twbt
Legendary
 Offline
Activity: 994
Merit: 1098
An AA rated Bandoneonista
|
 |
January 07, 2015, 12:43:01 AM
Last edit: January 07, 2015, 12:55:10 AM by twbt |
|
Ich denke was OhShei8e meint ist:
Bei mtgox gab es vorher auch viele viele kleine 'Schluckauf' - was ja auch so war.
Wenn man jetzt nach dem Blackout erstmal alles holt und 2-3 Monate (mindestens) wartet macht man keinen Fehler.
Oder eben Fiat hin, kaufen, abziehen, fertig. Wenns geklappt hat wiederholen bei Bedarf.
Aber liegen lassen wie auf einem deutschen Bankkonto? Fehler!
Würde ich auch so sehen, ja. - Unterscheidet die Situation auch von der Gox-Pleite: man kann bei Bitstamp (wahrscheinlich) auch das FIAT (sofern dort vorhanden) weiterhin abziehen nach der Wiedereröffnung, wenn man da rausmöchte. Gibt es einen BTC- & FIAT-Run, dann wird es turbulent. EDIT: Wer auf einen BTC-Run bei Bitstamp spekulieren möchte, der sollte dort sein Fiat schon mal zeitig in Stellung bringen. Da gäbe es dann günstige Bitcoins.  Ehr das Gegenteil. Ja, die Leute könnten auch mit ihrem FIAT dort in BTCs "flüchten". - Schwierige Konstellation. |
|
|
|
|
|
|
|
|
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
klaus
Legendary
Offline
Activity: 1932
Merit: 1004
|
|
January 07, 2015, 12:55:08 AM |
|
Unbestritten ist doch das jemand unbefugtes im System war.
Wer kann schon sagen was der, außer die 19k zu holen, hinterlassen hat.
Bitstamp ist nicht Google oder Microsoft mit einer Armee an Programmierern.
Das werden 2; max 4 sein - wenn überhaupt. Vielleicht nur einer.
Der Schwerpunkt der MA arbeitet als Supportler im Ticketsystem.
|
bitmessage:BM-2D9c1oAbkVo96zDhTZ2jV6RXzQ9VG3A6f1
threema:HXUAMT96
|
|
|
twbt
Legendary
Offline
Activity: 994
Merit: 1098
An AA rated Bandoneonista
|
|
January 07, 2015, 01:00:09 AM |
|
Sie ziehen das Ding (in den USA) gerade in komplett neuer Umgebung neu hoch. Um genau das zu vermeiden. - Spielen sie dann allerdings ein "Backup" von einem zuvor entsprechend kompromittierten System wieder ein, haben sie "das Ding" auch wieder (in den USA).
Einigen wir uns darauf: am besten abziehen. Oder das wahrscheinliche Kurs-Chaos nutzen. - Der Genießer macht wahrscheinlich: gar nichts.
EDIT: "Unbestritten ist doch das jemand unbefugtes im System war." - Das genau ist nicht wirklich klar. Wenn es der "Angriff" war, der bislang vermutet wird, ist das kein Angriff innerhalb des Systems von Stamp.
|
|
|
|
d5000
Legendary
Offline
Activity: 3892
Merit: 6095
Decentralization Maximalist
|
|
January 07, 2015, 01:28:56 AM |
|
@twbt: Wenn ich es richtig verstehe, hat jemand - laut dieser Theorie - die vom Zufallsgenerator generierte Zahlenreihe und damit die Private Keys der aus diesen Pseudozufallszahlen generierten Deposit-Adressen ermitteln können, richtig?
