Topic: Ist die Arbeitsweise von Mtgox kompetent? - page 5. (Read 5654 times)

Lies dir doch erstmal im Bitcoin Wiki bzw in den Englishen Threads oder in Reddit den Fehler durch. Du kannst von  einer Überweisung  als Angreifer die Transaktiosn ID verändern und schneller relayen.
Sende Adresse und Empfänger Adresse können nicht manipuliert werden! Die Daten sind fest im hash mit drin, aber der Hash an sich kann verändert sein

Jaja, die armen Entwickler.

Die Kellerhaltung führt letztlich dazu, die Programmierer wollen auch mal an die Sonne und Rio lockt natürlich. Ich plädiere für fair gehandelte Software von freilaufenden Entwicklern.

das würde keinen Unterschied machen, nur habe ich nie von der NSA oder russ. Regierung geredet.
Ich spekuliere dass Mt.Gox von innen ausgeplündert wurde

Mir ist nicht ganz klar, wie der Empfaenger die Transaktions-ID veraendern kann. Die Transaktion wird vom Sender verkuendet und alle Relays plappern sie nach bis sie in einem Block unterkommen. Ich glaube kaum, der "boese" Empfaenger hat alle Relays manipuliert.

Aber selbst wenn, weder Sender-Adresse, Empfaenger-Adresse und Betrag koennen manipuliert werden. Wenn nun Gox auf Support-Anfrage nur nach den Transaktions-IDs sucht und nicht mal den Stand beim Sender-Konto ueberprueft, ist das grob fahrlaessig (diese Attacke ist ja seit Jahren bekannt).

Ach Mezzomix. Ich bin nur ein einfacher Informatiker. Ich weise niemanden zu irgendwas an. Ich führe nur die sinnlosen Anweisungen anderer aus.

Davon ab: 200% finde ich verdächtig. Da würde ich nachforschen.  

Verstehe nicht was das für ein Unterschied macht ob der Böse Hacker bei Mtgox gearbeitet hat, bei der NSA oder bei der Russischen Regierung.

?? Der Schaden ist jedesmal gleich

genau , und wenn der "Böse"/die "Bösen"  kriminelle/r Mitarbeiter von Gox war/en?

Du verstehst das Problem und den Fehler noch nicht oder?

Die "fairen" User  haben ihre Auszahlung ja erhalten und sich nicht gemeldet.

Nur der "Böse" User hat den Fehler ausgenutzt und die Transactions ID "verändert". Die Coins kamen bei ihm an aber mit einem anderen Hash.
Gegenüber dem Support wurde dann behauptet dass die Transaktion nicht ankam. Support überprüft es mit dem Hash und schickt die Coins nochmal raus

Obwohl der erste Input rausgeschickt wurde aber mit einem veränderten Hash.  Um das zu verstehen musst du dir aber im wiki die Schwachstelle genau durchlesen

siehe meinen post dadrüber

Dann müssten ja etliche Leute ihre Coins doppelt und dreifach bekommen haben. Warum hört man nur so wenig davon? 

Ich glaube, dass da noch viel schlimmeres passiert ist.
double-spending an kriminelle Mitarbeiter?

Das Mtgox system hat glaube ich nach 4 Tage die Transaktion automatisch neu gepushed wenn die Transaktions ID nicht im Netzwerk aufgetaucht ist.

Oh wei oh wei.

Du entwickelst keine technische Software?!

Jeder halbwegs fähige Softwareentwickler, der sich das anschaut, wird Dir bestätigen können, dass sich Transaction Malleability nicht für Angriffe gegen das Bitcoin System eignet.

Das heisst nicht, dass es nicht noch ganz andere Problem gibt, aber das ist bei jedem hinreichend komplexen System der Fall. Dagegen hilft nur, die Augen offen halten und unerwartetes Systemverhalten nicht einfach wegzuwischen, sondern eine logische Erklärung zu finden und zu bewerten. Also genau das, was MtGox unterlassen hat. Wie dumm muss man sein, wenn man dauernd Meldungen über angeblich nicht durchgeführte Auszahlungen bekommt und diese ungeprüft nochmals auszahlt?! Ausser MtGox lügt in diesem Punkt und es ist etwas noch viel schlimmeres passiert!

Warum mtgox und sein Verhalten eine Gefahr für den Bitcoin ist!

Mit diesem Verhalten, von eigenen Fehlern abzulenken und Unzulänglichkeiten des Bitcoin Protokolls die seit 2011 bekannt sind, dafür  verantwortlich zu machen, ist eine Gefahr für das gesamte Image des Bitcoin.
Jetzt kann man den technisch unbedarfteren Bürgen wieder auftischen, wie unsicher der Bitcoin ist. Da heißt es dann in der Presse wieder ungefähr so: "Seht her, die vor kurzem noch größte Bitcoin Börse hat seit fast einem Jahr Probleme mit Fiat Auszahlungen und jetzt fand sie heraus, dass der Bitcoin selber unsicher ist und hat auch die Bitcoin Auszahlungen gestoppt." Etc.
Dabei war die Ursache die schlampige Implementierung der eigenen mtgox Software!

