Alertas Mercado y Economía Bitcoin

[aTg]

El problema es que uno puede, podía, intentar sacar BTC de mtgox y al ver la transacción en la red, modificarla ligeramente sin provocar que se convirtiera en inválida y volver a enviarla. Al modificarla, el txid cambia. Si esta transacción modificada acaba en un bloque (en lugar de la original), entonces se podía ir a mtgox a quejarse de no haber recibido las coins solicitadas. mtgox iría a consultar la cadena de bloques, vería que el txid en efecto no se incluyó en ningún bloque, y te enviaría las coins de nuevo.

La solución inmediata pasa por usar otro identificador para la transacción, que no sea el txid, pues está visto que éste puede modificarse. A largo plazo el plan es que el txid no se pueda modificar (ya están trabajando en ello, https://gist.github.com/sipa/8907691).

Esto debe de haber sido explotado también en los pools aunque no hayan dado cuenta de ello y seguramente en algunos servicios de billetera online.

Para modificar la transacción se necesita una cierta capacidad de hash, por lo que sospecho que algún pool puede estar metido en el ataque, Para ser vulnerable tienes que atender solicitudes de reenvío de fondos por lo que los casos se pueden aislar con facilidad, ahora la pregunta es, una vez Gox es imposible de atacar porque cierran el chiringuito, donde han redirigido el ataque?

[1715144086]

1715144086

[1715144086]

1715144086

[1715144086]

1715144086

[1715144086]

1715144086

[fernarios]

Coindesk ya escribió su artículo, me alegra ver que hay muchos que comparten mi opinión de esto, no es más que un pretexto de MtGox para poner una cortina de humo a su absoluta incompetencia.

It has nothing to do with the protocol. It’s just incompetence of the [Mt. Gox] developers. It’s their fault to rely on transaction hashes although transaction malleability is nothing new.

'm calling bullshit on this. Transaction malleability in the Bitcoin protocol has been known since 2011 yet the only exchange that's reporting serious problems is Mt. Gox.

I have a sneaking suspicion that the technical issue is on their end, but instead they're blaming the underlying Bitcoin technology in the hopes of spreading FUD so the price will crash upon which they can buy cheaper bitcoins to payoff/cover their bad debts. Why? Because Mt. Gox is a fractional reserve scam.

[erizo]

El problema es que uno puede, podía, intentar sacar BTC de mtgox y al ver la transacción en la red, modificarla ligeramente sin provocar que se convirtiera en inválida y volver a enviarla. Al modificarla, el txid cambia. Si esta transacción modificada acaba en un bloque (en lugar de la original), entonces se podía ir a mtgox a quejarse de no haber recibido las coins solicitadas. mtgox iría a consultar la cadena de bloques, vería que el txid en efecto no se incluyó en ningún bloque, y te enviaría las coins de nuevo.

La solución inmediata pasa por usar otro identificador para la transacción, que no sea el txid, pues está visto que éste puede modificarse. A largo plazo el plan es que el txid no se pueda modificar (ya están trabajando en ello, https://gist.github.com/sipa/8907691).

Esto debe de haber sido explotado también en los pools aunque no hayan dado cuenta de ello y seguramente en algunos servicios de billetera online.

Para modificar la transacción se necesita una cierta capacidad de hash, por lo que sospecho que algún pool puede estar metido en el ataque, Para ser vulnerable tienes que atender solicitudes de reenvío de fondos por lo que los casos se pueden aislar con facilidad, ahora la pregunta es, una vez Gox es imposible de atacar porque cierran el chiringuito, donde han redirigido el ataque?

Pero entonces ¿es un fallo del protocolo Bitcoin, o una mala implementación, como dice Fernarios?, no me queda claro...

[aTg]

Para que todo el mundo lo entienda, MtGox estaba dando por buenas transacciones de 0 confirmaciones.

[cyclops]

Para que todo el mundo lo entienda, MtGox estaba dando por buenas transacciones de 0 confirmaciones.

Manipulación del mercado, habrán comprado BTCs de sus usuarios a manos llenas con esta caída. Para luego vender cuando la gente se diera cuenta de lo idiotas que son al atribuir su incompetencia al Bitcoin

[dserrano5]

sipa ha puesto un parche hoy según el que se define un txid normalizado que no cambiaría en ningún caso. Esta viene siendo la demanda de mtgox para solucionar sus problemas, lo que nos indica dos cosas: a) los desarrollatas están de acuerdo y el tema se mueve, y b) que gox diga que tiene "problemas técnicos" no es una tapadera.

