比特币交易平台Mt.Gox 暂停比特币提款事件分析
【面向非技术人员】
用户可利用Mt.Gox系统的漏洞重复提取比特币到个人钱包,所以Mt.Gox 暂停比特币提款。
举个例子:
用户张三在Mt.Gox有50个比特币,张三提取这50个币到自己的本地钱包。Mt.系统发出一个支付交易,约10分钟后,交易完成。张三的钱包余额多了50个币,MT的钱包余额少了50个币。但是在这个支付交易在中途被修改了交易的ID号。现在张三再次请求提取50个币,Mt竟然不检查自己的钱包是否少了币,仅依据自己记录的交易ID号没有被确认,就认为上次交易失败,从而再次发给张三50个币。
这听取来很搞笑,但这就是MT出现的问题。现在Mt.Gox在忙于检查自己的账本,看看那些支付交易受骗了,同时也看看哪些用户是骗子,看看能否通过法律追回被骗的币。
【面向技术人员】
事件的起因是:比特币的一个被称为“交易可锻性”(Transaction Malleability)的瑕疵。
这是比特币系统的一个小问题,不影响比特币网络的完整性,不算是一个漏洞,两年多前就被提出并讨论过,技术上有相应的应对措施。Mt.Gox显然忽视了这个问题,没有采取相应的技术措施,导致了此事件。
比特币世界很多名词都是比喻,如挖矿,矿机,矿工等,这里的“可锻性”也是个比喻,
在讨论“交易可铸锻性”前,我们先看看“金币的可铸锻性”,一个金币在使用中,被人用锤子砸了几下,凹了几处,变得不是很圆。这个金币的本质含金量没变,只是外观看上去与标准的金币有些不同,这个金币依旧是一个被认可的金币。这就是“金币的可锻性”。
“交易可锻性”指的是,比特币支付交易发出后、确认前可被修改(准确说是被伪造复制),用户签名过的信息不能更改。
原因是:用户签名的内容不是整个交易的信息,只是交易信息中的核心重要信息,如发送方,接受方,金额等。在不改变用户签名内容的前提下,对交易信息做些微调,可产生一个全新的交易字符串,由此产生新的交易HASH值,也就是交易ID Transaction ID, 由于签名内容没有更改,修改过的“交易”可通过挖矿程序确认写入块链(block chain)。
对交易信息的微调有两种方式,
第一,修改签名字符串本身。首先,多数挖矿程序是用openssl 库校验用户签名,而openssl兼容多种编码格式,还有,就是椭圆曲线数字签名算法(ECDSA)本身,签名(r,s) 和 签名(r,-s(mod n))都是有效的。所以,对签名字符串本身的表现方式做些调整,依旧是有效签名。
第二,修改交易信息中的scriptSig的值,scriptSig中含有签名字符串,scriptSig本身不含在签名内容里。scriptSig做些适当的修改,也不影响交易信息的验证。
注意,以上两种调整,都不会改变签名的核心内容,但是却产生一个新的交易字符串,由此产生新的交易HASH值。交易的本质内容(发方、收方、金额)没变,外观看上去确变了。
从交易信息发出到最终确认通常有约10分钟的时间,时间上,伪造的交易信息产生于正品交易信息之后。由于挖矿程序的确认过程是一个随机的过程,后产生的伪造的交易信息可能首先通过确认,这时正品交易信息反而被认为是重复支付被丢弃。发送方看到自己发的正品交易没通过校验,误以为支付失败(其实已成功支付),再次发送交易,支付方就支付了多余的币。
Mt.Gox通过公司的钱包对用户的比特币集中管理,同时通过总账本记录每个用户比特币的存取,依据这个账本计算每个用户账户上的比特币余额。
而其记账依据是基于交易HASH值,也就是交易ID (Transaction ID)。这就导致其可被攻击者重复提币。
Mt.Gox发现其钱包的币在不断减少,而支付交易又常常失败。意识到有点不对劲,只有暂停提币。
【攻击细节】:
1,攻击者需要一个性能普通的矿机联入比特币网络,以便获取和发送交易信息(比特币网络是开放的,谁都可以联入)
2,登录Mt.Gox平台上,请求提币到个人钱包。Mt.Gox随后向网络广播支付交易信息。
3,Mt.Gox发出的支付交易信息,通常要等约10分钟才能被确认。攻击者得到这个待确认的交易信息,伪造出一个签名内容不变而ID不同的支付交易,随后向网络广播这个伪造交易。如果正品交易先通过挖矿确认,则攻击失败。如果伪造交易先通过挖矿确认,则正品交易被丢弃,攻击成功。
事实上,如果攻击者太过招摇,可以伪造多个交易信息,增加率先通过确认的几率。
4,向Mt.Gox请求再次提币,Mt.Gox看到正品交易没有成功写入(block chain)。误以为支付失败,再次发送交易。攻击者行骗成功。
【启示】
无论是交易平台还是个人,不能仅依靠交易的HASH值判断一个交易是否成功。
最可靠的办法是:每笔交易后,检查钱包余额的增减来判断支付交易成功与否。
本文同时发表于天涯论坛:
Mt.Gox,Bitstamp 暂停比特币提款事件分析