Ist die Arbeitsweise von Mtgox kompetent?

[OhShei8e]

Wahrscheinlich sind alle Börsen betroffen, aber nur Gox hat genügend Ersparnisse um es zu überleben.  

Würdest Du Deinen Support anweisen, Auszahlungen zu tätigen, wenn nicht 200% klar ist, dass die vorangegeangene Auszahlung gescheitert ist?!

Ach Mezzomix. Ich bin nur ein einfacher Informatiker. Ich weise niemanden zu irgendwas an. Ich führe nur die sinnlosen Anweisungen anderer aus.

Davon ab: 200% finde ich verdächtig. Da würde ich nachforschen.  

[bitbouillion]

Nur der "Böse" User hat den Fehler ausgenutzt und die Transactions ID "verändert". Die Coins kamen bei ihm an aber mit einem anderen Hash.

Mir ist nicht ganz klar, wie der Empfaenger die Transaktions-ID veraendern kann. Die Transaktion wird vom Sender verkuendet und alle Relays plappern sie nach bis sie in einem Block unterkommen. Ich glaube kaum, der "boese" Empfaenger hat alle Relays manipuliert.

Aber selbst wenn, weder Sender-Adresse, Empfaenger-Adresse und Betrag koennen manipuliert werden. Wenn nun Gox auf Support-Anfrage nur nach den Transaktions-IDs sucht und nicht mal den Stand beim Sender-Konto ueberprueft, ist das grob fahrlaessig (diese Attacke ist ja seit Jahren bekannt).

[segeln]

Nur der "Böse" User hat den Fehler ausgenutzt und die Transactions ID "verändert". Die Coins kamen bei ihm an aber mit einem anderen Hash.
Gegenüber dem Support wurde dann behauptet dass die Transaktion nicht ankam. Support überprüft es mit dem Hash und schickt die Coins nochmal raus

genau , und wenn der "Böse"/die "Bösen"  kriminelle/r Mitarbeiter von Gox war/en?

Verstehe nicht was das für ein Unterschied macht ob der Böse Hacker bei Mtgox gearbeitet hat, bei der NSA oder bei der Russischen Regierung.

das würde keinen Unterschied machen, nur habe ich nie von der NSA oder russ. Regierung geredet.
Ich spekuliere dass Mt.Gox von innen ausgeplündert wurde

[poorminer]

das würde keinen Unterschied machen, nur habe ich nie von der NSA oder russ. Regierung geredet.
Ich spekuliere dass Mt.Gox von innen ausgeplündert wurde

Jaja, die armen Entwickler.

Die Kellerhaltung führt letztlich dazu, die Programmierer wollen auch mal an die Sonne und Rio lockt natürlich. Ich plädiere für fair gehandelte Software von freilaufenden Entwicklern.

[candoo]

Nur der "Böse" User hat den Fehler ausgenutzt und die Transactions ID "verändert". Die Coins kamen bei ihm an aber mit einem anderen Hash.

Mir ist nicht ganz klar, wie der Empfaenger die Transaktions-ID veraendern kann. Die Transaktion wird vom Sender verkuendet und alle Relays plappern sie nach bis sie in einem Block unterkommen. Ich glaube kaum, der "boese" Empfaenger hat alle Relays manipuliert.

Aber selbst wenn, weder Sender-Adresse, Empfaenger-Adresse und Betrag koennen manipuliert werden. Wenn nun Gox auf Support-Anfrage nur nach den Transaktions-IDs sucht und nicht mal den Stand beim Sender-Konto ueberprueft, ist das grob fahrlaessig (diese Attacke ist ja seit Jahren bekannt).

Lies dir doch erstmal im Bitcoin Wiki bzw in den Englishen Threads oder in Reddit den Fehler durch. Du kannst von  einer Überweisung  als Angreifer die Transaktiosn ID verändern und schneller relayen.
Sende Adresse und Empfänger Adresse können nicht manipuliert werden! Die Daten sind fest im hash mit drin, aber der Hash an sich kann verändert sein

[segeln]

. Du kannst von  einer Überweisung  als Angreifer die Transaktiosn ID verändern und schneller relayen.
Sende Adresse und Empfänger Adresse können nicht manipuliert werden! Die Daten sind fest im hash mit drin, aber der Hash an sich kann verändert sein

das relay klappt nicht immer, da muss dann schon mal häufiger relayed werden. denn man muss sich ja " dazwischenquetschen"

[bitbouillion]

Verstehe nicht was das für ein Unterschied macht ob der Böse Hacker bei Mtgox gearbeitet hat, bei der NSA oder bei der Russischen Regierung.

das würde keinen Unterschied machen

Das macht eine  Riesenunterschied, weil man von aussen die Transaktion sehr schwer manipulieren kann (sie wird ja von den Knoten eine Weile lang relayed) - es sei denn alle Knoten manipulieren sie in gleicher Weise automatisch. Geht nur von innen, das heisst Transaktion muss schon schon manipuliert bei Gox rausgegangen sein.

