Los agujeros preocupantes en la cuenta de MtGox sobre cómo perdió $ 600 millones en bitcoins

El 10 de febrero, un intercambio de Bitcoin llamado MtGox anunció que había perdido unos 850.000 bitcoins, de los cuales 750.000 pertenecían a sus clientes. En ese momento, los bitcoins se cotizaban a $ 827 cada uno, lo que hacía que el valor de la pérdida fuera equivalente a $ 620 millones.





Eso es un déficit significativo para los estándares de cualquiera. Pero MtGox tenía una explicación. En un comunicado de prensa de ese día, anunció que había sido víctima de un fraude en el que los piratas informáticos habían robado los bitcoins.

El fraude, dijo la compañía, fue el resultado de un problema conocido como error de maleabilidad de la transacción. Esto permite a los usuarios malintencionados transferir bitcoins a sus cuentas mientras MtGox crea que la transferencia ha fallado. En consecuencia, MtGox repitió estas transacciones de modo que el monto total se transfirió dos veces.

Hoy, Christian Decker y Roger Wattenhofer del Instituto Federal Suizo de Tecnología en Zúrich ponen en duda esta versión de los hechos. Estos muchachos han estado monitoreando las transacciones de bitcoins desde enero de 2013 de una manera que les permite detectar transacciones de errores de maleabilidad. Y dicen que el número total de transferencias fraudulentas en ese tiempo es varios órdenes de magnitud menor de lo que dice MtGox.



Decker y Wattenhofer comenzaron a monitorear la red Bitcoin en enero de 2013. Registraron todas las transacciones, así como aquellas que estaban bloqueadas, al conectarse a alrededor de 1000 nodos en la red Bitcoin. Eso es aproximadamente el 20 por ciento del total.

Cuando se realiza una transacción, los detalles se difunden a través de la red y le dicen a otros nodos quién ahora posee los bitcoins. Cuando la transacción falla, la noticia también se difunde para que los registros de todos puedan actualizarse.

El error de maleabilidad permite que un usuario malintencionado cambie estos detalles en secreto para que el remitente original crea que la transacción ha sido bloqueada mientras que todos los demás piensan que se ha realizado correctamente. Pero Decker y Wattenhofer pudieron registrar cuándo sucedió esto al buscar casos en los que las mismas transacciones diferían en los detalles relevantes.



Durante el año que han estado recopilando sus datos, Decker y Wattenhofer han observado un total de 302.000 bitcoins involucrados en ataques de maleabilidad. Sin embargo, la gran mayoría de estos ocurrieron después del comunicado de prensa de MtGox del 10 de febrero y parecen ser ataques de imitación provocados por la noticia de que podrían tener éxito. Estos, presumiblemente, no pueden haber involucrado a MtGox porque había impedido a sus clientes acceder a sus cuentas para entonces.

Los números que involucraban a MtGox antes de esa fecha eran mucho menores. Solo 1.811 bitcoins estaban en ataques antes de que MtGox impidiera que los usuarios retiraran bitcoins, dicen Decker y Wattenhofer.

Es más, alrededor del 75 por ciento de estos ataques fueron ineficaces. Como tal, apenas 386 bitcoins podrían haber sido robados usando ataques de maleabilidad de MtGox o de otras empresas, concluyen. Esto es tres órdenes de magnitud menos que el número que afirma MtGox.



Ese es un estudio interesante que deja un gran vacío en el relato de MtGox sobre lo que sucedió. Incluso si todos estos ataques fueron dirigidos contra MtGox, MtGox necesita explicar el paradero de 849,600 bitcoins, dicen Decker y Wattenhofer.

Un corolario curioso de esta historia es que hace un par de semanas, MtGox anunció que había encontrado 200.000 Bitcoins en un disco duro antiguo. Esos, al menos, no habían sido robados. Aún se desconoce el paradero del resto

Este es un colapso espectacular. En 2013, MtGox manejaba el 70 por ciento de todas las transacciones de bitcoins. Hoy, suspendió la negociación, cerró su bolsa y se declaró en quiebra.



Enviamos un correo electrónico a MtGox para pedir comentarios, pero no hemos recibido respuesta. Claramente, hay más en esta historia por venir.

Ref: http://arxiv.org/abs/1403.6676 : Maleabilidad de transacciones de Bitcoin y MtGox

esconder