MTGOX prova a ribaltare il tavolo !!!

[jkoin]

quei picchi di 102$ dollari toccati da btc-e sono stati toccati anche da bitfinex e su huobi i 3500 sono dovuti alle "margin call" di chi trada a margine. Nessun bot quindi ma semplici regole che reggono i mercati speculativi.

Scusa l'ignoranza finanziara, ma cos'è una margin call? Ho letto un paio di definizioni su internet ma non riesco a capirne il senso (per lo meno calata nel contesto in cui ho visto quell'ordine di acquisto a 102$ su btc-e, quando se avessero voluto svendere potevano farlo a prezzi molto più alti di 102).

[1715134940]

1715134940

[1715134940]

1715134940

[1715134940]

1715134940

[1715134940]

1715134940

[TulipBit]

L'unico disagio reale è quello di rallentare (di qualche ora?) le conferme delle transazioni se l'attacco è della portata di quello messo in atto oggi. Viceversa rimane il solito "non problema" dal momento che la rete la smaltisce in fretta una piccola "nebbia" di robaccia malformata.
Cerchiamo di non farla diventare più grossa del dovuto

mmm....se chi attacca rebroadcasta le transazioni in maniera 0.8+ compliant a chi ha fatto la transazione iniziale non rimane che aggiornare il client a quella versione, operazione facile per un utente, meno per un exchanger o per chi gestisce tante transazioni

vero e questa credo sia la vera causa per cui anche gli altri exchange hanno chiuso momentaneamente i rubinetti e si stiano coordinando anche con le pool per arginare la cosa.
Alla fine resto comunque uno "nuovo" dell'ambiente, ma mi domando: è mai possibile che in tutti questi anni non ci siano mai stati DoS interni che sfruttavano il protocollo nella rete bitcoin? Non mi sembra mica tanto difficile poter mandare pacchetti malformati in giro... forse in questo caso il problema è più evidente solo perché l'attacco ha tutta l'aria di essere ben organizzato in termini di banda e ben amplificato... staremo a vedere

[TulipBit]

quei picchi di 102$ dollari toccati da btc-e sono stati toccati anche da bitfinex e su huobi i 3500 sono dovuti alle "margin call" di chi trada a margine. Nessun bot quindi ma semplici regole che reggono i mercati speculativi.

Scusa l'ignoranza finanziara, ma cos'è una margin call? Ho letto un paio di definizioni su internet ma non riesco a capirne il senso (per lo meno calata nel contesto in cui ho visto quell'ordine di acquisto a 102$ su btc-e, quando se avessero voluto svendere potevano farlo a prezzi molto più alti di 102).

Le definizioni servono a poco (storicamente era la telefonata che ti faceva il broker di turno per dirti di buttare altri soldi nella bisca se non volevi rischiare di perdere tutto)  e personalmente posso garantirti che lo si capisce davvero a fondo solo quando ci si ritrova coinvolti e per esperienza personale sinceramente non te lo auguro...  
Per provare a riassumertela in modo più o meno comprensibile diciamo che quando tradi con leva (che sia a 2.5 o a 1000 è indifferente) non stai comprando e non stai vendendo btc reali, ma vendi e compri delle "posizioni" che ovviamente possono essere rialziste o ribassiste. I tuoi btc invece servono esclusivamente come deposito per garantire all'exchange di turno di non fare bancarotta per le minchiate che tu stesso potresti fare.
Per concludere nel caso dell'altro ieri c'era tanta gente che comprava posizioni a "buon prezzo" e che aveva la chiamata a margine entro i 103$... sicuramente un supporto troppo grosso per pensare di rimanere inchiappettati... eppure come puoi vedere è andata proprio così.

una fonte spiegata benino: http://www.obbiettivoforex.it/margine-ed-effetto-leva-nel-forex.asp

PS: una nota interessante è che quando si introduce la possibilità di tradare a margine anche gli stessi volumi del sottostante subiscono un'ulteriore amplificazione...

