Neue Sicherheitslücke bei Mtgox

[winnetou]

--> http://www.thinq.co.uk/2011/6/28/mt-gox-flaw-opens-door-free-bitcoins/

Das beste daran:

Huff has alerted the site to his findings, and advised that Mt. Gox suspends all trading until the flaw is fixed.

Our attempts to raise someone at Mt. Gox have been met with an automated message warning: "Our help desk is experiencing unusually high traffic currently. We regret to inform you that you will experience some delays - currently 48-72 hrs - in us getting back to you."


Read more: http://www.thinq.co.uk/2011/6/28/mt-gox-flaw-opens-door-free-bitcoins/#ixzz1QbR1vXOz

Wäre vlt doch mal Zeit für Mtgox eine Notfallhotline einzurichten oder ihr System von ein paar Experten durchchecken zu lassen...

[1715048450]

1715048450

[1715048450]

1715048450

[1715048450]

1715048450

[1715048450]

1715048450

[1715048450]

1715048450

[1715048450]

1715048450

[antares]

lol, wir werden schon wieder gegoxed?

[mipl]

Naja... ich weiß nicht ob das funktioniert. Die "Lücke" ist folgende:

Du hast 100 US$ Guthaben bei Mt.Gox, dafür orderst Du 10 BTC für je 10 US$ (Ausführung nicht sofort!). Der Auftrag wandert ins Orderbuch... und Du ziehst Deine US$ ab. Die Order bleibt stehen und wird (vielleicht???) ausgeführt, sobald der Preis erreicht ist... und dann zieht man die Bitcoin ab.

Soweit ich Mt.Gox durchblicke funktioniert das aber nicht, da im Falle eines möglichen Trade nur für so viele US$ Bitcoins gekauft werden, wie verfügbar sind. Das ist also in meinen Augen nur logischer/optischer Bug bei der Anzeige des Orderbuches. Er könnte aber durch die offenstehende Order den Kurs beeinflussen...

Guckst Du hier: http://seclists.org/fulldisclosure/2011/Jun/517

[Müller]

Er könnte aber durch die offenstehende Order den Kurs beeinflussen...

Nein, das ist nicht möglich. Entweder, die Order wird noch nicht ausgeführt, dann hat sie keinen Einfluss auf den Kurs. Oder die Order soll ausgeführt werden und wird dann gelöscht weil kein Geld vorhanden ist. Auch dann hat sie keinen Einlfuss auf den Kurs.

Mal abgesehen von psychologischen Wirkungen, jemand könnte mit dem gleichen Geld immer und immer neue Angebote einstellen, die dann eine Sicherheit suggerieren die aber sobald sie gebraucht werden würde, wie eine Blase zerplatzt, ist also keine echte Wirkung vorhanden.

[mipl]

Ja, den psychologischen Faktor meinte ich auch eher... denn diese Schein-Orders würden ja hier auftauchen: http://bitcoincharts.com/charts/mtgoxUSD/accumulated_orderbook.png

[LeFBI]

MagicalTux weiß schon bescheid darüber, wird hier diskutiert:
http://forum.bitcoin.org/index.php?topic=23509.0

It will not execute, and I told you it'll be fixed in a couple of hours. Thanks for disclosing this before.

Ist also nicht wirklich eine Sicherheitslücke sondern einfach nur ein bug.

[klaus]

- völlig sinnbefreite Diskussion. Die Umsatzzahlen (MtGox/Tradehill/bitcoin7) sind absolut eindeutig. Da kann man schimpfen und stampfen wie ein kleines Kind, es ändert nichts.

- Ich bin zufrieden mit mtgox - punkt.

- Alle die es nicht sind können gerne in den Kindergarten gehen, fleißig wie Bienchen Ihre Refcodes austauschen und und und.  Ich werde sie nicht vermissen.



So sehen das die erwachsenen - aber bitte, meckert weiter.   Platz nach unten ist unbegrenzt da:

[mipl]

Sinnfrei ist das nicht. Ich bleibe aber auch bei Mt.Gox, weil ich da jetzt *weiß*, dass die Hashes selbst nach einem Diebstahl wertlos sind
Trotzdem habe ich auch Accounts bei anderen Börsen... streuen schadet nie