Эксперты подтвердили, что со счетов Mt.Gox могли быть украдены 386 BTC в 2013-2014 гг
Детективная история с «кражей» 850 тыс. BTC ($490 млн) со счетов крупнейшей биткоин-биржи Mt.Gox получила продолжение. Двое экспертов из швейцарской лаборатории ETH Zurich опубликовали исследование “Bitcoin Transaction Malleability and MtGox” с описанием последствий уязвимости, из-за которой биржа потеряла деньги.
Исследователи проанализировали транзакции со счетов биржи за год до ее банкротства и установили два факта: 1) уязвимость действительно имела место; 2) злоумышленники практически не использовали ее.
Сама уязвимость проявлялась после того, как пользователь заказывал вывод биткоинов с биржи на свой адрес Bitcoin. Биржа создавала соответствующую транзакцию и отправляла ее в сеть Bitcoin. Однако, затем собственное программное обеспечение Mt.Gox некорректно обрабатывало ответы о количестве подтверждений, так что транзакция могла быть признана ошибочной, даже если впоследствии была подтверждена сетью Bitcoin. В результате соответствующая сумма заносилась обратно на счет пользователя. Естественно, тот мог затребовать ее повторно и, в итоге, получал средства в двойном размере.
Эксперты ETH Zurich попытались ответить на два фундаментальных вопроса: существовали ли злоумышленники, которые эксплуатировали эту уязвимость в массовом порядке (меняя байт OP_0 на OP_PUSHDATA2), и можно ли верить заявлению, что из-за этой уязвимости произошло банкротство биржи?
Ценность научной работы ETH Zurich заключается в том, что они с января 2013 года поддерживали работу узлов в сети Bitcoin, записывая информацию обо всех транзакциях. В том числе о тех, которые впоследствии признаны недействительными и информация о которых стирается с обычных узлов Bitcoin, то есть стираются и улики.
Эксперты отфильтровали все транзакции с января 2013 года, чтобы обнаружить случаи атак с двойной тратой (double spending). Всего обнаружены 35 202 конфликтные ситуации, из них 29 139 транзакций должны были быть впоследствии подтверждаться в блоке, а остальные 6063 сразу признавались недействительными. Из 29 139 транзакций в 28 595 были замены OP_0 на OP_PUSHDATA2, что является признаком malleability-атаки. В общей сложности, в потенциальных атаках были задействованы 302 700 BTC.
Как показало исследование, всего 5670 транзакций с заменой OP_0 на OP_PUSHDATA2 позже были подтверждены в блоке, что уменьшает потенциальную прибыль злоумышленника с 302 700 BTC до 64 564 BTC.
Но самое интересное, что подавляющее большинство malleability-атак в сети произошли после 7 февраля 2014 года, когда Mt.Gox опубликовала пресс-релиз с сообщением, что пострадала от таких атак, и заблокировала вывод средств.
Mt.Gox заявляет о краже 850 000 BTC. Но до 7 февраля в сети замечена всего 421 конфликтная ситуация на общую сумму 1812 BTC, из них 78,64% оказались неэффективными, так что злоумышленники могли присвоить не более 386 BTC. Это максимальная сумма, которая могла быть украдена с января 2013 года по февраль 2014 года в результате подобных атак. Даже если все атаки были направлены против Mt.Gox, то руководству биржи предстоит объяснить пропажу оставшихся 849 600 BTC.
Подробнее: http://www.xakep.ru/post/62275/default.asp


Поделиться статьей:
Акция: Закажи любой сайт до окончания акции и получи скидку + подбор семантического ядра + поисковую оптимизацию сайта Это позволит Вам получать еще больше трафика и соответственно клиентов из Интернета!
До конца акции осталось
0
5
4
3
2
1
0
0
9
8
7
6
5
4
3
2
1
0
0
5
4
3
2
1
0
0
9
8
7
6
5
4
3
2
1
0
0
9
8
7
6
5
4
3
2
1
0
0
9
8
7
6
5
4
3
2
1
0
|
Узнайте подробности акции у менеджеров компании по телефонам: 8-924-200-7194 г.Хабаровск 8-800-550-9899 Бесплатно по России (с 3 до 11:30 по Мск) |
Новые статьи и публикации
- 2021-01-19 » Вопросы юзабилити: на что обратить внимание в 2021 году?
- 2021-01-12 » Алгоритм YATI: новая разработка Яндекса
- 2020-12-29 » DdoS-атаки: суть и способы защиты от них
- 2020-12-21 » Оплата за конверсии в Яндекс.Директе: в чём выгода и как проходит подключение?
- 2020-12-14 » Предновогодняя суета: как привлечь клиентов и активизировать продажи?
- 2020-12-03 » Ведение блога: на своём сайте или на специальной платформе?
- 2020-11-30 » Виджеты для веб-сайтов: влияние кнопок на продажи
- 2020-11-30 » CRM: что это и как помогает бизнесу?
- 2020-11-13 » Тепловые карты сайта: особенности и возможности для продвижения
- 2020-11-11 » Яндекс.Клиенты: всё о новых возможностях георекламы
- 2020-10-27 » Описания товаров для интернет-магазинов: секреты успешных продаж
- 2020-10-27 » Увеличиваем мобильный трафик: 10 способов привлечь новых клиентов
- 2020-10-14 » Определение CMS сайта: как это сделать?
- 2020-10-13 » Сайты-агрегаторы: сотрудничать или бороться за ТОП?
- 2020-10-05 » Интернет-магазин в Instagram: как его открыть?
- 2020-09-28 » Интернет-тролли: как с ними бороться и не подмочить репутацию?
- 2020-09-17 » Bing: обновление для веб-мастеров
- 2020-09-15 » Подключение платформы Яндекс.Диалоги на веб-сайт
- 2020-09-07 » Яндекс.Вордстат: как это работает?
- 2020-08-27 » Настройка аудиорекламы в социальных сетях: как её выполнить?
- 2020-08-21 » Текст для карточки товара: как сделать идеальное описание?
- 2020-08-17 » Сайты-визитки: какими они должны быть?
- 2020-08-10 » Оценка страниц Google: как это работает?
- 2020-07-30 » Онбординг: получаем признание клиентов за несколько секунд
- 2020-07-23 » Особенности YMYL в Google
- 2020-07-21 » Лид-магниты: секреты притяжения клиентов
- 2020-07-09 » Проверка оптимизации сайта: выполняем SEO-анализ самостоятельно
- 2020-07-07 » Игра в портретиста: как определиться с целевой аудиторией?
- 2020-06-22 » Составление контент-плана для блога и социальных сетей: секреты успеха
- 2020-06-11 » Видеореклама от А до Я
Предоставляем полный комплекс услуг по созданию, обслуживанию и продвижению сайтов по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.