Mt. Gox Bitcoin Hack lehrt uns heute

Heute jährt sich zum achten Mal der Fall von Mt. Gox, der einst beliebten On-line-Börse, die einst für die Mehrheit aller Bitcoin-Transaktionen verantwortlich warfare.

Die in Tokio ansässige Mt. Gox, deren Area (MtGox.com) ursprünglich 2007 registriert wurde, um eine Handelsseite für die äußerst beliebten „Magic: The Accumulating“-Spielkarten zu hosten, begann Ende 2010 als rudimentäre Bitcoin-Börse zu operieren. Als das Geschäft zu einem enormen Verkehrsaufkommen führte, verkaufte der Eigentümer die Plattform an Mark Karpeles.

Karpeles, ein begeisterter Programmierer und Bitcoin-Fanatic, verbesserte den Code der Webplattform, um ein erhöhtes Volumen an Bitcoin-Transaktionen und Kauf- und Verkaufsaufträgen zu bewältigen. Aber letztendlich zeigte das Scheitern der Börse, dass er in den technischen oder Managementaspekten des Geschäfts keine ausreichende Arbeit geleistet hat, da er versuchte, die Rolle des Leader Government Officer von Mt. Gox mit wenig Erfahrung auszufüllen.

Am 24. Februar 2014 stellte Mt. Gox den Handel ein und ging offline. Schließlich stellte sich heraus, dass die Infrastruktur von Mt. Gox im Laufe mehrerer Jahre mehrfach von Angreifern ausgenutzt worden warfare, die langsam den Austausch seiner Bitcoins beraubten, indem sie Teile von Transaktionsdaten manipulierten – eine Eigenschaft, die als Transaktionsformbarkeit bekannt ist – was once dazu führte, dass Mt. Gox zu glauben, dass bestimmte Abhebungen nicht stattgefunden hätten, was once dazu führte, dass angeforderte Gelder mehrmals erneut gesendet wurden.

Anfang des Monats warfare Mt. Gox für ein paar Stunden offline gegangen und sein Staff gab eine Pressemitteilung heraus, in der es das Bitcoin-Protokoll selbst beschuldigte, in seinem Transaktionsüberwachungsmechanismus fehlerhaft zu sein. Beim Erhalt einer Auszahlungsanforderung beobachtet die Börse die Bitcoin-Blockchain auf eine Bestätigung der Auszahlungstransaktions-ID – ein Hash, der aus den Informationen der Transaktion erstellt wird. Eine Transaktions-ID ist jedoch erst endgültig, wenn die Transaktion auf der Blockchain bestätigt wird, eine Eigenschaft, die es Angreifern ermöglicht, Teile der Transaktionsdaten – ohne die Ein- und Ausgänge – zu verändern und somit die Transaktions-ID zu ändern. Das Ergebnis? Die Datenbank von Mt. Gox würde keine erfolgreiche Auszahlung anzeigen, da die Transaktions-ID, nach der die Börse Ausschau hielt, niemals in einen Block gelangen würde, aber der Angreifer würde trotzdem die Bitcoin erhalten, da die geänderte Transaktion bestätigt wurde.

Während diese Buchhaltungsabweichung überraschenderweise nie entdeckt wurde, wurde am 24. Februar 2014 ein internes Dokument von Mt. Gox geleakt, das detailliert beschreibt, wie groß das Loch warfare, in das es sich wirklich gegraben hatte. Das Dokument zeigt, dass über 744.000 Bitcoin gestohlen wurden, im Wert von damals etwa 35 Millionen Buck und heute rapid 30 Milliarden Buck. Aber der letzte Schwachstellen-Exploit von Mt. Gox warfare nicht der erste.

Eine gestörte Bitcoin-Börse

Die Sicherheitslücken des Unternehmens wurden drei Jahre zuvor, im Jahr 2011, von Hackern ausgenutzt, als bei mindestens vier verschiedenen Gelegenheiten Tausende von Bitcoins aus der Börse abgezogen wurden.

