Creo que es importante entender el tema del mal llamado "doble gasto". En realidad es un ataque que aprovecha la posibilidad de crear dos transacciones iguales, con la misma firma, pero con distinto hash (Transaction Malleability). NUNCA SE LLEGA A CONFIRMAR UN DOBLE GASTO. Ojo con eso. Ese ataque se hace sobre un exchange, no sobre el blockchain y consiste en lo siguiente:
El atacante debe tener bitcoins en MtGox y enviar sus bitcoins desde MtGox a otra dirección suya.
Después debe mirar esa transacción en la red, copiar los datos y crear una nueva transacción idéntica, pero cambiando un dato irrelevante, de los que no van firmados, para que el hash resultante (el ID de la transacción) sea ahora distinto.
Ambas transacciones estan correctamente firmadas, es más, tienen la misma firma y por tanto ambas se considerarán válidas, pero evidentemente al final sólo una de ellas se confirmará y la otra será desechada por considerarse un doble gasto de la anterior.
El atacante logrará su objetivo si al final tiene suerte y se confirma la transacción creada por él. En ese caso llamará a MtGox para decirles que la transacción no se ha confirmado, MtGox buscará la transacción por su ID y efectivamente comprobará que no se ha confirmado, por lo que repondrá el saldo del atacante.
Si además de su ID MtGox hubiese comprobado otros datos de la transacción, por ejemplo los inputs de la dirección a la que iban destinados los bitcoins, podría ver que la transacción se confirmó, aunque con otro ID.
El problema es que MtGox sólo comprobaba la transacción por su ID, ese es el error que cometían. Supongo que también contribuye el hecho de que MtGox es un mercado continuo 24/7 en el que no hay cierres que permitan verificar saldos con facilidad.
Por último le diré a todos los que echan pestes de MtGox, que se preparen, porque como estas habrá muchas más. Por lo menos MtGox ha demostrado varias veces estar a la altura. Yo confío en ellos y estoy seguro de que responderán bien y saldrán reforzados. Nadie está exento de meter la pata, así que sólo les podemos valorar por cómo responden una vez que les ha pasado. Ya veremos cómo responde MtGox.
Mejor explicado imposible. Y +1 en lo final.