Twee Zwitserse wetenschappers claimen na diepgravend onderzoek dat Mt. Gox zijn bitcoins helemaal niet kwijt is geraakt in een grote aanval -of meerdere- via het transaction malleability-probleem.

"Het probleem is reëel en daarmee moet rekening worden gehouden bij het implementeren van Bitcoin-clients. Maar wij hebben slechts 302.000 bitcoins kunnen ontdekken die ooit zijn betrokken in malleability-aanvallen. Van dat aantal zijn slechts 1811 bitcoins betrokken bij aanvallen voordat Mt. Gox het voor gebruikers onmogelijk maakte bitcoins op te nemen", schrijven de twee in een rapport.

Meer dan 78 procent van aanvallen faalt

Maar het gaat niet alleen om de aantallen die niet kloppen, ook zijn de meeste aanvallen niet effectief. Meer dan 78 procent van de aanvallen levert geen bitcoin op. "Met dat in ogenschouw nemend kunnen er slechts 386 bitcoins zijn gestolen, bij Mt. Gox of een ander bedrijf. Zelfs als alle aanvallen waren gericht op Mt. Gox, moet er nog steeds worden uitgelegd waar die andere 849.000 bitcoins zijn gebleven."

De onderzoekers van de technische universiteit in Zurich legden de persberichten van Mt. Gox naast de bevindingen die ze uit onderzoek verkregen van events in het Bitcoin-netwerk. Meest opvallende detail: de meeste en succesvolste malleability-aanvallen vonden plaats nadat Mt. Gox een persbericht had uitgegeven. "Het lijkt erop dat aanvallers juist door de gezochte publiciteit van Mt. Gox op het idee zijn gebracht een dergelijke aanval in te zetten op het netwerk."

Afsluiten transacties sluit aanvallen uit

Daarnaast is het opvallend dat Mt. Gox al in het eerste persbericht spreekt van het afsluiten van de klantenmodule die het opnemen van bitcoins vanaf de rekening bij Mt. Gox mogelijk maakt. Malleability-aanvallen hebben het juist nodig dat een rekeninghouder een transactie doet op zijn rekening. Die transactie wordt onderschept, veranderd en doorgezonden als een transactie terwijl de gebruiker juist een bericht krijgt dat zijn eigen transactie niet is bevestigd.

Maar als de transactiemodule al in een vroeg stadium is afgesloten door Mt. Gox, zo redeneren de onderzoekers, dan zijn de claims van Mt. Gox niet te rijmen met het feit dat de grootste malleability-aanvallen in het Bitcoin-netwerk juist daarna hebben plaatsgevonden. Maar zoals het duo zegt: zelfs alle aanvallen binnen het netwerk bij elkaar komen nog lang niet tot het enorme totaal van 850.000 gestolen bitcoins zoals Mt. Gox claimt.

Al 200.000 bitcoins 'teruggevonden'

Dat bleek overigens vorige week al deels, toen Mt. Gox plots 200.000 bitcoins 'terugvond'. De bitcoins werden gevonden toen de dienst een scan over de oude wallets heen haalde. Deze digitale portemonnees werden sinds 2011 niet meer gebruikt omdat de dienst naar een nieuw formaat overstapte.