Am 1. März 2011 gelang es Dieben, eine Kopie der pockets.dat-Datei einer Mt. Gox Sizzling Pockets zu erstellen und 80.000 BTC zu stehlen. Im Mai wurde ein noch größerer Betrag der Peer-to-Peer-Währung von der Börse gestohlen, als Hacker auf 300.000 BTC zugriffen, die in einer Off-Web page-Pockets auf einem ungesicherten, öffentlich zugänglichen Netzlaufwerk gespeichert waren. Die Diebe gaben jedoch kurz darauf 297.000 Bitcoin zurück und behielten nur eine „Haltergebühr“ von 3.000 BTC. Im nächsten Monat gelang es einem Angreifer, auf ein internes Administratorkonto zuzugreifen und Preise zu manipulieren, den Markt vorübergehend zum Absturz zu bringen und später 2.000 Bitcoin zu stehlen.

Im September desselben Jahres gelang es einem Hacker, Lese- und Schreibzugriff auf die Datenbank von Mt. Gox zu erhalten, was once es ihnen ermöglichte, neue Konten an der Börse zu erstellen, Benutzerguthaben aufzublähen und 77.500 BTC abzuheben – danach verwischten sie ihre Spuren, indem sie die meisten löschten der Beweisprotokolle. Im folgenden Monat führte ein Fehler in der neuen Pockets-Device des CEO dazu, dass 2.609 BTC an einen unverbrauchbaren Nullschlüssel gesendet wurden.

Im Jahr 2013 erlangte ein Hacker erneut eine Kopie der pockets.dat-Datei von Mt. Gox und stahl unglaubliche 630.000 BTC.

Bis 2014 warfare Mt. Gox eine so unruhige Börse, dass die Leute begannen, ihre in Mt. Gox gehaltenen Bitcoins mit einem Rabatt für „echte“ Bitcoins anzubieten – ein Fallback-Mechanismus, auf den diejenigen stießen, die feststeckten und keine BTC von Mt. Gox abheben konnten. Gox. Der Verkäufer übertrug Bitcoin von seiner Mt. Gox-Pockets auf die Mt. Gox-Pockets des Käufers, eine interne Transaktion, die keine ordnungsgemäße Abhebung von Geldern erforderte, während der Käufer On-Chain-Bitcoin von seiner Pockets auf die des Verkäufers übertrug. Verwahrung Brieftasche.

Das Auszahlungsproblem von Mt. Gox warfare so schwerwiegend, dass ein australischer Mt. Gox-Benutzer den ganzen Weg zum Hauptsitz der Börse in Japan flog, um zu protestieren und Karpeles zu befragen, warum sie ihre Gelder nicht von der Börse entfernen konnten. Unter Berufung auf „technische Probleme“ im Gegensatz zu ungeheuren Managementfehlern, die der Rückzugssache vorausgingen, weigern sich die Führungskräfte von Mt. Gox, Einzelheiten darüber zu nennen, was once hinter den Kulissen vor sich ging. Nachdem der Benutzer nach Australien zurückgekehrt warfare, gab Mt. Gox offiziell bekannt, dass alle Auszahlungen auf unbestimmte Zeit eingefroren wurden.

Zentralisierte Architekturen sind immer noch Sicherheitslücken

Trotz einer Reihe vereinzelter Hacker-Fälle in den vorangegangenen Jahren ertränkte sich Mt. Gox schließlich durch jahrelange Vernachlässigung auf Managementebene und fehlerhafte Device.

Apropos Device: Ein interner Mitarbeiter gab bekannt, dass Mt. Gox überhaupt kein Versionskontrollsystem verwendet hat – eine Realität, die für ein Unternehmen, das mit so viel finanziellem Wert umgeht wie Mt. Gox, absurd erscheinen magazine. Darüber hinaus mussten alle Codeänderungen von CEO Karpeles genehmigt werden, was once bedeutete, dass dringende Worm-Patches wochenlang auf seinem Schreibtisch sitzen konnten, bis er vorbeikam, um sie zu überprüfen und in den Hauptcode zu pushen. Tatsächlich gab es viele Jahre lang keine Code-Testsuite; Neue Funktionen und Fehlerkorrekturen beruhten ausschließlich auf einer menschlichen Überprüfung, bevor sie für Tausende von Benutzern implementiert wurden, die sich beim Kauf, Verkauf und der Aufbewahrung von Bitcoin auf die Börse verlassen.