Dann wäre ja die Lösung relativ einfach: künftig einen echten (chemisch/physikalisch etc.) Zufallsgenerator zu verwenden.
|
|
|
|
ImI
Legendary
Offline
Activity: 1946
Merit: 1019
|
|
January 07, 2015, 01:33:39 AM |
|
quelle für die theorie?
|
|
|
|
|
d5000
Legendary
Offline
Activity: 3892
Merit: 6095
Decentralization Maximalist
|
|
January 07, 2015, 01:48:09 AM |
|
Habs irgendwo auf Reddit gelesen, es wird ein "RNG attack" vermutet (Random-Number-Generator-Attack, siehe https://en.wikipedia.org/wiki/Random_number_generator_attack). Wie er genau ausfiel und welche Zufallszahlen "erraten" werden konnten weiß ich aber nicht. Hier wird was vom "R-Wert" geschrieben, der Teil der Bitcoin-Signatur ist - da kenn ich mich aber zu wenig aus. |
|
|
|
dsattler
Legendary
Offline
Activity: 924
Merit: 1000
|
|
January 07, 2015, 02:37:16 AM |
|
@twbt: Wenn ich es richtig verstehe, hat jemand - laut dieser Theorie - die vom Zufallsgenerator generierte Zahlenreihe und damit die Private Keys der aus diesen Pseudozufallszahlen generierten Deposit-Adressen ermitteln können, richtig?
Dann wäre ja die Lösung relativ einfach: künftig einen echten (chemisch/physikalisch etc.) Zufallsgenerator zu verwenden.
Soweit ich weiß war die Ursache ein Fehler in einer Open-Source-Bibliothek, der aber inzwischen behoben ist. Die Zufallszahlen sollten jetzt also auch ohne "echten" Zufallsgenerator zufällig genug und nicht mehr für RNG-Angriffe anfällig sein. Optimal wäre natürlich ein physikalischer Zufallsgenerator, so eine Quelle wird bereits als Web-Dienst angeboten. Ich glaube gelesen zu haben, dass der auf dem Zerfall von Isotopen basiert. Man nimmt also diese Daten und mischt sie zur Sicherheit noch mit den herkömmlich erzeugten Zufallszahlen (zur Sicherheit, falls der Web-Dienst gehackt wurde). Ich weiß aber nicht, ob das schon jemand macht. |
Bitcointalk member since 2013!
|
|
|
d5000
Legendary
Offline
Activity: 3892
Merit: 6095
Decentralization Maximalist
|
|
January 07, 2015, 04:09:30 AM |
|
@dsattler: Danke für die Erklärung! Der "Web-Dienst" wäre mir (aus Laien-Sicht) aber zu unsicher ... wenn dann ein Hacker meine Leitung zum Dienst abhört (wird wohl verschlüsselt sein, aber trotzdem, wenn er den Webdienst hackt ...) hat er womöglich wieder die Hälfte der Entropie meiner Zufallszahl.
|
|
|
|
Gyrsur
Legendary
Offline
Activity: 2856
Merit: 1518
Bitcoin Legal Tender Countries: 2 of 206
|
|
January 07, 2015, 04:47:59 AM |
|
zu dem blockchain wallet hack gibt es auch einen thread. vieleicht gibt er mehr aufschluss wenn der bitstamp hack nach dem selben muster abgelaufen ist. https://bitcointalk.org/index.php?topic=581411.0 |
|
|
|
david123
Legendary
Offline
Activity: 1022
Merit: 1004
|
|
January 07, 2015, 07:03:15 AM |
|
Interessant wäre was johoe dazu sagt. Der hat den Hack ja ge/erfunden.
Er könnte bestimmt schnell sagen, ob es ein gleichartiges Problem war oder nicht.
|
|
|
|
|
el_rlee
Legendary
Offline
Activity: 1600
Merit: 1014
|
|
January 07, 2015, 07:08:51 AM |
|
Interessant wäre was johoe dazu sagt. Der hat den Hack ja ge/erfunden.
Er könnte bestimmt schnell sagen, ob es ein gleichartiges Problem war oder nicht.
Sein detektor is doch eh open source? Ich vermute mail kein RNG Problem... |
|
|
|
|
david123
Legendary
Offline
Activity: 1022
Merit: 1004
|
|
January 07, 2015, 07:15:15 AM |
|
Ja, dass es genau das gleiche Problem wie bei blockchain.info war ist wohl
auszuschliessen. Aber vielleicht ein etwas subtileres Zufallszahlen-Problem?