[erizo]

sipa ha puesto un parche hoy según el que se define un txid normalizado que no cambiaría en ningún caso. Esta viene siendo la demanda de mtgox para solucionar sus problemas, lo que nos indica dos cosas: a) los desarrollatas están de acuerdo y el tema se mueve, y b) que gox diga que tiene "problemas técnicos" no es una tapadera.

Esto es una noticia importante, ¿esto implica que deben actualizarse ya, incorporando este parche, todos los clientes Bitcoin, como MultiBit, Bitcoin-Qt, etc, además de las todas Wallet Web?

[ioxoi]

el parche es realmente simple, y mtgox perfectamente podia haberlo desarrollado internamente y publicarlo, para algo bitcoin es software libre, simplemente define un unica manera para generar el tx-id y saber si ha sido manipulado o no.
el problema es cuando la tranaccion manipulada es la aceptada, con lo que la unica manera de saber si se ha suplantado la transaccion con un tx-id distitnto es hacer una busqueda por origen y destino del pago.
tengo la sensacion que incluir esta información o busqueda es un cambio demasiado grande para Gox, con lo que hasta que no se distribuya por todos los clientes bitcoin, cosa que presupongo que no ucurrira nunca saslvo catastrofe en alguna version actual o futura de bitcoin (monederos offline, plataformas odificadas, etc), asi que gox puede seguir echando balones fuera y asando gallinas de los huevos de oro, pero la solución sgue pando por registrar y validar los detalles de la transacción.
lo que no consigo entenender, ¿es que tiene que ver este bug con transacciones autenticascon afectadas por doble gasto?
lo único que se me ocurre es que han pagado con monederos de los que les han limpiado una cantidad importante de bitcoins mediante la reclamación de transacciones con tx-id manipulados, si esto es así, quizas el problema sea mucho mayor de lo que parece.

temome que esto solo es el principio.

[erizo]

tengo la sensacion que incluir esta información o busqueda es un cambio demasiado grande para Gox, con lo que hasta que no se distribuya por todos los clientes bitcoin, cosa que presupongo que no ucurrira nunca saslvo catastrofe en alguna version actual o futura de bitcoin (monederos offline, plataformas odificadas, etc), asi que gox puede seguir echando balones fuera y asando gallinas de los huevos de oro, pero la solución sgue pando por registrar y validar los detalles de la transacción.

temome que esto solo es el principio.

Perdona, pero no acabo de entender esto ¿por qué no se va a distribuir entre todos los clientes Bitcoin?. Será tan fácil como descargarse una nueva versión del cliente, y en los monederos online, la aplicaran fácilmente, ¿no?

Si es un problema, ¿porqué no se van a aplicar las actualizaciones?

[ioxoi]

tengo la sensacion que incluir esta información o busqueda es un cambio demasiado grande para Gox, con lo que hasta que no se distribuya por todos los clientes bitcoin, cosa que presupongo que no ucurrira nunca saslvo catastrofe en alguna version actual o futura de bitcoin (monederos offline, plataformas odificadas, etc), asi que gox puede seguir echando balones fuera y asando gallinas de los huevos de oro, pero la solución sgue pando por registrar y validar los detalles de la transacción.

temome que esto solo es el principio.

Perdona, pero no acabo de entender esto ¿por qué no se va a distribuir entre todos los clientes Bitcoin?. Será tan fácil como descargarse una nueva versión del cliente, y en los monederos online, la aplicaran fácilmente, ¿no?

Si es un problema, ¿porqué no se van a aplicar las actualizaciones?

por ejemplo, yo tengo un portatil sin conexion a internet, tiene versiones de hace casi un año y cuando necesito sacar dinero genero la transaccion con este pc/software y la emito a la red con un equipo online o servicio web.
otros sitemas han modificado el cliente bitcoin para adaptarlo a sus necesidades con lo que cambiar de version no es trivial y no lo haran salvo que no quede mas remedio y se planifique adecuadamente. por ejemplo, se me ocurren los monederos hw y cajeros.
piensa que le problema es en la identificación de la transaccion generada por el cliente no en la transaccion en si (el tx-id no es parte de la transaccion), los bitcoins llegan al monedero destino pero con otro identificador de transaccion distinto, solo hay que ser un poco "avispado" y aprobecharse del "potente" servicio de atencion al cliente de mtgox, para reclamar que esa transaccion con ese identificador no te ha llegado.
una verificación rapida por una persona competente verificaria que se ha emitido un pago con las misma direccione origen y destino y cantidad pero con un identificador distinto. parace que esta verificación no la han estado haciendo en gox y aún peor no son capaces de hacerlo en el fututro

[dserrano5]

lo que no consigo entenender, ¿es que tiene que ver este bug con transacciones autenticascon afectadas por doble gasto?