[candoo]

Verstehe nicht was das für ein Unterschied macht ob der Böse Hacker bei Mtgox gearbeitet hat, bei der NSA oder bei der Russischen Regierung.

das würde keinen Unterschied machen

Das macht eine  Riesenunterschied, weil man von aussen die Transaktion nicht mehr manipulieren kann (sie wird ja von den Knoten eine Weile lang relayed) - es sei denn alle Knoten manipulieren sie in gleicher Weise automatisch. Geht nur von innen, das heisst Transaktion muss schon schon manipuliert bei Gox rausgegangen sein.

Hört doch bitte auf unwahrheiten zu verbreiten wenn ihr gar keine Ahnung hat. Das geht auch von außen und muss kein Gox Mitarbeiter machen.

Du kannst als Angreifer doch deinen eigenen Node betreiben und nur die Gox Transaktionen empfangen und auch NUR zu den Mining pools relayen..

[OhShei8e]

Lies dir doch erstmal im Bitcoin Wiki bzw in den Englishen Threads oder in Reddit den Fehler durch. Du kannst von  einer Überweisung  als Angreifer die Transaktiosn ID verändern und schneller relayen.
Sende Adresse und Empfänger Adresse können nicht manipuliert werden! Die Daten sind fest im hash mit drin, aber der Hash an sich kann verändert sein

Die meisten Leute haben das nicht in böser Absicht getan, sondern z.B. Gox-Transaktionen mit (seit  0.8 ) ungültigen DER-Encodings repariert. Witzigerweise gab es diese Änderung an der Kodierung, um die Malleability einzuschränken.  

Eines muss man dem Teufel lassen: Humor hat er.  

[bitbouillion]

das relay klappt nicht immer, da muss dann schon mal häufiger relayed werden. denn man muss sich ja " dazwischenquetschen"

Ginge nur, wenn der Manipulator sehr sehr dicht an Gox dranhaengt oder gar in Gox drin ist.

[bitbouillion]

Du kannst als Angreifer doch deinen eigenen Node betreiben und nur die Gox Transaktionen empfangen und auch NUR zu den Mining pools relayen..

Ja sicher kann ich mit meinem Knoten irgendwo in Buxtehude Transaktionen beliebig manipulieren, aber ich bin nicht der einzigste Knoten auf der Welt, auf den sich alle Miner verlassen.

[candoo]

das relay klappt nicht immer, da muss dann schon mal häufiger relayed werden. denn man muss sich ja " dazwischenquetschen"

Ginge nur, wenn der Manipulator sehr sehr dicht an Gox dranhaengt oder gar in Gox drin ist.

Du kannst als Angreifer doch deinen eigenen Node betreiben und nur die Gox Transaktionen empfangen und auch NUR zu den Mining pools relayen..

Ja sicher kann ich mit meinem Knoten irgendwo in Buxtehude Transaktionen beliebig manipulieren, aber ich bin nicht der einzigste Knoten auf der Welt, auf den sich alle Miner verlassen.

Nein da ist genug  Zeit  zwischen.  Selbst wenn du ein paar Minuten wartest  und den Hash nur 1x verändest liegt die Chance bei 50% dass der veränderte Hash in die Blockchain kommt

[btcash]

So wie ich das verstanden habe, setzt der transaction malleability attack ja vorraus, dass jemand die Transaction schneller weiterleitet als der eigentlich Sender. Soll das bedeuten, dass jemand erfolgreich einen Sybil attack auf MtGox angewendet hat? Wie sonst soll es den jemand möglich gewesen zu sein, diese Anzahl an Transaktionen zu manipulieren und weiterzuleiten? Er muss ja eine Mehrzahl der Mtgox nodes kontrolliert haben.

Habe ich etwas falsch verstanden?

[bitbouillion]

Nein da ist genug  Zeit  zwischen.  Selbst wenn du ein paar Minuten wartest  und den Hash nur 1x verändest liegt die Chance bei 50% dass der veränderte Hash in die Blockchain kommt

Glaube kaum, dass die Chnace bei 50% liegt, sicher auch nicht bei Null, siehe hier -> https://bitcointalk.org/index.php?topic=458834.msg5065519#msg5065519

[OhShei8e]

Bei so viel  Inkompetenz (wenn die Dinge so wie beschrieben bei mtgox laufen), ist die Frage nach der Insolvenz vielleicht gar nicht mehr so weit hergeholt?

