zum Zeitplan: Haltet die Luft nicht an während ihr auf mich wartet. Das ist jetzt Arbeit (von der ich auch so schon reichlich habe) und nicht mal eben über einen Beitrag im Forum zu lösen. Konzentriere mich jetzt erstmal auf Sukrims 'Arbeitsauftrag'. Erscheint mir gegenwärtig (vor allem auch zu Lernzwecken) sinnvoller als das, was ich vorgeschlagen hatte. Jetzt muss ich allerdings erstmal wieder meinem Broterwerb nachgehen. Wenn es etwas Neues gibt poste ich das in diesem Thread und ihr könnt es ja auch so halten. Mitlesen tue ich auf alle Fälle.

OP: Irgendwelche Fortschritte?

Ja. Dabei ist die Summe exakt, beim Datum muss man vermutlich mit einem Intervall filtern (+- X Tage).

Ich würde auch die geleakte Datenbank dazuziehen. Da hast du alle Deposits und Withrawals und kannst dann zuordnen, welche Transaktionen von/an Kunden gegangen sind. Damit kannst du einigermaßen die Grenzen abstecken, welche Adressen zu Gox gehören und welche nicht mehr.

Leider sind in den Daten keine Adressen oder TxIDs zu finden. Man müsste die Transaktionen anhand des Datums und Amounts abgleichen.

Projekt: https://code.google.com/p/blockchain/
BCT: https://bitcointalksearch.org/topic/a-bitcoin-blockchain-parser-in-a-few-thousand-lines-of-c-247923

Über blockchain.info bekommt man alle Transaktionen zu einer Adresse:

http://blockchain.info/rawaddr/1eHhgW6vquBYhwMPhQ668HPjxTtpvZGPC

Da müsste man dann die 'abgehenden' Transaktionen rausfiltern und entsprechend auswerten.

In meinen Augen nicht ganz so trivial. Man muss z.B. auch Zyklen erkennen, sonst zählt man Coins ggf. doppelt und dreifach.

Könnte am WE versuchen ein Perlskript dafür zu schreiben.

Interessant scheint mir dieses Projekt:

https://github.com/znort987/blockparser

Das scheint bereits eine "taint"-Analyse zu kennen. Was gibt es sonst noch an fertigen Tools?

Nein, ich will wissen welche Addressen auch https://blockchain.info/address/1eHhgW6vquBYhwMPhQ668HPjxTtpvZGPC als Input in der Transaktion haben.
z.B. https://blockchain.info/tx/deff8e64825d84d7d5ba82bba88171d8ef8ffb8dd9b6a6af5266d506a17ff73c - 1DHFPV6TBir6HQ1tBujS1YKrUSE6634ayx und 1ABYozs4D5xtFCwTohz9DwibDvmAQ8bxit wurden auch verwendet, gehören damit vermutlich auch zu MtGox.

Dieses Prinzip dann auch auf die "verbundenen" Adressen anwenden, und so weiter, bis man keine neuen Adressen mehr dazubekommt. Dann alle diese Adressen (das dürften einige sein!) mal betrachten und schauen, wieviele BTC da noch wo liegen. Blockchain-parser nennt das Verfahren z.B. "closure".

http://www.reddit.com/r/Bitcoin/comments/214v2y/mtgox_is_trading_in_530000_bitcoins_from_march_7/

Die prev_outs bekäme ich z.B. so:

https://blockchain.info/rawtx/3a1b9e330d32fef1ee42f8e86420d2be978bbe0dc5862f17da9027cf9e11f8c4

Und dann willst Du wissen, bei welchen Adressen diese prev_outs noch auftauchen?

Es wäre schon mal schön, wenn du auch nur die einfachste aller einfachen Übungen machen würdest und als Beweis, dass du dich wirklich auch auskennst/damit beschäftigst alle Addressen, die Inputs mit der bekannten 424242.42424242 Transaktion (3a1b9e330d32fef1ee42f8e86420d2be978bbe0dc5862f17da9027cf9e11f8c4) teilen auflistest, idealerweise gleich auch noch mit Balance über die Zeit als Graph.

Damit könnte man auch gleich mal gegenchecken, welche Depositadressen damit schon verknüpft sind, oder ob es da mehrere "wallets" die unabhängig voneinader sind gibt.