- Hago click en retirar bitcoins.
- Mtgox genera una transacción.
- Debido a un bug en mtgox (la firma está mal codificada), la transacción no se propaga por la red.
- Yo, que sé cómo funciona el asunto, obtengo la transacción del API de mtgox (https://data.mtgox.com/api/0/bitcoin_tx.php) (esto ya no es posible, pues debido a un problema de seguridad han decidido ocultar parte de los detalles).
- Modifico la codificación de la firma para que sea correcta. Al hacer esto, el txid cambia.
- Publico la transacción a la red, se propaga y se incluye en un bloque.
- Mtgox ni se entera de este detalle (este es el bug del que tanto se ha hablado hoy). Concretamente, sigue pensando que los outputs están sin gastar.
- Cuando algún otro usuario hace click en retirar bitcoins, es posible que mtgox intente usar estos outputs. Pero oops, ya están usados (en mi transacción recibida). Y aquí tienes el intento de doble gasto.

[ioxoi]

uffffsssssss
entonces sabemos que a mt. gox les han levantado una cantidad de bitcoins, que no sabemos si es simbolica, impotrante o escandalosa.

madrecita que miedo,  menos mal que saque la mayoría de mis btc hace un par de semana de gox, a ver como saco la pasta 

[erizo]

tengo la sensacion que incluir esta información o busqueda es un cambio demasiado grande para Gox, con lo que hasta que no se distribuya por todos los clientes bitcoin, cosa que presupongo que no ucurrira nunca saslvo catastrofe en alguna version actual o futura de bitcoin (monederos offline, plataformas odificadas, etc), asi que gox puede seguir echando balones fuera y asando gallinas de los huevos de oro, pero la solución sgue pando por registrar y validar los detalles de la transacción.

temome que esto solo es el principio.

Perdona, pero no acabo de entender esto ¿por qué no se va a distribuir entre todos los clientes Bitcoin?. Será tan fácil como descargarse una nueva versión del cliente, y en los monederos online, la aplicaran fácilmente, ¿no?

Si es un problema, ¿porqué no se van a aplicar las actualizaciones?

por ejemplo, yo tengo un portatil sin conexion a internet, tiene versiones de hace casi un año y cuando necesito sacar dinero genero la transaccion con este pc/software y la emito a la red con un equipo online o servicio web.
otros sitemas han modificado el cliente bitcoin para adaptarlo a sus necesidades con lo que cambiar de version no es trivial y no lo haran salvo que no quede mas remedio y se planifique adecuadamente. por ejemplo, se me ocurren los monederos hw y cajeros.
piensa que le problema es en la identificación de la transaccion generada por el cliente no en la transaccion en si (el tx-id no es parte de la transaccion), los bitcoins llegan al monedero destino pero con otro identificador de transaccion distinto, solo hay que ser un poco "avispado" y aprobecharse del "potente" servicio de atencion al cliente de mtgox, para reclamar que esa transaccion con ese identificador no te ha llegado.
una verificación rapida por una persona competente verificaria que se ha emitido un pago con las misma direccione origen y destino y cantidad pero con un identificador distinto. parace que esta verificación no la han estado haciendo en gox y aún peor no son capaces de hacerlo en el fututro

Pero bueno, todo esto no es diferente a cualquier problema de actualización de sotware,  entiendo que si hay un tema susceptible de ocasionar problemas de seguridad, todo el mundo debería actualizarse. Es más, el protocolo Bitcoin de ninguna manera debería aceptar transacciones de clientes desactualizados, con lo cual se podrían ir solventando futuros problemas y mejoras, que unas u otras 100% seguro que las habrá. Es que si no, se van a seguir produciendo situaciones como ésta o aún más graves, lo que yo no tengo ni idea es de cómo se podría implementar eso, respetando el blockchain.

[edukoBIT]

lo que no consigo entenender, ¿es que tiene que ver este bug con transacciones autenticascon afectadas por doble gasto?

- Hago click en retirar bitcoins.
- Mtgox genera una transacción.
- Debido a un bug en mtgox (la firma está mal codificada), la transacción no se propaga por la red.
- Yo, que sé cómo funciona el asunto, obtengo la transacción del API de mtgox (https://data.mtgox.com/api/0/bitcoin_tx.php) (esto ya no es posible, pues debido a un problema de seguridad han decidido ocultar parte de los detalles).
- Modifico la codificación de la firma para que sea correcta. Al hacer esto, el txid cambia.
- Publico la transacción a la red, se propaga y se incluye en un bloque.
- Mtgox ni se entera de este detalle (este es el bug del que tanto se ha hablado hoy). Concretamente, sigue pensando que los outputs están sin gastar.
- Cuando algún otro usuario hace click en retirar bitcoins, es posible que mtgox intente usar estos outputs. Pero oops, ya están usados (en mi transacción recibida). Y aquí tienes el intento de doble gasto.

