Bitcoin: il bug Transaction Malleability mette in ginocchio i servizi di cambio

Bitcoin: il bug Transaction Malleability mette in ginocchio i servizi di cambio

Il più popolare servizio di cambio Bitcoin, Mt. Gox, ha sospeso i prelievi la scorsa settimana per risolvere un problema che potrebbe generare frodi. Si tratta di un bug noto da tempo, ma che solo ora viene conosciuto dal pubblico più ampio

di Andrea Bai pubblicato il nel canale Mercato
 

Un bug noto da tempo affligge i wallet customizzati

Sono giorni un po' travagliati per i Bitcoin che oltre ad essere stati dichiarati illegali in Russia, hanno visto nei giorni recenti una flessione del loro valore a seguito di una vicenda che vede protagonista Mt. Gox, il principale servizio di cambio e trading della valuta digitale.

Tutto ha inizio il 7 febbraio, quando Mt. Gox annuncia la sospensione dei prelievi in Bitcoin (cioè il trasferimento di Bitcoin da un wallet Mt. Gox ad un qualsiasi altro wallet esterno al servizio di cambio) per un periodo di tempo indeterminato e allo scopo di operare alcune attività di manutenzione per risolvere alcuni piccoli problemi che affliggono il sistema da qualche mese. Vari utenti, infatti, hanno lamentato da diverso tempo ritardi nelle transazioni, anche di una settimana o più.

Il servizio di cambio aveva già preso posizione alla fine del mese di gennaio, osservando che solamente un "numero limitato di utenti e di transazioni" era interessato. La scorsa settimana, però, le cose sono cambiate e Mt. Gox ha dichiarato: "Per comprendere il problema il sistema ha bisogno di essere messo in una situazione statica". E' bene sottolineare che i servizi di trading, le transazioni interne a Mt. Gox e il servizio di cambio valute (da Bitcoin a qualsiasi altra valuta) continuano ad operare normalmente.

Le notizie della sospensione dei prelievi in Bitcoin ha causato una precipitosa flessione, di circa 120 dollari, nel loro valore recuperata parzialmente nel giorno seguente con le contrattazioni a circa 730 dollari. Non si tratta della prima volta in cui Mt. Gox sospende i propri servizi, ma anche questa vicenda rappresenta un'importante segnale di come questo servizio di cambio abbia una pesante influenza sul valore della criptovaluta.

Un importante aggiornamento giunge il 10 febbraio, quando Mt. Gox emette un comunicato spiegando di aver individuato una vulnerabilità chiamata "Transaction Malleability", che permette ad un utente di poter alterare i dettagli di una transazione facendola figurare come nulla quando in realtà è avvenuta regolarmente. Si tratta di una vulnerabilità che espone i servizi di cambio al rischio di frodi e proprio per questo motivo Mt. Gox ha deciso di sospendere i prelievi in Bitcoin fino a quando la vulnerabilità non viene risolta.

Si tratta comunque di una vulnerabilità nota (sebbene non in maniera ampia) e che interessa l'intero sistema Bitcoin e non solamente Mt. Gox. A tal proposito però la Bitcoin Foundation ha emesso un comunicato stampa prendendo ufficialmente posizione e puntualizzando alcuni elementi. Si legge nel comunicato:

"I problemi riscontrati da Mt. Gox sono dovuti ad una sfortunata interazione tra l'implementazione di Mt. Gox del loro wallet software altamente personalizzato, le procedure di supporto ai clienti e la loro impreparazione alla Transaction Malleability, un espediente tecnico che permette di cambiare il modo in cui le transazioni vengono identificate. La Transaction Malleability è conosciuta sin dal 2011.

Si tratta di una piccola finestra dove l'ID della transazione può essere rinominato prima di essere confermato nella Blockchain. Si tratta di un problema che non può essere corretto in breve tempo e per questo motivo qualunque compagnia che gestisce transazioni in Bitcoin e ha sviluppato un wallet proprietario dovrebbe perpararsi in maniera responsabile a questa possibilità ed includere nel loro software un modo per validare l'ID della transazione. In caso contrario potrebbe verificarsi una perdita di Bitcoin e una gran seccatura per ciascuno coinvolto.

