Блог им. SerSer

Уязвимость ФОРТС

Добрый день всем!

Всем на обсуждение.

Вот такое письмо было разослано более месяца назад:

26 мая 2016 г., 20:41

Кому: ir@moex.comКопия: pr@moex.com, media@cbr.ru, info@msk.bcs.ru, Ask@corp.finam.ru, research@sberbank-cib.ru, ceo@aton.ru, clients@itinvest.ru, letters@rbc.ru, timmartynov@gmail.com
 

Добрый день!

 

Найдена уязвимость Модуля расчета гарантийного обеспечения рынка фьючерсов и опционов, позволяющая открывать позиции по основным инструментам (Фьючерсный контракт на Индекс РТС, Фьючерсный контракт на курс доллар США — российский рубль), без Гарантийного Обеспечения и в объемах (до 10 миллионов  контрактов) значительно превышающих объем открытых позиций и среднедневной объем торгов по данным инструментам.

 

Риски уязвимости

Выставление одним участником  одной заявки на 1 000 000 контрактов на курс доллар США — российский рубль (1 млрд. долларов США) приведет к одномоментному изменению цены фьючерса на 4% (достижение либо нижней, либо верхней границы торгового диапазона) без изменения цены по базовому активу. То есть, возникнет ситуация для сверхприбыльной арбитражной сделки, которой воспользуются все крупные участники рынка. После реализации заявки возникнет маржинальное требование и принудительное закрытие позиций, что вызовет движение цены до противоположной границы торгового диапазона.

Размер убытка у участника, Брокера, НКЦ и Московской Биржи может достигнуть 5 млрд. руб.

Выставление множества заявок множеством участников (или группой участников) может полностью парализовать срочный рынок и привести к множественным дефолтам крупных брокерских компаний. Фактически к хаосу на финансовом рынке России.

 

 




А теперь вопросы для всех:
     1 как думаете от кого и какая была реакция?
     2 что делать с данной уязвимостью?
★2
44 комментария
Судя по последнему абзацу письмо можно смело в мусорку выкидывать. Дети балуются.
avatar
Reshpekt Fund Russia ☮
Reshpekt Fund Russia, у меня больше вопросов к абзацу, описывающему пушистого зверька в деталях. Во-первых, каким образом выставление заявки уведет фьюч на 4%. Во-вторых, если ГО считается неправильно, откуда возьмутся маржинальные требования?

Вата короче.
avatar
bstone
bstone, выставить заявку по планке
avatar
Маркин Павел
Сергей С., ну выстави планку на пустом месте и подержи чуток, вколотят столько, что устанешь отползать.
avatar
Reshpekt Fund Russia ☮
+1
Reshpekt Fund Russia, про это и было письмо, что если выставить планку на пустом месте, «Рынок» всё съест и вернется к нормальному состоянию. А значит у выставившего будет гигантский лось, который он не покроет. И брокер перед НКЦ не покроет. и наступает процедура «Дефолт-менеджмента» вплоть до "Применяется процедура «размазывания» убытков и позиций:  закрываются позиции добросовестных участников, имеющих противоположные позиции по данному инструменту, по цене, позволяющей ограничить убыток НКЦ размером выделенного капитала"(http://moex.com/s1581)