Du sprichst da schon einen validen Punkt an. Es ist nicht trivial.

Laut Aussage von Gox waren ja erstmal alle Coins weg. Der Fall war also denkbar einfach.  

Nun tauchen 'überraschend' wieder die ersten Coins auf, sobald die Leute sie identifiziert haben.  

Momentan nutzen die Leute Reddit und dieses Forum zur Koordination der Identifizierung der Gox-Coins. Ich will das systematisieren.

Ich gehe davon aus, dass Gox noch deutlich mehr Coins als die 200.000 kontrolliert.

Die Leute können grundsätzlich jedes (Gox-)Konto melden, aber vielleicht nicht ausgerechnet solche, von denen sie legal ihre eigenen Bitcoins abgezogen haben.
Wobei das auch kein Problem ist, dass mittelt sich dann schon raus. Es geht letztlich darum zu versuchen die gestohlenen Coins zu identifizieren und Gox unter Druck zu setzen,
so dass sie die Daten rausrücken, um sich zu entlasten.

Nach der Diskussion mit Dir, werde ich aber noch ein Kommentarfeld vorsehen, wo die Leute informal erläutern können, warum sie der Auffassung sind, dass die gemeldeten Konten aufgenommen werden sollen.
Das hilft vielleicht in Zweifelsfällen.  

OK, ich dachte es geht dir darum, alle Adressen zu sammeln, die mit Mt.Gox in Verbindung stehen. Ich hab ehrlich gesagt immer noch nicht verstanden, welche Daten du sammeln willst. Woher soll ein User wissen, ob von seinem Konto Coins gestohlen wurden? Mt.Gox zeigt doch trotzdem die volle Summe an? In der geleakten Datenbank sind ja 950.000 Bitcoins verbucht.

Nur damit wir uns nicht missverstehen: Es geht primär darum die Gox-Konten zu identifizieren von denen Coins gestohlen wurden.

Interessant sind z.B. Adressen, auf die Miner (oder auch andere) eingezahlt haben. Wenn hingegen jemand seine Coins von Gox (rechtmäßig) abgehoben hat, dann sind das ja gerade *keine* gestohlenen Coins.
Eine solche Withdrawal-Confirmation wäre also eher eine Kontraindikation.

Letztlich müssen diese Informationen von Gox selbst kommen. Das 'Meldesystem' dient erstmal nur dazu Druck aufzubauen.

Gox muss die Bitcoins nennen, die gestohlen wurden. Wenn wir bereits eine Plattform haben, wo wir diese Informationen weiter verarbeiten können, ist der Druck deutlich höher.
Gleichzeitig gehe ich nicht davon aus, dass wir in näherer Zeit Informationen von Gox erhalten. Die rücken nur das raus, wozu sie gezwungen sind.


Die Hashes der IP-Adressen will ich speichern, damit auch andere Leute die Daten auf Unregelmäßigkeiten untersuchen können. Z.B. auf bestimmte Muster, falls irgendwelche Bots laufen. Ggf. hashe ich dazu auch noch andere Daten. All diese Daten sind öffentlich, weshalb ich sie pfeffern und hashen muss.  

Man muss sich nichts vormachen. Wenn man an dieser Stelle keine rudimentären Vorkehrungen trifft, ist der Dienst von vorne herein zum Abschuss freigeben und wird zugemüllt.

Alternativvorschlag:

Richte eine Mail-Adresse ein, wo die Leute einfach die Withdrawal-Confirmations vom MtGox weiterleiten können. Dort sind alle wesentlichen Informationen enthalten: TxID und Datum. Das ist für den User komfortabler und du hast damit gleichzeitig die Anmeldung und E-Mail Bestätigung erschlagen.

Das wäre aber nur eine Ergänzung zu deiner oben genannten Vorgehensweise, weil bestimmt einige die Emails nicht mehr haben.

Übrigens: eine IPv4-Adresse zu Hashen bringt praktisch keinen Schutz. Ich würde die IP gar nicht speichern.

Ok, ja, leuchtet ein.

Diese Erfassung von E-Mailadressen (auch wenn sie nicht gespeichert werden) macht Dir Deiner Projekt in der Kommunikation etwas schwieriger, wenn dann sofort Trollhorden gleich wieder Datenschutzbedenken anmelden.