[bitcoinplaza]

L'unico disagio reale è quello di rallentare (di qualche ora?) le conferme delle transazioni se l'attacco è della portata di quello messo in atto oggi. Viceversa rimane il solito "non problema" dal momento che la rete la smaltisce in fretta una piccola "nebbia" di robaccia malformata.
Cerchiamo di non farla diventare più grossa del dovuto

mmm....se chi attacca rebroadcasta le transazioni in maniera 0.8+ compliant a chi ha fatto la transazione iniziale non rimane che aggiornare il client a quella versione, operazione facile per un utente, meno per un exchanger o per chi gestisce tante transazioni

vero e questa credo sia la vera causa per cui anche gli altri exchange hanno chiuso momentaneamente i rubinetti e si stiano coordinando anche con le pool per arginare la cosa.
Alla fine resto comunque uno "nuovo" dell'ambiente, ma mi domando: è mai possibile che in tutti questi anni non ci siano mai stati DoS interni che sfruttavano il protocollo nella rete bitcoin? Non mi sembra mica tanto difficile poter mandare pacchetti malformati in giro... forse in questo caso il problema è più evidente solo perché l'attacco ha tutta l'aria di essere ben organizzato in termini di banda e ben amplificato... staremo a vedere

DoS al protocollo è difficile rilevarli, per la sua natura stessa. Occorrerebbe sinergia tra i main node.

la rete bitcoin è abbastanza resiliente ai Ddos, per fortuna e lo stiamo vedendo, sebbene questo attacco possa sembrare abbastanza ben coordinato, se non altro come tempistiche, dovrebbe implicare che siano messi in rete parecchi nodi che operano fuori standard protocollo facendosi ovviamente i comodi loro, pero non è che si puo fare cosi su due piedi, prevede come minimo un coordinamento su piu reti ed in particolare sulle subnet delle vittime e dei nodi a cui loro sono connessi, considerando poi banda e velocità richiesti non mi sembra queto il caso...questa "fog" che stiamo vedendo mi sembra piu per mettere pressione ai nongox-exchangers e far vedere che gox non era l'unico caso di worst practise, e per alimentare il clima di FUD diffuso. per ora penso questo. poi magari tra tre minuti succede altro e cambia tutto  

[mxmenga]

DoS al protocollo è difficile rilevarli, per la sua natura stessa. Occorrerebbe sinergia tra i main node.

la rete bitcoin è abbastanza resiliente ai Ddos, per fortuna e lo stiamo vedendo, sebbene questo attacco possa sembrare abbastanza ben coordinato, se non altro come tempistiche, dovrebbe implicare che siano messi in rete parecchi nodi che operano fuori standard protocollo facendosi ovviamente i comodi loro, pero non è che si puo fare cosi su due piedi, prevede come minimo un coordinamento su piu reti ed in particolare sulle subnet delle vittime e dei nodi a cui loro sono connessi, considerando poi banda e velocità richiesti non mi sembra queto il caso...questa "fog" che stiamo vedendo mi sembra piu per mettere pressione ai nongox-exchangers e far vedere che gox non era l'unico caso di worst practise, e per alimentare il clima di FUD diffuso. per ora penso questo. poi magari tra tre minuti succede altro e cambia tutto  

per questo sono convinto che dietro ci sia proprio Gox .. berlusca style

[TulipBit]

chiunque sia il mandante di quest'attacco, quello che mi sembra più che chiaro ormai è che per "qualcuno" non si è scesi ancora abbastanza a fondo... ci stanno provando in tutti i modi a far vendere alla gente i propri btc, personalmente ci vedo questo.
ma ormai chi ha i bitcoin sembra pronto a tenerseli anche se si inscenano climi catastrofici come questo, mi sembra una bella prova di maturità per la tecnologia.

Tra l'altro mi è stato segnalato da google alert questo articolo della stampa mainstream che stranamente rispetto a molti altri mi sembra veramente ben scritto: http://mytech.panorama.it/internet/bitcoin-sfiducia-mt-gox-criptovaluta

[ervalvola]

@atlantico bella analisi. D'istinto pensavo più all' ipotesi 1, ma effettivamente la 2 è molto più realistica.
Si fossero trovati nella condizione 1 avrebbero potuto provare a succhiare senza dar nell' occhio dagli altri exchange, rallentando i prelievi dal proprio con una delle scuse in cui sono maestri invece di scatenare il panico col comunicato, recuperando almeno parte delle perdite.