Er scheint sich jedenfalls gut auszukennen und keine bösen Absichten zu haben,
ich denke es wäre gut wenn er bei der Aufklärung mithilft (macht er ja vielleicht
schon)
|
|
|
|
|
|
meph
|
|
January 07, 2015, 07:32:44 AM |
|
 da war wisdom diesmal aber schneller als bei gox |
|
|
|
|
roselee
Legendary
Offline
Activity: 1078
Merit: 1000
|
|
January 07, 2015, 07:45:57 AM |
|
eine frage am rande . was macht so ein hacker dann mit den coins?
wenn ichs richtig verstehe kann man jeden coin nachverfolgen.
der muss sie doch ganz schnell in fiat tauschen oder ?
|
|
|
|
|
|
OhShei8e
Legendary
Offline
Activity: 1750
Merit: 1059
|
|
January 07, 2015, 09:33:40 AM |
|
Soweit ich weiß war die Ursache ein Fehler in einer Open-Source-Bibliothek, der aber inzwischen behoben ist. Die Zufallszahlen sollten jetzt also auch ohne "echten" Zufallsgenerator zufällig genug und nicht mehr für RNG-Angriffe anfällig sein.
Gibt heutzutage keinen Grund mehr ohne echte Zufallszahlen zu arbeiten. Für meine Projekte nutze ich den haveged-Dämon. Das ist Entropie für "Arme" sozusagen. Kommt auch auf den meisten Linuxbüchsen zum Einsatz. Wäre ich eine Bitcoinbörse, würde ich das aber wahrscheinlich in HW machen. Jedenfalls würde ich speziell diesen Punkt sehr genau planen und durchdenken, vielleicht auch mit mehren unabhängigen Quellen arbeiten. Kaputte Zufallzahlengeneratoren haben Tradition, nicht zuletzt unter Linux. Wenn die SW Unsinn treibt ist man quasi machtlos. Da nützt einem dann auch die beste Entropie-Quelle nichts. Das perfide ist, man merkt das erstmal nicht. Falls ihr Paperwallets und Dergleichen anstatt des Standardclients benutzt, sollte ihr auch mal schauen, was da an der Stelle zum Einsatz kommt. Einige dieser Seiten lassen den Nutzer die Entropie erzeugen. Macht man heute eigentlich nicht mehr so und die Frage ist auch, was dieses Javascript-Geraffel dann daraus macht und ob das in jedem Browser gleich funktioniert. Ich verwende u.a. deshalb bis heute nur den Standardclient. Aber selbst da kann man Schiffbruch erleiden, wenn die Bibliotheken kaputt sind/waren. Ist ein ganz schwieriges Thema. Aber zumindest hinterher ist man immer klüger.  |
|
|
|
|
600watt
Legendary
Offline
Activity: 2338
Merit: 2106
|
|
January 07, 2015, 09:40:50 AM |
|
[/b] dann wären 5 mio ja fast peanuts...  |
|
|
|
|
nrg1zer
Legendary
Offline
Activity: 1190
Merit: 1000
|
|
January 07, 2015, 10:09:20 AM |
|
Mal ne ganz andere Sache. Wenn die Leute jetzt anfangen wie irre Coins nachzukaufen, wird der Kurs ja um ein paar Taler steigen, aber was passiert, wenn die 100.000 coins von SR2.0 in den Markt geworfen werden?
|
|
|
|
|
600watt
Legendary
Offline
Activity: 2338
Merit: 2106
|
|
January 07, 2015, 10:16:51 AM |
|
Mal ne ganz andere Sache. Wenn die Leute jetzt anfangen wie irre Coins nachzukaufen, wird der Kurs ja um ein paar Taler steigen, aber was passiert, wenn die 100.000 coins von SR2.0 in den Markt geworfen werden?
dann hat draper sein comeback |
|
|
|
|
|
xchrix
|
|
January 07, 2015, 10:25:44 AM |
|
man liest jetzt iwie immer mehr artikel wo die leute von 100-200 USD preis für bitcoin ausgehen und irgendwie alle wieder auf den boden geholt werden. ehrlich gesagt glaub ich mittlerweile auch schon daran aber im hinterkopf hab ich noch einen funken hoffnung sodass ich mich einfach nciht dazu aufraffen kann meine coins zu verkaufen. ich denk mir jede woche das war jetzt die "final capitulation" was habt ihr die letzten tage gemacht? verkauft oder aufgesammelt? |
|
|
|
|
|