avatar
Маркин Павел
Сергей С., откатят в точку и всё. Какой дефолт-менеджмент, если эксплойт пролез вне лимитов без го.
avatar
Reshpekt Fund Russia ☮
+1
Reshpekt Fund Russia, когда у нас Биржа сделки отменяла? В соответствии с ФЗ О ПРОТИВОДЕЙСТВИИ НЕПРАВОМЕРНОМУ ИСПОЛЬЗОВАНИЮ ИНСАЙДЕРСКОЙ ИНФОРМАЦИИ И МАНИПУЛИРОВАНИЮ РЫНКОМ Биржа не может отменить данные сделки
avatar
Маркин Павел
+1
Сергей С., да прям. Ну, допустим, ты открыл на бомжа брокерский счёт. Бомж жахнул эксплойт-лимиткой в 1 mio лотов Si и на бомже (по сути на брокере) повисли гденить 2.5 ярда убытка, которые ему насували сразу. Твой второй подсадной держал лимит размазанный возле планки и взял сколько-то там десятков миллионов с этого шипа, не больше, чтоб не отсвечивать. Эксплойт пролез без обеспечения, обсчитав биржевую систему рисков, брать нечего. Какие варианты у биржи и брокеров с точки зрения минимального геморроя? Канешн приостановят и откатят всё.
avatar
Reshpekt Fund Russia ☮
Reshpekt Fund Russia, смотрите выше — не могут.
avatar
Маркин Павел
Reshpekt Fund Russia, "Совершение операций, сопровождающихся использованием инсайдерской информации и (или) являющихся манипулированием рынком, не является основанием для признания их недействительными
"
avatar
Маркин Павел
Сергей С., тут нет инсайда или манипулирования ценой, а есть взлом системы рисков. Одно дело, когда есть ГО в системе на 1 mio лотов и вы этим ГО разные шипы запускаете, тут не отменят, другое дело, когда нет ГО…
avatar
Reshpekt Fund Russia ☮
Reshpekt Fund Russia, А вот в  НКЦ мне сказали, что в основном это риски брокеров — "… значит они Вам дают такое плечо..."
avatar
Маркин Павел
Reshpekt Fund Russia, Многоуважаемый Reshpekt, а почему все кидаются на идею «1 mio лотов», хотя основная идея «сделки без ГО». «Бомж» же может не «жахнуть», а так «стрельнуть из рогатки» в какой нибудь стакан неликвидных опционов и сделать «перелив средств» 
avatar
Маркин Павел
Сергей С., предположу, что у идеи «сделки без ГО через эксплоит» вероятность быть незамеченной крайне мала. Соответственно если зловредный хакер и будет эту идею монетизировать, то разово… жахая…
avatar
Reshpekt Fund Russia ☮
Reshpekt Fund Russia, сделки без ГО, спокойно проходят и даже никто не обращает внимания. «купил подешевле — продал подороже» позиция 0, разница на счет
avatar
Маркин Павел
Сергей С., тут надо уточнить — в случае заявки на покупку, речь идет о верхней планке или нижней?
avatar
bstone
bstone, а разница то какая? эффект то одинаков
avatar
Маркин Павел
Сергей С., ну вот, разочаровашка. А я уже начал было заинтриговываться. Если выставить заявку на покупку по нижней планке, то всем будет, мягко говоря, насрать. Странно, что нет понимания этого процесса. Скорее всего именно так проверялась гипотеза, я прав? Попробуйте проверить ее, выставив заявку на покупку по верхней планке :))
avatar
bstone
+1
bstone, извиняюсь не точно написал. покупка по верхней продажа по нижней
avatar
Маркин Павел
Сергей С., ага, ну если это действительно так, то это может быть серьезно. Проверка ограничивалась лишь выставлением заявки или доходила до реальных сделок?
avatar
bstone
bstone, до реальных сделок. и даже при отрицательном счете.
avatar
Маркин Павел
Сергей С., ммм, а почему НКЦ откосило на брокеров? Это фишка отдельного брокера?
avatar
bstone
bstone, Биржа является разработчиком Модуля. Модуль передается Брокерам в пользование.
avatar
Маркин Павел
Сергей С., ну в этом есть определенная логика. Но по факту имеем бэк-дор в модуле ГО, который делает биржа, и которая не отвечает материально за проблемы, из-за него возникающие. С другой стороны брокеры, которые не могут влиять на реализацию модуля, но которые отвечают за дырки в нем материально. Ну и НКЦ, который в любом случае свалит либо на брокера, либо на биржу. Вот примерно так и получается, что особо никто не парится :)
avatar
bstone
+1


