Bitcoin-kursen falder drastisk efter tekniske problemer

En kritisk fejl i softwaren bag kryptovalutaen bitcoin har fået værdien af bitcoins til at falde. Handlen med valutaen blev indstillet på den største af bitcoin-markedspladserne.

Kursen på bitcoins fik mandag et ordentligt knæk, fra 700 dollars til 540 dollars, efter afsløringen af en softwarefejl, der gjorde det muligt at snyde.

Ved at udnytte fejlen kunne bitcoin-svindlere få udbetalt dobbelt så mange bitcoins som de betalte for. Derfor stoppede Mt. Gox, den største handelsplads for bitcoins, mandag al handel med den populære kryptovaluta. Det skriver BBC.

Mt. Gox opdagede 'unormal aktivitet' i bitcoin-handlen og lukkede for alle transaktioner, og en nærmere efterforskning afslørede så, at det var muligt at snyde. Problemet begrænser sig ikke til handel hos Mt. Gox, skriver det japanske firma bag.

Hos Bitcoin Foundation, der har ansvaret for softwaren bag bitcoins, afviser man omvendt, at fejlen er generel. Muligheden for at få dobbelt op på bitcoins skyldes en uheldig kombination af faktorer hos Mt. Gox, fortæller organisationen til BBC.

Det er både softwaren til at gemme bitcoins i en pung (wallet) hos Mt. Gox, supportproceduren hos handelspladsen og en 'obskur, men velkendt' mærkværdighed i måden transaktioner bliver identificeret, lyder det fra Bitcoin Foundation.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nicolai Hansen

Problemet er at når man hos Mt. Gox vælger at få udbetalt sin balance i bitcoins, så laver Mt. Gox en transaktion og udsender den til bitcoin P2P netværket, samt tager et hash af transaktionen, hvilket benyttes til at holde styr på hvornår transaktionen er bekræftet.

Transaktionen er signeret, så det er IKKE muligt at ændre beløbet eller modtager / afsender. Dog tillader OpenSSL (som desværre benyttes i stor stil) at man kan ændre på visse dele af signaturen uden at den brydes. Det er lidt i stil med at "1+2=3" men OpenSSL tillader også at man skriver en masse 0'er foran tallet og så holder matematikken stadig: "0001" == "1", så "0001+2=3", dog ændres hashet af transaktionen, da hash(1+2) != hash(0001+2).

Pga dette er det muligt, hvis man er hurtig nok (en slags race-condition) at tage transaktionen fra Mt. Gox, ændre signaturen uden at bryde den, og få den sat ind i bitcoin blockchainen. Da de samme bitcoins ikke kan sendes flere gange (ingen "double spending") vil den transaktion Mt. Gox har gemt være umulig at få ind i blockchainen, da den modificerede transaktion allerede er derinde, og vil den stå som "stuck" i Mt. Gox custom system.

Hvis man derefter kontaktede Mt. Gox og sagde "af en eller anden grund har jeg ikke modtaget mine bitcoins" og fik Mt. Gox supporten til at undersøge sagen, så kunne de se at transaktionen stod som "stuck" og med lidt social engineering var det muligt at få dem til at sende nogle nye bitcoins (lave en helt ny transaktion med helt nye bitcoins).

Det var altså en fejl som kun ramte Mt. Gox, krævede at man vandt en race condition og social engineering.

Det er bestemt farligt at OpenSSL tillader "malleability", og det er en nem fejl at begå at tage et hash af transaktionen og benytte det som en identifier, men problemet har været kendt siden 2011 og der har været arbejdet med at gøre det sværre at udnytte lige siden.

Alle "standard" klienter benytter ikke et hash af transaktionen, og falder altså ikke i fælden. Det er kun custom software som er i fare.

Log ind eller Opret konto for at kommentere