背后的故事
分析之后我们发现,问题的关键好像并不是在bitcoin协议上,而是mtgox网站的相关逻辑处理的不合理(其实早在2011年就已经有用户指出了类似的问题并报告给了mtgox,但是mtgox并没有理会)。随后,比特币挖矿软件开发者也公开指出“错的不是我们,是 Mt. Gox 。后者对软件开发者、软件本身和协议的指责分明是无稽之谈。”
至此,Mtgox“被黑”事件算是水落石出了,其实还有另外一些站点也被黑客使用相同的手法盗走了若干比特币,比如Flexcoin(世界靠前家比特币银行),Silk Road 2.0(著名网络黑市),Poloniex(知名比特币交易所) 。Poloniex事后在talk上发布了一些关于攻击者所使用帐号的一些信息:
从这些信息中,我们不难发现,“黑”Poloniex的人有很大的可能是中国人,在列出的IP地址中,有2个地址都是来自辽宁。
我们再利用之前网上泄露出的相关数据库查寻一下第一个qq的相关信息:
到这里我们基本可以肯定“黑”Poloniex的黑客来自中国辽宁。
话题转回mtgox事件,mtgox真的是因为“被黑”而丢了75万个币才宣布破产的吗?当然不是,mtgox从很早开始就有违规操作,例如:擅自挪用用户资金、伪造网站交易量、虚增假账等等,这些在之前mtgox的交易行情中很明显可以看到,另外在mtgox申请破产之后的调查中,审计机构发现它的帐户中不仅仅没有丢失75万个币,而是至少还有80万个币。在随后某匿名黑客公布的“mtgox”帐务记录中(见下图),
也证实了这一点,在公布的记录中,可以准确的查询到笔者早期在mtgox的多次正确的交易记录(说明数据应该是真实的),而且在公布出来记录中,可以清楚的看到mtgox的帐户上大概还有95万个币左右,好像没有发生“被黑”事件一样,那么是mtgox自己卷钱跑路了?
是的,能公开的不公开,就一定有内情。能透明的不透明,就一定有虚假。当Mt可以轻易地证明自己还有兑付能力时,他没有自证,那么他多半就是没有兑付能力了。当Mt可以轻易地指认黑客通过哪几笔交易盗取了多少比特币时,他没有指认,这就意味着丢币根本不是因为黑客。比特币世界共同尊奉的就是一本透明的总账——这本总账就是比特币本身,它不会说谎,每一笔交易都明明白白地写在上面,别有用心的人就连伪装失窃都难以做到,因此Mt只能选择沉默,选择顾左右而言他。
比特币的交易延展性漏洞确实存在,这是一个2011年就发现的bug,但它的影响是有限的,防护也很容易。只要交易所以更严谨的方式核对提现记录,这个漏洞完全不会造成危险。因此除了MtGox之外,绝大多数比特币交易所都没有因此漏洞遭受损失,在MtGox事件之后也顶多只是经过短暂的维护就正常运营了。唯独MtGox始终不能恢复正常运营,只是三天两头更新一下公告,表示我们在忙,从没有许诺解决时限,也从来没有交代过他们究竟有没有因此漏洞或别的原因丢了币。
人们越来越怀疑MtGox将无法正常运营,认为MtGox的比特币——无论是因为黑客盗取、内部挪用还是虚增假账——不足以兑付给投资者。因此MtGox中的币价跌成了其它市场中的四、五分之一。但仍然有许多人非常乐观,相信MtGox面临的确实仅仅是技术上的问题,重新编写网站程序后还会复原的。因此还有人愿意低价收购MtGox中的比特币,甚至还试图往MtGox充钱去买币,不过这时的mtgox已经变成了只进不出的貔貅。正是MtGox和其它交易所的巨大的差价,让许多人相信币最终能够提取出来,因为MtGox内部完全可以利用这一差价,以及利用对消息的控制,低买高卖,赚个盆满钵满,等赚够了自然就能恢复正常了。当然,最坏的情况是,他们一方面在操纵市场谋取暴利,但另一方面投资者的币还是不会吐给你。
这里还有个小插曲,前面提到的那个公布mtgox数据的黑客,在公布的压缩包中还放了一个像是“数据查询工具”的软件:
卡巴斯基的安全研究人员发现,这个工具其实“目的”并不单纯,其实它是一个由Livecode编写的恶意软件,该软件通过伪装,成为一款管理Mt.Gox网站比特币交易的后台应用。这款应用会搜索用户目录,以查找与比特币有关的文件——wallet.dat和bitcoin.conf,并将其上传至一个现已无效的服务器。该应用可在OS X和Windows操作系统上运行。
恶意代码片段:
这位公布mtgox数据的黑客可谓是别有用心。
一点反思
虽然比特币界的乱象及黑幕还远远不止这些,但是毫无疑问,无论是MtGox还是其他的什么,它们的问题都不会破坏比特币的未来,比特币的安全性并未受损,它的去中心化开源特性使得它不会因任何一个“中心”的倒台而崩溃。但去中心化并不代表在相应的发展阶段和相应的生态层面上没有相对意义上的中心,例如比特币基金会在现阶段就是比特币开发社区的中心,正如中本聪则是最初阶段时的中心,MtGox则是去年之前比特币和法币兑换的交易中心。这些“中心”都是在自由的市场竞争中形成的,它们随时也会被新的竞争者取代或超越。
下图的二维码是我的钱包地址,如果你觉得本文对你有帮助,不妨打赏笔者一杯咖啡。
