Mettiamoci un attimo nei panni del cracker.
Ho un account su MtGox, non verificato
ervalvola, partendo da info non verificate puoi arrivare a qualsiasi conclusione
considerando che io per primo sto speculando di aria fritta, la strada è infinita
Non ho un account gox, ho un account su btc-e.
Su btc-e non serve verificarsi, per fare trading. Puoi caricare e prelevare bitcoin senza verifica e anche fiat, se passi da un altro servizio (tipo okpay) nel mio caso.
Inoltre, sempre su btc-e, i limiti senza verifica sono molto alti.
Queste sono le condizioni di btc-e per un account
non verificato:
Poi possono trovare un'incongruenza e non capire di che si tratta, ma se la perdita supera un livello accettabile, intanto, per il si e per il no, bloccano tutto...
Se ci pensi è proprio quello che è successo
Non sappiamo ancora quanti soldi sono spariti da mt-gox, quanti da coinbase (vulnerabile alla stessa doppia transazione) e quanti da altri exchange.
Io credo che gox sia stato il bersaglio preferito per via della sua implementazione "particolare" del wallet... che ha consentito di succhiare bitcoin in maniera efficace.
Per il dare nell'occhio... non so quanti di voi lo ricordano ma un po' di tempo fa c'è stato un attacco alle pool scrypt (litecoin ai tempi).
In pratica si forgiavano pacchetti e si inviavano senza hashare realmente.
Un laptop poteva apparire "agli occhi della pool" come un miner da 100mhs. Beccandosi le share corrispondenti sui blocchi in realtà trovati dagli altri miner.
La cosa è andata avanti per diverse settimane, colpendo alcune pool che montavano la stessa piattaforma.
C'è voluto un po' per accorgersene e i litecoin che venivano rubati uscivano dalla cassa comune.
In quel caso hanno succhiato allegramente senza dare nell'occhio e le pool se ne sono accorte non tanto dal fatto che wallet erano disallineati rispetto al credito.
Il motivo per cui si sono accorti del problema è che la pool luck non era in linea con la potenza dichiarata della pool. In quanto il laptop da 100mhs in realtà non trovava nessun blocco
In definitiva pare che sistemi come exchange o pool abbiano un portafoglio cassa che contiene una buona liquidità. Doppie transazioni oppure furti come quello degli share... prelevano direttamente da questa cassa.
Disallineando il portafoglio. Quando poi viene fatto il controllo i conti doppi diventano automaticamente in rosso ( saldo negativo ) ma oramai le transazioni sono partite e non reversibili.
Nel caso delle pool, furono le pool stesse a rimborsare di tasca propria le monete perse, spesso andando in bancarotta.
Gox una cosa del genere non potrà mai farla. Un conto è rimborsare 1000 litecoin quando valevano 1 euro.
Un conto è mille bitcoin a 500 euro l'uno. L'unica sua opzione è gridare <
>
Non penso si possa verificare il saldo e lo storico delle transazioni 10 volte al giorno, quando un sito ha mille account attivi ogni ora che fanno decine di transazioni... servirebbe una notevole potenza di calcolo.
La sicurezza la ottieni facendo la verifica PRIMA di autorizzare la transazione. On demand quindi.
gox andava in automatico, quindi una volta che i soldi erano usciti... può essere che passasse molto tempo prima di verificare la discrepanza nel saldo della cassa comune.
Se provo a pensare alla cassa comune di un exchange, con mille utenti che versano e prelevano contemporaneamente.... onestamente mi viene da mettermi le mani nei capelli a scrivere un codice che verifichi costantemente la correttezza del saldo.
"Capisco" perché gox, non al corrente dell'attacco, abbia optato per un codice semplice e vulnerabile.
Come ho detto fin dall'inizio abbiamo due opzioni:
gox sta cercando di pararsi il culo ed è il vero mandante dell'attacco.
gox è stata una vittima e rivelare il bug ha portato allo scoperto i malintenzionati.
La vulnerabilità di fondo del sistema cmq oramai è accertata.
Non è possibile mantenere una rete dove, un gruppo di malintenzionati, può offuscare e di fatto bloccare le transazioni dei maggiori exchange.
Il fatto che vengano presi provvedimenti dagli sviluppatori, dagli exchange e dalle pool - vedi link ziomik - ovvero dalle tre principali entità della rete... dovrebbe far capire che la questione merita attenzione a prescindere da gox.
.
