Bitcoin-kursen falder drastisk efter tekniske problemer

11. februar 2014 kl. 11:012
En kritisk fejl i softwaren bag kryptovalutaen bitcoin har fået værdien af bitcoins til at falde. Handlen med valutaen blev indstillet på den største af bitcoin-markedspladserne.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Kursen på bitcoins fik mandag et ordentligt knæk, fra 700 dollars til 540 dollars, efter afsløringen af en softwarefejl, der gjorde det muligt at snyde.

Ved at udnytte fejlen kunne bitcoin-svindlere få udbetalt dobbelt så mange bitcoins som de betalte for. Derfor stoppede Mt. Gox, den største handelsplads for bitcoins, mandag al handel med den populære kryptovaluta. Det skriver BBC.

Artiklen fortsætter efter annoncen

Mt. Gox opdagede 'unormal aktivitet' i bitcoin-handlen og lukkede for alle transaktioner, og en nærmere efterforskning afslørede så, at det var muligt at snyde. Problemet begrænser sig ikke til handel hos Mt. Gox, skriver det japanske firma bag.

Hos Bitcoin Foundation, der har ansvaret for softwaren bag bitcoins, afviser man omvendt, at fejlen er generel. Muligheden for at få dobbelt op på bitcoins skyldes en uheldig kombination af faktorer hos Mt. Gox, fortæller organisationen til BBC.

Det er både softwaren til at gemme bitcoins i en pung (wallet) hos Mt. Gox, supportproceduren hos handelspladsen og en 'obskur, men velkendt' mærkværdighed i måden transaktioner bliver identificeret, lyder det fra Bitcoin Foundation.

Emner
2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
Thomas Tanghus
12. februar 2014 kl. 02:13

Andre medier nævner både de russiske og kinesiske myndigheders standpunkt mod bitcoins som årsagen.

  • more_vert
    • insert_linkKopier link
1
Nicolai Hansen
11. februar 2014 kl. 19:30

Problemet er at når man hos Mt. Gox vælger at få udbetalt sin balance i bitcoins, så laver Mt. Gox en transaktion og udsender den til bitcoin P2P netværket, samt tager et hash af transaktionen, hvilket benyttes til at holde styr på hvornår transaktionen er bekræftet.

Transaktionen er signeret, så det er IKKE muligt at ændre beløbet eller modtager / afsender. Dog tillader OpenSSL (som desværre benyttes i stor stil) at man kan ændre på visse dele af signaturen uden at den brydes. Det er lidt i stil med at "1+2=3" men OpenSSL tillader også at man skriver en masse 0'er foran tallet og så holder matematikken stadig: "0001" == "1", så "0001+2=3", dog ændres hashet af transaktionen, da hash(1+2) != hash(0001+2).

Pga dette er det muligt, hvis man er hurtig nok (en slags race-condition) at tage transaktionen fra Mt. Gox, ændre signaturen uden at bryde den, og få den sat ind i bitcoin blockchainen. Da de samme bitcoins ikke kan sendes flere gange (ingen "double spending") vil den transaktion Mt. Gox har gemt være umulig at få ind i blockchainen, da den modificerede transaktion allerede er derinde, og vil den stå som "stuck" i Mt. Gox custom system.

Hvis man derefter kontaktede Mt. Gox og sagde "af en eller anden grund har jeg ikke modtaget mine bitcoins" og fik Mt. Gox supporten til at undersøge sagen, så kunne de se at transaktionen stod som "stuck" og med lidt social engineering var det muligt at få dem til at sende nogle nye bitcoins (lave en helt ny transaktion med helt nye bitcoins).

Det var altså en fejl som kun ramte Mt. Gox, krævede at man vandt en race condition og social engineering.

Det er bestemt farligt at OpenSSL tillader "malleability", og det er en nem fejl at begå at tage et hash af transaktionen og benytte det som en identifier, men problemet har været kendt siden 2011 og der har været arbejdet med at gøre det sværre at udnytte lige siden.

Alle "standard" klienter benytter ikke et hash af transaktionen, og falder altså ikke i fælden. Det er kun custom software som er i fare.

  • more_vert
    • insert_linkKopier link