Io non credo che si possa "succhiare senza dare nell'occhio"; non credo che ci voglia molto a fare una somma dei bilanci degli account e vedere se è uguale al saldo della hot + cold storage; scommetto che ne fanno 10 al secondo di questi check.

Poi possono trovare un'incongruenza e non capire di che si tratta, ma se la perdita supera un livello accettabile, intanto, per il si e per il no, bloccano tutto...

Inoltre l'attacco non è perpetrato per "rubare" bitcoins, ma per generare panico...

Non so, ma l'atteggiamento di Gox mi sembra troppo coerente con l'ipotesi dell'intento speculativo...

[Atlatico]

Mettiamoci un attimo nei panni del cracker.
Ho un account su MtGox, non verificato

ervalvola, partendo da info non verificate puoi arrivare a qualsiasi conclusione considerando che io per primo sto speculando di aria fritta, la strada è infinita
Non ho un account gox, ho un account su btc-e.
Su btc-e non serve verificarsi, per fare trading. Puoi caricare e prelevare bitcoin senza verifica e anche fiat, se passi da un altro servizio (tipo okpay) nel mio caso.
Inoltre, sempre su btc-e, i limiti senza verifica sono molto alti.
Queste sono le condizioni di btc-e per un account non verificato:

* Min amount for withdrawal - 0.01 BTC.
* Be patient, transfer of funds will be before the first confirmation.
* Fee for withdrawal is 0.001 BTC.
* Daily limit on withdrawal - 100 BTC

Mi sembra che il gioco possa valere la candela

Poi possono trovare un'incongruenza e non capire di che si tratta, ma se la perdita supera un livello accettabile, intanto, per il si e per il no, bloccano tutto...

Se ci pensi è proprio quello che è successo
Non sappiamo ancora quanti soldi sono spariti da mt-gox, quanti da coinbase (vulnerabile alla stessa doppia transazione) e quanti da altri exchange.
Io credo che gox sia stato il bersaglio preferito per via della sua implementazione "particolare" del wallet... che ha consentito di succhiare bitcoin in maniera efficace.
Per il dare nell'occhio... non so quanti di voi lo ricordano ma un po' di tempo fa c'è stato un attacco alle pool scrypt (litecoin ai tempi).
In pratica si forgiavano pacchetti e si inviavano senza hashare realmente.
Un laptop poteva apparire "agli occhi della pool" come un miner da 100mhs. Beccandosi le share corrispondenti sui blocchi in realtà trovati dagli altri miner.
La cosa è andata avanti per diverse settimane, colpendo alcune pool che montavano la stessa piattaforma.
C'è voluto un po' per accorgersene e i litecoin che venivano rubati uscivano dalla cassa comune.
In quel caso hanno succhiato allegramente senza dare nell'occhio e le pool se ne sono accorte non tanto dal fatto che wallet erano disallineati rispetto al credito.
Il motivo per cui si sono accorti del problema è che la pool luck non era in linea con la potenza dichiarata della pool. In quanto il laptop da 100mhs in realtà non trovava nessun blocco

In definitiva pare che sistemi come exchange o pool abbiano un portafoglio cassa che contiene una buona liquidità. Doppie transazioni oppure furti come quello degli share... prelevano direttamente da questa cassa.
Disallineando il portafoglio. Quando poi viene fatto il controllo i conti doppi diventano automaticamente in rosso ( saldo negativo ) ma oramai le transazioni sono partite e non reversibili.
Nel caso delle pool, furono le pool stesse a rimborsare di tasca propria le monete perse, spesso andando in bancarotta.

Gox una cosa del genere non potrà mai farla. Un conto è rimborsare 1000 litecoin quando valevano 1 euro.
Un conto è mille bitcoin a 500 euro l'uno. L'unica sua opzione è gridare <<al ladro!!>>

Non penso si possa verificare il saldo e lo storico delle transazioni 10 volte al giorno, quando un sito ha mille account attivi ogni ora che fanno decine di transazioni... servirebbe una notevole potenza di calcolo.
La sicurezza la ottieni facendo la verifica PRIMA di autorizzare la transazione. On demand quindi.
gox andava in automatico, quindi una volta che i soldi erano usciti... può essere che passasse molto tempo prima di verificare la discrepanza nel saldo della cassa comune.
Se provo a pensare alla cassa comune di un exchange, con mille utenti che versano e prelevano contemporaneamente.... onestamente mi viene da mettermi le mani nei capelli a scrivere un codice che verifichi costantemente la correttezza del saldo.
"Capisco" perché gox, non al corrente dell'attacco, abbia optato per un codice semplice e vulnerabile.

