从Mt.Gox的破产来看业务安全的重要性

Mt.Gox平台的85万个比特币被盗,导致公司破产。经分析,原因大致为:比特币提现环节的签名被黑客篡改并先于正常的请求进入比特币网络,结果伪造的请求可以提现成功,而正常的提现请求在交易平台中出现异常并显示为失败,此时黑客实际上已经拿到提现的比特币了,但是他继续在Mt.Gox平台请求重复提现,Mt.Gox在没有进行事务一致性校验(对账)的情况下,重复支付了等额的比特币,导致交易平台的比特币被窃取。

在一个中心化的交易系统中,要保障业务的安全进行,有以下几点是必须考虑的:

一是对交易数据进行签名,对签名进行校验(验签),确保证据链完整;

二是事务(即关联的一组动作)或数据的完整性检查,一旦出错,恢复原状,防止重放或重复支付;

三是对交易的返回确认,且确认应由人工进行,检视交易金额是否正确,避免全自动交易,防止木马或恶意的交易请求。

Mt.Gox很不幸,业务安全的这几点全部没有做到。签名被篡改后仍然进入比特币网络,对重复提现没有进行完整性检查(各账户余额及交易纪录上下文等),也缺少人工确认环节,导致被大量重复提现。

 

以下是来自媒体(2014年3月1日,http://finance.sina.cn/?wb2sina=1&wm=3049&from=wb2source&sa=t74d12664086v39&vt=4)的消息:

《华尔街日报》获悉,比特币全球大型网上交易平台Mt.Gox周五在东京地区法院召开新闻发布会。一位知情的公司律师称,Mt.Gox 已申请破产保护。该公司目前未清偿债务合计约6360万美元。
  据路透,周五的新闻发布会上,Mt.Gox首席执行官MarkKarpeles将公司经营失败归咎于“我们的系统有弱点”,但预计比特币市场还会继续发展。
  Mt.Gox估计,公司的比特币投资损失约合4.8亿美元,其中包括客户的75万单位比特币和公司自己持有的10万单位,合计约占全球比特币发行量的7%。
  据华尔街见闻实时新闻,同日披露的一份递交美国伊利诺斯州联邦法院的文件显示,本周四,芝加哥的美国律师事务所Edelson PC代表一位名为格雷戈里-格林(GregoryGreene)的客户以及其他所有受Mt.Gox破产影响的美国用户对Mt.Gox发起了集体诉讼。Edelson方面诉称,仅格林一人的损失就达到2.5万美元。
  本周二,Mt.Gox无法正常登陆。向服务器发出访问主页请求后,页面并未显示任何数据,这意味着服务器还在发挥作用,但网站已经没有任何内容。
  发现网站登陆问题后,《华尔街日报》记者曾拨打电话和发送电子邮件,试图联系Mt.Gox,可都未能取得联系。MT.Gox方面也未公开澄清。
  此后,Karpeles在电子邮件中回应路透记者有关Mt.Gox是否寿终正寝的疑问,称:
  我们应该很快会发布正式声明,目前公司处于转折点,现在不便透露太多,因为牵涉多方。
  本周三,知情者向《华尔街日报》透露,Mt.Gox已收到纽约联邦检控官的传票,传票系本月发出,要求该网站保留某些指定文件。这对Mt.Gox而言无疑是雪上加霜。
  日本政府发言人同日也表示,日本正在调查总部设在东京的Mt.Gox突然关闭一事。目前政府金融机构、警察局、财政部及其他相关部门正收集信息。
  英国《金融时报》报道,Mark Karpeles周三当天表示,他本人仍在日本,公司正在努力寻找解决方法,以使用户重新在该网站进行交易比特币。他说周二之所以关闭网站是为了采取措施“保护网站和用户”。
  昨日,Karpeles为安抚市场担忧坚称自己仍在日本,正在与技术人员合作,努力解决网站的重大安全问题。
  本月Mt .Gox可谓多灾多难。先是7日,Mt.Gox发生技术故障,用户无法正常取款,整个平台不得不暂停交易。受此影响,比特币兑换价当日一度下跌25%。
  三天后,Mt.Gox发布解释声明没多久,比特币盘中数秒内又大跌80%。投资者认为这对Mt.Gox交易平台又是一次重击。
  上周五凌晨,Mt.Gox平台比特币风暴再起。
  Mt.Gox在网站上发表声明,近来公司在试图解决提现问题。除了技术问题外,Mt.Gox公司还面临安全问题,因此需要将办公室迁回以前的所在地Shibuya。这些问题导致Mt.Gox用户依然无法正常提款。
  Mt.Gox用户对这个曾经最大的比特币交易平台失去了信心。短短几个小时内,Mt.Gox比特币由260多美元暴跌至110多美元,跌幅50%左右。
  本周一,《华尔街日报》等国外媒体报道,Mark Karpeles已辞去“比特币基金会”(Bitcoin Foundation)的董事一职。比特币基金会是一家倡导虚拟货币的行业组织,该组织的董事会成员中有一些是行业代表,Karpeles是业内举荐入选董事会的三人之一。Karpeles并未透露离职原因。
  而就在同一天,包括比特币中国在内的虚拟货币交易相关机构发布了联合声明,表明了业内对Mt.Gox的态度,声明称:
  这次 Mt.Gox 用户的信任遭到的无情背叛是由一家公司的丑恶行为造成的,并不会影响比特币和电子货币行业的应变能力或价值。……和任何新兴的行业一样,一些害群之马需要被清理掉,这也是今天我们所看到的这个结果。
  声明认为,作为金融服务供应商,Mt.Gox 完全没有满足比特币相关机构的基本要求。

 

posted @ 2014-03-01 22:34  _U2_  阅读(454)  评论(0编辑  收藏  举报