Gracias por la explicación dserrano.

Ahora el tema es, en caso de que haya podido ser así ¿cual es dicha cantidad? , ¿es hasta el punto de que es el fin de que si todo el mundo queire sacar sus bitcoins de mtgox no hay fondos para todos?

El tema también es el precedente que puede repercutir a nivel mediatico, como puede afectar esto a bitcoin.

Desde luego la fortaleza de hoy de bitcoin, ha sido increible...

Veremos a ver como reacciona mtgox...

[ioxoi]

lo que no consigo entenender, ¿es que tiene que ver este bug con transacciones autenticascon afectadas por doble gasto?

- Hago click en retirar bitcoins.
- Mtgox genera una transacción.
- Debido a un bug en mtgox (la firma está mal codificada), la transacción no se propaga por la red.
- Yo, que sé cómo funciona el asunto, obtengo la transacción del API de mtgox (https://data.mtgox.com/api/0/bitcoin_tx.php) (esto ya no es posible, pues debido a un problema de seguridad han decidido ocultar parte de los detalles).
- Modifico la codificación de la firma para que sea correcta. Al hacer esto, el txid cambia.
- Publico la transacción a la red, se propaga y se incluye en un bloque.
- Mtgox ni se entera de este detalle (este es el bug del que tanto se ha hablado hoy). Concretamente, sigue pensando que los outputs están sin gastar.
- Cuando algún otro usuario hace click en retirar bitcoins, es posible que mtgox intente usar estos outputs. Pero oops, ya están usados (en mi transacción recibida). Y aquí tienes el intento de doble gasto.

no entiendo entonces a que viene el parche, yo lo habia entendido como una cndicion  de carrera, capturar la trasaccion, modificarla y enviarla a un nodo de la red.

[guruguru]

Cambiando un poco de tema:

http://www.coindesk.com/microsoft-bing-search-engine-bitcoin-currency-conversions/

Que parecía que ya no habían buenas noticias

[fernarios]

Nadie tiene que actualizar urgentemente nada, bitcoin para la mayoría seguirá funcionando exactamente igual sin ningún inconveniente, el único que tiene que hacer algo es MtGox y cambiar su mediocre servicio al cliente que fue el origen de SU problema.

HURR DUURRR soy el presidente de MtGox, mi implementación del API es una porquería, y mi sistema de transacciones es un despelote, pero no hago nada hasta que el problema reviente, mientras tanto le digo a mis mediocremente capacitados funcionarios de servicio al cliente que simplemente repitan todas las transacciones que reclamen como no pagadas, cuando el problema revienta lanzo un comunicado culpando a un "bug" que se descubrió hace años, ese "bug" que me ha afectado durante mucho tiempo y que nunca hice nada al respecto, causo pánico culpando al protocolo agregando además una frase que genere desconfianza en el sistema como "it's important to remember that Bitcoin is a very new technology and still very much in its early stages", obviamente el precio baja y compro barato. HURRR DURRR mis clientes fieles me siguen defendiendo y creyendo en mi buena fe, sigo siendo el precio de referencia HURRRRRRRRRRR.

Ni siquiera sé si se puede llamar "arreglo de un bug" a ese cambio, se tiene que ser muy idiota y muy desordenado para que represente un problema... simplemente debían ordenar mejor las cosas y ser más responsables en su servicio al cliente, pero no, es mucho más cómodo culpar al "bug" de hace años, aquel que nunca le ha causado problemas a ninguna exchange ni wallet en línea excepto a gox... claro qué conveniente, ¿cuál será el próximo culpable de su incompetencia?, ¿el 51%? o ¿el anonimato de Satoshi Nakamoto?.

[fernarios]

Cambiando un poco de tema:

http://www.coindesk.com/microsoft-bing-search-engine-bitcoin-currency-conversions/

Que parecía que ya no habían buenas noticias

Hummm estoy esperando a que google haga esto hace meses xD de vez en cuando lo intento, pero nada .

[dserrano5]

Ahora el tema es, en caso de que haya podido ser así ¿cual es dicha cantidad? , ¿es hasta el punto de que es el fin de que si todo el mundo queire sacar sus bitcoins de mtgox no hay fondos para todos?

No creo que sea mucho y, en cualquier caso, no debemos olvidar que mtgox sabe quiénes somos (KYC). Si quieren, pueden ir a la poli y recuperar el dinero por las malas.

(diría más pero es que estamos offtopic; he intentado separar el hilo pero el foro no me permite separar todo lo que quiero)

[guruguru]

Ahora hay problemas con la retirada de btc desde  btc-e.com