Come ho detto fin dall'inizio abbiamo due opzioni:
gox sta cercando di pararsi il culo ed è il vero mandante dell'attacco.
gox è stata una vittima e rivelare il bug ha portato allo scoperto i malintenzionati.

La vulnerabilità di fondo del sistema cmq oramai è accertata.
Non è possibile mantenere una rete dove, un gruppo di malintenzionati, può offuscare e di fatto bloccare le transazioni dei maggiori exchange.
Il fatto che vengano presi provvedimenti dagli sviluppatori, dagli exchange e dalle pool - vedi link ziomik -  ovvero dalle tre principali entità della rete... dovrebbe far capire che la questione merita attenzione a prescindere da gox.

[Atlatico]

Aggiunta condizioni mt-gox:

• Daily Bitcoin withdrawal limit (24hrs): 1,000 BTC
• Monthly Bitcoin withdrawal limit: none
Documents required for verification:
• A valid copy of a government issued photo ID and:
• Proof of residence (less than 6 months old) - this can be a utility or phone bill.


Con un paio di documenti acquistabili al black market potevi succhiare fino a 1000 btc al giorno O_o

[TulipBit]

Con un paio di documenti acquistabili al black market potevi succhiare fino a 1000 btc al giorno O_o

Quindi 1000 per account... e quindi gli eventuali furti sono potenzialmente illimitati  

Ma io vado oltre le spiegazioni ed il resto e provo a pensare al tutto come un "teatrino" creato ad hoc mettendo in piedi questa cosa a posteriori...
nell'ottica del cliente di gox è altrettanto possibile che nella bolla cinese, con i prezzi che non si fermavano più e che in alcuni giorni oscillavano anche a botte di 300$ l'ora, il cicciobello di gox si sia messo a giocare con i soldi della gente e a fare trading a margine nei mercati cinesi in cui solo huobi dichiarava di trattare qualcosa come ~200.000 btc/24 ore... nel mio mondo ideale sia che si fanno cazzate tradando grossi lotti di btc non tuoi, sia se la colpa ricade nell'incompetenza programmativa e subisco furti, per prima cosa si assumono tutte le responsabilità del caso anche a costo di far fallire la tua "banca".

Il patetico tentativo di scaricare le responsabilità verso il protocollo bitcoin è una chiara presa di posizione "bear" che fa capire da che parte del teatrino costruito sopra il mercato cicciobello vuole recitare, e si è scelto pure una parte di protagonista a quanto pare...  

[ervalvola]

Aggiunta condizioni mt-gox:

• Daily Bitcoin withdrawal limit (24hrs): 1,000 BTC
• Monthly Bitcoin withdrawal limit: none
Documents required for verification:
• A valid copy of a government issued photo ID and:
• Proof of residence (less than 6 months old) - this can be a utility or phone bill.


Con un paio di documenti acquistabili al black market potevi succhiare fino a 1000 btc al giorno O_o

Nah, non credo proprio che eseguissero in automatico i withdraw di 1,000 BTC ; )

C'è una soglia sopra la quale i prelievi devono essere gestiti in modo manuale, stabilire il suo valore in base al rapporto tra rischio/risparmio poi è compito dell'exchange. Siamo sicuri che i documenti al black market costino meno della soglia di prelievo automatico?
Tieni presente che il trick lo puoi fare una volta e poi ti congelano l'account!

ervalvola, partendo da info non verificate puoi arrivare a qualsiasi conclusione considerando che io per primo sto speculando di aria fritta, la strada è infinita

SI si ma infatti si discute più che altro per divertimento, in attesa di sentire qualche notizia o qualche presa di posizione da parte di personaggi "autorevoli".