Il team di sviluppo di Bitcoin ha lavorato per limitare la Transaction Malleability. C'è ampio accordo nella community che questo problema debba essere eliminato ma individuare la soluzione migliore richiederà tempo. Coloro i quali utilizzano il wallet basato sull'implementazione di riferimento non devono comunque preoccuparsi dal momento che le transazioni sono sempre tracciate correttamente dal software Bitcoin-Qt/bitcoind. Tutto ciò è un buon avviso del fatto che Bitcoin sia ancora giovane ed in fase sperimentale. Per aiutare a migliorare sia l'implementazione reference, sia il software di terze parti, la Foundation è impegnata a collaborare con chiunque voglia per realizzare opportune best practice."

Apriamo una parentesi sulla Transaction Malleability: si tratta di una vulnerabilità che lascia aperta la possibilità di cambiare una transazione - ad esempio 1BTC inviato da un wallet interno a Mt. Gox verso un wallet esterno dell'utente Tizio - in maniera tale che Mt. Gox non sia in grado di tracciare l'avvenuto trasferimento. Il trasferimento viene aggiunto alla blockchain (il registro pubblico di tutte le transazioni Bitcoin) e l'utente Tizio entra in possesso di 1BTC. Ciascuna transazione è caratterizzata da un proprio ID unico, o hash, basato su dati interni alla transazione. Un nodo cosiddetto "renegade" potrebbe modificare la transazione in maniera tale che 1BTC venga comunque inviato all'utente Tizio, ma cambiando completamente l'hash. Questa nuova transazione modificata - nel caso in cui il nodo renegade sia sufficientemente veloce da diffonderla ai nodi di conferma - va a cancellare la precedente transazione e Mt. Gox non ha alcun modo di dimostrare che l'utente Tizio ha effettivamente ricevuto 1BTC, dal momento che registra le transazioni sulla base del loro hash. A questo punto l'utente Tizio può andare da Mt. Gox affermando di non aver ricevuto il suo Bitcoin e Mt. Gox non ha alcun elemento che possa provare il contrario, dovendo quindi inviare un altro pagamento. Come già detto in precedenza si tratta di un problema che può affliggere qualsiasi wallet basato su un'implementazione personalizzata diversa da quella reference e quindi potenzialmente qualsiasi servizio di cambio dal momento che di norma essi fanno uso di wallet personalizzati.

Ed ecco che, proprio mentre Mt. Gox sta ancora lavorando per risolvere il problema, anche il servizio di cambio Bitstamp ha disposto una sospensione dei prelievi, allo stesso scopo di affrontare e risolvere il problema della Transaction Malleability e trovandosi, inoltre, vittima di un attacco DDoS. Bitstamp ha affermato che nessuno dei fondi del sistema è andato perduto, ma alcune transazioni degli ultimi giorni sono state preventivamente bloccate fintanto che il servizio è al lavoro per implementare una soluzione.

A questo punto è possibile che la scena si vada a ripetere per molti altri servizi di cambio, che potrebbero sospendere parimenti i prelievi per cercare di risolvere il problema e prevenire eventuali attacchi e frodi. Pur esistendo ed essendo conosciuto dal 2011 come osservato anche dalla Bitcoin Foundation, solo in questi giorni il problema Transaction Malleability sta divenendo di pubblico dominio: i possibili malintenzionati possono quindi essere impegnati ad individuare i bersagli più vulnerabili, sondando i vari servizi di cambio con attacchi brute force come nel caso di Bitstamp. Il livello di vulnerabilità, infatti, varia anche in maniera sensibile da servizio a servizio, dal momento che ciascun servizio di cambio ha implementato i propri wallet in maniera differente.