Obwohl der Ansatz von Mt. Gox für die technische Infrastruktur und die Softwareentwicklung die höchste Ebene der Zentralisierung darstellt, da er sich stark auf Karpeles stützte, leiden letztendlich alle zentralisierten Systeme unter den gleichen Nachteilen, die ihrer Zentralisierung inhärent sind, und stellen einen einzelnen Fehlerpunkt dar.

Obwohl die Erhöhung der Sicherheit und Robustheit in einem zentralisierten Austausch von größter Bedeutung ist, liegt die wahre Antwort für dauerhafte Sicherheit und Vermögenserhalt in dezentralen Systemen. Während zentralisierte Börsen und Dienstleistungen das fehlerhafte traditionelle Finanzsystem aufrechterhalten, das Bitcoin ersetzen sollte, ermöglicht das dezentralisierte P2P-Geldsystem jedem, die vollständige Kontrolle über seine Finanzen auszuüben. Damit diese Zukunft der Souveränität stattfinden kann, müssen die Benutzer ihre Bitcoins jedoch in ihren eigenen selbstverwahrten Wallets aufbewahren.

Mt. Gox hebt die Bedeutung der Selbstverwahrung hervor

Mt. Gox meldete später im Februar 2014 Insolvenz an und warf ein Licht auf die Reihe von Hacks, die durch seine fehlerhafte Auszahlungsprüfungssoftware folgten, die die Veränderbarkeit von Transaktionen nicht berücksichtigte – eine Möglichkeit, die seit mindestens 2011 öffentlich bekannt warfare.

Obwohl die Börse versuchte, Bitcoin selbst die Schuld zu geben, warfare klar, dass das einzige Gadget, das dafür verantwortlich warfare, ihr eigenes warfare – eine schlechte benutzerdefinierte Implementierung, die Tausende von Menschen ihre Ersparnisse gekostet hat. Sogar Bitcoin-Unternehmer, die angeblich um die Gefahren der Verwahrung durch Dritte und die Bedeutung der Selbstverwahrung wussten, verloren beim Untergang von Mt. Gox aus Bequemlichkeit Hunderte von Bitcoins.

Obwohl der Verfall von Mt. Gox für Bitcoin und seine Wahrnehmung auf der ganzen Welt kurzfristig schädlich warfare, warfare es daher wohl die wichtigste Erinnerung, die die Benutzer an die Bedeutung der Selbstverwahrung ihrer Bitcoin-Bestände hätten erhalten können.

Used to be damals galt, gilt auch heute noch: Nur durch den vollständigen Besitz privater Schlüssel kann ein Bitcoin-Benutzer die Menge an Bitcoin kontrollieren, die er zu besitzen vermeintlich besitzt. Benutzer halten jedoch immer noch Millionen von Bitcoins in zentralisierten Börsen.

Ziehen Sie Ihre Bitcoin jetzt ab

Es ist nie zu spät, in die Selbstverwaltung einzusteigen. Obwohl der beste Tag, um Ihre Bitcoins von einer zentralen Börse oder einem Drittverwahrer abzuheben, gestern warfare, ist heute der zweitbeste Tag.

Zögern Sie nicht, Ihr Bitcoin abzuheben – es ist die asymmetrischste Investition, die Sie tätigen können. Selbstverwahrung kann Sicherheiten bieten, die Generationen überdauern können. Von der einfachsten Einrichtung zur Selbstverwahrung bis hin zu einer robusteren Einrichtung wird ein Bitcoin-Fanatic nur dann zu einem Bitcoiner, wenn er seine BTC aus einer Börse und in einer selbstverwahrten Brieftasche sieht.

Fangen Sie klein an, konfigurieren Sie beispielsweise eine einfache cell Geldbörse und ziehen Sie einen Teil Ihrer Bitcoin-Bestände ab, damit Sie sehen können, dass dies möglich ist. Übertragen Sie Münzen nach und nach aus der zentralisierten Brieftasche in Ihre eigene, bis alle Ihre Gelder unter Ihrer Kontrolle sind. Es gibt sogar White-Glove-Selbstverwahrungsdienste für Benutzer, die Angst haben, es zu vermasseln.

Used to be auch immer Sie am Ende tun, nicht Bewahren Sie Ihre Bitcoin-Bestände an einer zentralen Börse auf.