Poi possono trovare un'incongruenza e non capire di che si tratta, ma se la perdita supera un livello accettabile, intanto, per il si e per il no, bloccano tutto...

Se ci pensi è proprio quello che è successo

...

Non penso si possa verificare il saldo e lo storico delle transazioni 10 volte al giorno, quando un sito ha mille account attivi ogni ora che fanno decine di transazioni... servirebbe una notevole potenza di calcolo.
La sicurezza la ottieni facendo la verifica PRIMA di autorizzare la transazione. On demand quindi.
gox andava in automatico, quindi una volta che i soldi erano usciti... può essere che passasse molto tempo prima di verificare la discrepanza nel saldo della cassa comune.
Se provo a pensare alla casa comune di un exchange, con mille utenti che versano e prelevano contemporaneamente.... onestamente mi viene da mettermi le mani nei capelli a scrivere un codice che verifichi costantemente la correttezza del saldo.
"Capisco" perché gox, non al corrente dell'attacco, abbia optato per un codice semplice e vulnerabile.

Premesso che non sono un informatico e quindi ho alte probabilità di sbagliare (ed in tal caso spiegami pure), io non credo che la questione sia in questi termini...
La differenza tra la somma dei bilanci degli utenti e i cold e hot wallet dell'exchange equivale esattamente al profitto della piattaforma, e quindi penso che sia costantemente tenuto sott'occhio; ripple, per esempio, ti da il saldo del gateway ad ogni ledger closed (anche se ripple non ha un motore di trading ad alta frequenza e quindi è più semplice).

Non mi pare realistico che abbiano lasciato aperta un'emorragia di bitcoins per mesi per poi accorgersene di colpo e buttarla in caciara.
In tutti i casi, o sono loro i malintenzionati o sono degli incompetenti colposi...

[Atlatico]

Con un paio di documenti acquistabili al black market potevi succhiare fino a 1000 btc al giorno O_o

Quindi 1000 per account... e quindi gli eventuali furti sono potenzialmente illimitati  

Yes, anche se non sappiamo la percentuale di successo dell'attacco.
Magari funziona bene solo su transazioni da 1 BTC e solo al 1% (un doppio accredito ogni cento prelievi)

Ma io vado oltre le spiegazioni ed il resto e provo a pensare al tutto come un "teatrino" creato ad hoc mettendo in piedi questa cosa a posteriori...

Emh... questo è molto più paranoico della mia interpretazione Ma potrebbe essere!

Il patetico tentativo di scaricare le responsabilità verso il protocollo bitcoin

Io non lo trovo patetico, sai perché?
https://litecointalk.org/index.php?topic=15371.msg122732#msg122732
warren, core developer LTC

LTC is equally affected as BTC.  Yes, we are collaborating on the short-term and long-term plan.

The reference Litecoin-Qt and Android Wallet are not vulnerable to theft for ordinary users although there is confusion in the transaction list.  For exchanges it is only an implementation issue to protect themselves.  The confusion will be cleared up in a minor bug fix coming for Bitcoin and Litecoin soon.

Questa credo sia una delle poche vulnerabilità trans-currency.
Ovvero che colpisce tutta la rete delle monete, sia BTC sia ALT.
A livello di sviluppo è una cosa da valutare. Non un patetico ventaglio dietro cui pararsi.
Non vorrei dire una cazzata, mi correggano gli anziani della rete, ma credo che questa sia la prima vulnerabilità cross-net.
Questo tipo di attacco potremmo ritrovarlo tra qualche settimana sui LTC, e su qualsiasi altra moneta che ha usato i BTC come base... se i dev, gli exchange e le pool non prendono provvedimenti.

Capisci anche che si tratta di una cosa seria dal numero impressionante di tweet che manda coindesk continuando a ripetere "malleability? keep calm and carry on"

Nah, non credo proprio che eseguissero in automatico i withdraw di 1,000 BTC ; )

Onestamente nemmeno io... ma un 10 btc al giorno con dieci account diversi... così a rotazione per un mese? Non sappiamo nemmeno se bloccavano gli account, se riuscivano a verificare la discrepanza nel giro di un mese ecc.

Premesso che non sono un informatico e quindi ho alte probabilità di sbagliare (ed in tal caso spiegami pure), io non credo che la questione sia in questi termini...
In tutti i casi, o sono loro i malintenzionati o sono degli incompetenti colposi...