So kommt der Bitcoin schwer aus seiner Nischen- und Schmuddelecke heraus!
 Ich habe schon lange nicht mehr bei mtgox gehandelt und werde jetzt meine paar BTC die dort noch liegen abziehen, wenn Auszahlung wieder funktioniert. Und dann ist mtgox Geschichte!

Die Sache kurz vor Weihnachten war ja auch ein gutes Marketing!


Da wurde zu noch mehr Einzahlungen animiert und damit Hoffnung geschürt, dass auch bald schnelle Auszahlungen möglich wären.
Auch wenn man sich bei MoneyPolo (Mayzus Financial Services) ordentlich verifizierte mit Passport/Perso, Utility Bill und dem üblichen Prozedere, kam im Januar eine Mail mit der Aufforderung: "Could you please provide us Photo ID (your photo together with your identification document)?"

Das ist dann gründlicher als NSA & Co! Nein Danke!

Das waere mit Sicherheit aufgefallen und die BTC staende schon laengt bei $0.00 

 

Wozu die Kuh schlachten, solange man sie melken kann? Wer sagt dir denn, dass die Schwächen nicht bereits ausgenutzt werden? Auf der Welt gibt es vielleicht 1000 richtig gute Programmierer, also Leute die wirklich durchblicken, davon haben vielleicht 5% kriminelle Energie, das sind dann 50. Es gibt also nicht viele, die eine subtile Schwäche im Coding überhaupt ausnutzen könnten (was auch nicht gerade trivial ist) und dies auch tun wollen. Wenn das einer kann, wird er es wohl kaum öffentlich publizieren, dass der Bitcoin Schwächen hat.


Das ist wir wenn ich sage: Eine Bank kann nicht gehackt werden, sonst wäre das schon längst passiert. Meinst du die Bank gibt damit an und brüstet sich in der Bildzeitung, wenn sie einen Hacker zu Besuch hatte?

Auch Mt.Gox wollte das vertuschen!

Schon richtig, und diese Gefahren sind auch lange bekannt aber auch kein realistisches Problem, andernfalls haette man diese "Designfehler" auf reiner Bitcoin-Protokoll-Ebene schon laengst ausnutzen koennen.  In dem Fall hat Gox aber bei seiner eigenen Buchfuehrung gleich zwei Fehler gemacht, die nur passieren koennen, wenn man das Bitcoin-Protokoll nicht richtig versteht oder verstehen will. Solche dreisten Betrugsversuche (ob es die wirklich gegeben hat, der Beweis steht seitens Gox noch aus) haetten sofort auffallen muessen.

Würdest Du Deinen Support anweisen, Auszahlungen zu tätigen, wenn nicht 200% klar ist, dass die vorangegeangene Auszahlung gescheitert ist?!

So kann man (nicht mal) eine private Homepage mit Urlaubsbildern betreiben. Wir reden hier aber von einer Börse mit einer entsprechenden Marktkapitalisierung, die so manchen Mittelständler in den Schatten stellt! Wenn ich dann noch lese, dass Webserver, Börsensystem und vielleicht auch noch das Auszahlungssystem auf dem gleichen Rechner(verbund?) läuft, dann verstehe ich die Welt nicht mehr. Wir reden hier von mehreren 100k BTC oder auch mehreren 100M USD/EUR, da dürfen solche Dinge einfach nicht mehr passieren. Als man für 10k BTC noch eine Pizza bekommen hat, konnte man bei so einem unprofessionelles Auftreten noch ein Auge zudrücken. Aktuell halte ich das für absolut inaktzeptabel.

Panik ist zwar nicht angesagt, da das sowieso im Augenblick nichts bringt, aber meine 100k sind die letzte Einlage, die MtGox von mir gesehen hat.

Wahrscheinlich sind alle Börsen betroffen, aber nur Gox hat genügend Ersparnisse um es zu überleben. 

Nur ein Spaß. Aber in der Bitcoinwelt wendet sich das Blatt oft sehr schnell.

Nein, in diesem Fall sind die schon selbst schuld. Wer würde denn nur die Transaktionsnummer überprüfen und nicht die Zieladresse? Das machen sogar Privatanwender meist automatisch richtig.

Aber man muss sehen, dass es gezielte Attacken auf Schwachstellen (dieses Mal der Börse) waren! Es war nicht einfach nur ein Fehler, sondern ein Fehler + Angriff von außen. D.h. Fehler fallen erst auf, wenn auch Angriffe kommen.

Das Problem ist aber, dass die Attacken mit der Zeit viel ausgefeilter werden und eine Beta-Version eben nicht dafür designt wurde, diesen zu widerstehen.

Naja, ist eigentlich ein Traum für Hacker, ist ja auch ne Hackerwährung! Für die ehrlichen? Weiß nicht!