avatar
helk3rn
+1
Adept, Совсем не дети, уязвимость существует, испытания проведены
avatar
Маркин Павел
0
Сергей С., и каким же способом выставить такую заявку? детали плиз.
avatar
nik
+1
nik, «детали плиз» — как и любой уникальный эксплойт имеет стоимость пока необнародован
avatar
Маркин Павел
0
Сергей С., вот потому и проигнорировали все адресаты,  что обычный трололо))
avatar
nik
0
nik, слепая вера в «непокобелимость» системы — вот причина игнорирования.
И кстати не все проигнорировали.
avatar
Маркин Павел
0
Сергей С., ну так продемонстрировать наличие уязвимости можешь, или болобол?
avatar
nik
+1
nik, это Ваша официальная Оферта?
avatar
Маркин Павел
Сергей С., заявку этого размера поставь на +-100% от цены и сделай скрин, а потом уже можешь продавать!
пока действительно трололо…
avatar
matrix
-1
Сергей С., поставь, например, на sih7 ровно в 15.20 бид на 10м лотов на 5-10 копейки ниже лучшего бида. а мы посмотрим, появится твой ордер в стакане или нет. это будет лучшее подтверждение что ты не звиздишь ;)
avatar
nik
nik, Уважаемый nik, после написания письма Бирже, и прочих контактов с заинтересованными лицами, я даже ради забавы не буду заниматься такой ерундой как выставление многомиллионных лотов. 
avatar
Маркин Павел
-1
Сергей С., так и знал, что трололо))
avatar
nik
nik, У Вас есть неотъемлемое право иметь своё субъективное мнение.
avatar
Маркин Павел
Алексей С, не учтена
avatar
Маркин Павел
smart-lab.ru/blog/337760.php
avatar
D.G.
 Вообще в протоколе предусмотрена возможность ставить заявки без проверки ГО, флаг dont_check_money но данный функционал не доступен для обычных логинов!
avatar
SAI

полезные записи за 24 часа

★8 4 6 способов как оплатить налоги со скидкой
★8 18 Уведомил налоговую о трансформации ИИС в ИИС-3го типа
★7 11 Пять акций с самыми высоким дивидендами
★7 23 95,1% российских семей не хватает денег на всё. Хватает только на ой всё
★7 9 Мой портфель облигаций на 21 ноября
★7 36 💲Девальвация: как доллар по 100₽ меняет вашу жизнь и почему всем на это наплевать?
★6 93 Если мы скатимся в гипер..
★6 6 Итоги недели 21.11.2024. Предел эскалации. Курс доллара и нефть
★5 69 Интересная пришла мысль: ОФЗ или квартира?
★4 11 ⭐️Допка в Сегеже: лес рубят – щепки летят 🌲
+251 287 Ситуация на текущий момент
+168 32 Под санкции США попали более 50 банков РФ🔥Акции и инвестиции
+165 92 Кэша больше нет⚠️
+156 76 Декларирую медвежий рынок века!📉 Весь мир в труху! IMOEX = 1000
+144 86 Азия. Четверг.
+123 33 Мосбиржа опять в крови: когда покупать акции?
+107 50 Не могу понять, почему люди до сих пор ждут рост
+98 81 Медвежий рынок вернулся?
+79 69 Интересная пришла мысль: ОФЗ или квартира?
+78 93 Если мы скатимся в гипер..

самые обсуждаемые сегодня

14к Шорт
13к Веселая вечеринка
НАЧАЛО
Мишкам писец - часть вторая
Что было. Что будет. Чем сердце успокоится.
Сентимент рынка
Рынок РФ . Игра на "принуждение" / Пакетная распродажа активов стартовала .
ФНС ожидает роста налоговых поступлений в бюджет в 2024 году почти на 19%
Дно Мартынова уже что ли?
Стоит ли вовлекаться в гонку вкладов ?

теги блога Маркин Павел

....все тэги



UPDONW
Новый дизайн