76 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
qboy12 Febbraio 2014, 13:35 #1
chissà quanti si sono arrichiti con sto bug..
CrapaDiLegno12 Febbraio 2014, 13:44 #2
Chissà quanti si sono arricchiti con la sola idea di immettere nel circuito finanziario della moneta (se così si può chiamare) che ha valore nullo.
E quanti gonzi prima o poi piangeranno per aver abboccato.
palleggiatore12 Febbraio 2014, 14:22 #3
CrapaDiLegno il punto è proprio questo: la moneta non ha valore di per sé, ma ha il valore che le viene attribuito, stesso discorso vale per la cartamoneta che usi ogni giorno.
alla fine il mercato del bitcoin è un mercato forex a tutti gli effetti.
songohan12 Febbraio 2014, 14:26 #4
Originariamente inviato da: palleggiatore
CrapaDiLegno il punto è proprio questo: la moneta non ha valore di per sé, ma ha il valore che le viene attribuito, stesso discorso vale per la cartamoneta che usi ogni giorno.
alla fine il mercato del bitcoin è un mercato forex a tutti gli effetti.


Ancora con queste sciocchezze...
palleggiatore12 Febbraio 2014, 14:37 #5
concettualmente magari no ma all'atto pratico ti sfido ad affermare il contrario.
+Benito+12 Febbraio 2014, 15:09 #6
Forse non si è capito che se ho in tasca 5 euro li spendo come e quando voglio, se ho in tasca 5 bitcoin ho in tasca i soldi del monopoli, solo che in questo caso un po' di gente ha fatto un sistema per comprare i soldi del monopoli coi soldi veri e facendo credere che i soldi del monopoli sono soldi veri. Del motivo per cui questo metodo occulto di trasferimento di fondi esista ne abbiamo già parlato ma vedo che i fessi e gli ingenui abbondano. Sarà l'effetto del benessere.
AlexSwitch12 Febbraio 2014, 15:09 #7
Più che concettualmente, scriverei legalmente, visto che i BitCoin non sono una valuta che ha corso legale.
Inoltre i FoRex sono mercati regolamentati e chi opera in questi è sempre noto e deve vantare determinate garanzie. Tutte cose che, prendendo in considerazione l'articolo, mancano con BitCoin.
Aryan12 Febbraio 2014, 15:53 #8
Originariamente inviato da: +Benito+
Forse non si è capito che se ho in tasca 5 euro li spendo come e quando voglio, se ho in tasca 5 bitcoin ho in tasca i soldi del monopoli, solo che in questo caso un po' di gente ha fatto un sistema per comprare i soldi del monopoli coi soldi veri e facendo credere che i soldi del monopoli sono soldi veri. Del motivo per cui questo metodo occulto di trasferimento di fondi esista ne abbiamo già parlato ma vedo che i fessi e gli ingenui abbondano. Sarà l'effetto del benessere.


Ah si perché tu giri con i tasca tutti i tuoi risparmi?!?
Non ho BitCoin ma ti assicuro che forse stanno meglio la che in mano alle banche che sono la causa di tutte le crisi finanziarie mondiali che se ne dica!
Aryan12 Febbraio 2014, 15:55 #9
Originariamente inviato da: AlexSwitch
Più che concettualmente, scriverei legalmente, visto che i BitCoin non sono una valuta che ha corso legale.
Inoltre i FoRex sono mercati regolamentati e chi opera in questi è sempre noto e deve vantare determinate garanzie. Tutte cose che, prendendo in considerazione l'articolo, mancano con BitCoin.


Garanzie? Si, quelle delle banche greche o di tutte le altre del mondo? Più passa il tempo e più saranno lacrime amare per tutti, altro che garanzie. L'unica garanzia è che moriremo tutti prima o dopo
gd350turbo12 Febbraio 2014, 16:12 #10
Tanti anni fa, mi ricordo che ci fu una corsa al gioco in borsa, tutti cercavano di giocare in borsa perchè dicevano che si guadagnava, poi dopo un paio di "tiri mancini", la cosa si è di molto ridimensionata...

La storia si ripete con i bitcoin, cè chi li ha comperati/minati per pochi euro e con la valutazione attuale ha fatto i soldi e ora sono diventati / stanno diventando di moda, fino a che non scoppierà la mitica bolla.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^