Die wäre eher technischer Natur, um sich vor dem Auszahlen von Kundengeldern zu drücken. Ansonsten: Gox ist das älteste Bitcoin-Business am Markt und wird genau sowenig verschwinden wie Coca Cola. Die meisten Leute haben noch gar nicht mitbekommen, was los ist und es interessiert sie auch nicht sonderlich. Ich rede jetzt hier von all den Leuten, die sich mal 1, 2 Coins gekauft haben und ein bisschen auf Gox traden, so wie sie auch Sportwetten machen. Da kenne ich einige. Leute, die es wie ich quasi semi-professionell betreiben, kennen ich dagegen keinen einzigen (außer mir selbst).

Es geht eigentlich nur darum, ob Gox den Besitzer wechselt oder nicht und ob es eine freundliche oder eine feindliche Übernahme wird. Die ersten Bewerber laufen sich derzeit schon warm:

https://bitcoinfoundation.org/forum/index.php?/topic/700-mtgox-insolvency/page__st__40#entry8176

[candoo]

Die wäre eher technischer Natur, um sich vor dem Auszahlen von Kundengeldern zu drücken. Ansonsten: Gox ist das älteste Bitcoin-Business am Markt und wird genau sowenig verschwinden wie Coca Cola.

Wer hätte gedacht dass Praktiker Insolvent geht? Insolvenz kann jede Firma betreffen und lässt sich vorher nicht erahnen!

[OhShei8e]

Die wäre eher technischer Natur, um sich vor dem Auszahlen von Kundengeldern zu drücken. Ansonsten: Gox ist das älteste Bitcoin-Business am Markt und wird genau sowenig verschwinden wie Coca Cola.

Wer hätte gedacht dass Praktiker Insolvent geht? Insolvenz kann jede Firma betreffen und lässt sich vorher nicht erahnen!

Wo sie rentabel sind werden sie (ggf. unter neuem Namen) weiter geführt. Das meinte ich. Gox ist ein lukratives Geschäft ggf. mit einer anderen Firmenleitung.

[twbt]

Warum setzt Gox eigentlich immer noch nicht den Handel aus?

[realcoin]

February 11, 2014 at 00:23 GMT
Community Outrage Marks Latest Chapter in Mt. Gox Story


However, Mt. Gox’s future may be even more uncertain after controversial statements issued Monday further damaged the company’s reputation and industry standing.

The comments, which blamed inherent problems with the bitcoin protocol for the withdrawal delays, ignited a veritable firestorm of anger on message boards, much of which was directed at Mt. Gox CEO Mark Karpeles.
...
http://www.coindesk.com/community-outrage-latest-chapter-mt-gox-story/

[mezzomix]

So wie ich das verstanden habe, setzt der transaction malleability attack ja vorraus, dass jemand die Transaction schneller weiterleitet als der eigentlich Sender. Soll das bedeuten, dass jemand erfolgreich einen Sybil attack auf MtGox angewendet hat? Wie sonst soll es den jemand möglich gewesen zu sein, diese Anzahl an Transaktionen zu manipulieren und weiterzuleiten? Er muss ja eine Mehrzahl der Mtgox nodes kontrolliert haben.

Habe ich etwas falsch verstanden?

Ja.

Der "Angriff" beruht darauf, dass MtGox den Transaktions-Hash als Bestätigung nutzt, dass eine Auszahlung erfolgt ist. Nun hat MtGox aber Auszahlungen (= Transaktionen) gebastelt, die inzwischen vom Netzwerk abgelehnt werden. Da die Signatur nur den relevanten Teil der Transaktion erfasst, der Hash aber die komplette Transaktion, können diese fehlerhaften Transaktionen repariert werden. Die reparierte Transaktion hat nun aber einen anderen Hash (bei gleicher Signatur, d.h. die Transaktionsdaten können nicht manipuliert werden). Diese neue reparierte Transaktion wird nun vom Netzwerk aktzeptiert und die Auszahlung ist erfolgt.

Der MtGox Client  wartet auf den alten Transaktions-Hash. Dieser taucht aber nie in einem Block auf. Auf Nachfrage hat MtGox deshalb die Auszahlung zurückgesetzt und die Auszahlung nochmal zugelassen, womit wir wieder am Anfang wären.

Da wir aber ein Bitcoin System und kein MtGox System haben, sind die Transaktionen sehr wohl durchgegangen. Da die BTC nur einmal vorhanden sind, müssen die mehrfachen Auszahlungen also von jemandem bezahlt worden sein: Von MtGox!

MtGox hat hier ein unpassenden Teilaspekt des Bitcoin Protokoll (den Transaktions-Hash) genutzt um darauf eine Kernfunktion ihres Geschäfts (BTC Auszahlungen) aufzusetzen.