In realtà pare proprio fosse in questi termini!
Gox era arrivato ad avere 1 milione di utenti. E non aveva scalato bene il codice della piattaforma.
Se guardi i primi report di coindesk il problema era rintracciato nel codice di gox che per mantenere l'efficienza sul proprio milione di utenti aveva implementato un codice discretamente incompetente.

Tuttavia va detta una cosa. Questo codice ha generato il problema solo perché la storia della malleability non è stata affrontata prima.
Insomma, secondo me la verità sta nel mezzo.

[Atlatico]

Also:
https://litecointalk.org/index.php?topic=15367.0

[TulipBit]

Tuttavia va detta una cosa. Questo codice ha generato il problema solo perché la storia della malleability non è stata affrontata prima.
Insomma, secondo me la verità sta nel mezzo.

anche messa così la questione non mi convince e sempre per "malizia" mia... ma questa volta non vado oltre perché quello che sono arrivato a pensare è ben più grave di quello che mi va di scrivere

Tornando alla realtà comunque, nero su bianco resta quel 2011 e le svariate release che ogni buon programmatore di piattaforme che erogano servizi dovrebbe seguire quotidianamente.

[Atlatico]

anche messa così la questione non mi convince e sempre per "malizia" mia... ma questa volta non vado oltre perché quello che sono arrivato a pensare è ben più grave di quello che mi va di scrivere

Noi ovviamente siamo tutti nella categoria dei cospirazionisti....

[bitcoinplaza]

...
La vulnerabilità di fondo del sistema cmq oramai è accertata.
Non è possibile mantenere una rete dove, un gruppo di malintenzionati, può offuscare e di fatto bloccare le transazioni dei maggiori exchange.
Il fatto che vengano presi provvedimenti dagli sviluppatori, dagli exchange e dalle pool - vedi link ziomik -  ovvero dalle tre principali entità della rete... dovrebbe far capire che la questione merita attenzione a prescindere da gox.

perdonami ma non sono d'accordo, non è una vulnerabilità.
è stata introdotta da tempo questa modifica nel codice su come trattare la "canonicità" degli hash delle chiavi pubbliche e delle signature : https://github.com/bitcoin/bitcoin/commit/58bc86e37fda1aec270bccb3df6c20fbd2a6591c
bastava adeguarsi al protocollo. punto.

[Pinbot]

Il patetico tentativo di scaricare le responsabilità verso il protocollo bitcoin è una chiara presa di posizione "bear" che fa capire da che parte del teatrino costruito sopra il mercato cicciobello vuole recitare, e si è scelto pure una parte di protagonista a quanto pare...  

Fatto sta che le cazzate combinate da gox anche in passato non hanno mai minato minimamente la credibilità dello stesso. Peggio di così non si può.

[markeclaudio]

Articolo in italiano sulla questione:
http://www.businessmagazine.it/articoli/3919/bitcoin-il-bug-transaction-malleability-mette-in-ginocchio-i-servizi-di-cambio_index.html

[Atlatico]

Articolo in italiano sulla questione:
http://www.businessmagazine.it/articoli/3919/bitcoin-il-bug-transaction-malleability-mette-in-ginocchio-i-servizi-di-cambio_index.html

Mi sembra un articolo corretto
Tra l'altro una possibilità a cui per ora pochi stanno pensando: questo problema non dovrebbe affliggere anche i prelievi dalle pool?

[cudido]

Damien, Feb 12 14:31:
Dear Valued Customer,

We are pleased to inform you that the identification documents you submitted have been accepted and your account has been upgraded to a Premium account (This is the new name of the "Trusted" status).

If you would like to request a withdrawal limit increase (up to 100,000$ daily, and up to 500,000$ monthly), please reply back to this email with the information below.

Wallet (BTC/USD/ETC): New Daily Limit:
Wallet (USD/EUR/ETC): New Monthly Limit:

We sincerely apologise for any delays and inconvenience caused in relation to the account verification process.

If you have any questions or issues please contact Mt.Gox Support.

Best regards,

MtGox Team

+

MtGox  last price -> 395.00 €

=