Preiskava Mt.Gox postavila na laž

Ko je Mt.Gox sprožil prisilno poravnavo zaradi plačilne nesposobnosti, so kot glavni razlog za težave navedli napade na stran, ki so izkoriščali transaction malleability. Gre za mogočo zlorabo v zelo natančno določenih okoliščinah. Neodvisna znanstvena preiskava postavlja njihove navedbe na laž.

Napad poteka tako, da si zlikovec z računa na Mt.Goxu izplača bitcoine v svojo denarnico. Mt.Gox izda ustrezno transakcijo, zlikovec pa počaka, da jo vidi med transakcijami v potrjevanju in tako objavi kopijo transakcije, ki ima spremenjen nepomemben bit. Ta bit se uporabi pri izračuni zgoščene vrednosti (hash), ki je v novi transakciji drugačen, ne pa pri podpisovanju, zato to sploh lahko naredi. Omrežje seveda potrdi le eno izmed transakcij, kar je povsem naključno. Če je Mt.Gox sprogramiran tako, da uspešnost transakcije meri le na podlagi hasha transakcij, bo v primeru potrditve druge transakcije razumel, kot da transakcija ni bila uspešno izvedena in sredstva pripisal nazaj k trgovalnemu računu zlikovca, čeprav je transakcija dejansko uspela. Če pa je potrjena prva transakcija, se ne zgodi nič pretresljivega, le bitcoini so izplačani.

Zgodba je vsekakor možna in vse večje borze so tedaj za nekaj dni prekinile izplačila, da so poskrbele, da jih to ne more prizadeti. Mt.Gox pa vztraja, da jih je prav ta ranljivost pokopala, zaradi česar imajo 650.000 bitcoinov primanjkljaja. Resnica je drugačna, dokazuje znanstveni članek, kjer so avtorji analizirali vse transakcije.

Ugotovili so, da so v času pred blokado izplačil bitcoinov z Mt.Goxa (kar se je zgodilo precej pred mrkom strani), s to prevaro v celem ekosistemu ukradli okrog 400 bitcoinov. Število napadov se je povečalo šele po objavah za javnost, ko so vsem razkrili obstoj te ranljivost in kako deluje. Šele tedaj se je njihovo število dvignilo na 300.000, a ti niso mogli biti več uperjeni zoper Mt.Gox. Prav tako ni mogoče oceniti, koliko izmed teh poskusov je dejansko uspelo, saj gre le za število bitcoinov, ki so bili preneseni v potrjenih spremenjenih transakcijah. Če trgovalne platforme niso uporabljale le slepega preverjanja hasha, potem škode ni bilo. Kakorkoli obrnemo, Mt.Gox je bitcoine zapravil nekje drugje.