07 июля 2016, 13:30

Уязвимость ФОРТС

Добрый день всем!

Всем на обсуждение.

Вот такое письмо было разослано более месяца назад:

26 мая 2016 г., 20:41

Кому: [email protected]Копия: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]

Добрый день!

Найдена уязвимость Модуля расчета гарантийного обеспечения рынка фьючерсов и опционов, позволяющая открывать позиции по основным инструментам (Фьючерсный контракт на Индекс РТС, Фьючерсный контракт на курс доллар США — российский рубль), без Гарантийного Обеспечения и в объемах (до 10 миллионов контрактов) значительно превышающих объем открытых позиций и среднедневной объем торгов по данным инструментам.

Риски уязвимости

Выставление одним участником одной заявки на 1 000 000 контрактов на курс доллар США — российский рубль (1 млрд. долларов США) приведет к одномоментному изменению цены фьючерса на 4% (достижение либо нижней, либо верхней границы торгового диапазона) без изменения цены по базовому активу. То есть, возникнет ситуация для сверхприбыльной арбитражной сделки, которой воспользуются все крупные участники рынка. После реализации заявки возникнет маржинальное требование и принудительное закрытие позиций, что вызовет движение цены до противоположной границы торгового диапазона.

Размер убытка у участника, Брокера, НКЦ и Московской Биржи может достигнуть 5 млрд. руб.

Выставление множества заявок множеством участников (или группой участников) может полностью парализовать срочный рынок и привести к множественным дефолтам крупных брокерских компаний. Фактически к хаосу на финансовом рынке России.

А теперь вопросы для всех:
1 как думаете от кого и какая была реакция?
2 что делать с данной уязвимостью?

ММВБ ФОРТС

Маркин Павел

Санкт-Петербург

274

10 249

с 6 июля 2016

44 Комментария

Reshpekt Fund Russia ☮
07 июля 2016, 13:38
Судя по последнему абзацу письмо можно смело в мусорку выкидывать. Дети балуются.
0
- bstone
  07 июля 2016, 13:46
  Reshpekt Fund Russia, у меня больше вопросов к абзацу, описывающему пушистого зверька в деталях. Во-первых, каким образом выставление заявки уведет фьюч на 4%. Во-вторых, если ГО считается неправильно, откуда возьмутся маржинальные требования?
  
  Вата короче.
  0
  - Маркин Павел
    07 июля 2016, 13:48
    bstone, выставить заявку по планке
    0
    - Reshpekt Fund Russia ☮
      07 июля 2016, 14:24
      Сергей С., ну выстави планку на пустом месте и подержи чуток, вколотят столько, что устанешь отползать.
      0
      - Маркин Павел
        07 июля 2016, 14:33
        Reshpekt Fund Russia, про это и было письмо, что если выставить планку на пустом месте, «Рынок» всё съест и вернется к нормальному состоянию. А значит у выставившего будет гигантский лось, который он не покроет. И брокер перед НКЦ не покроет. и наступает процедура «Дефолт-менеджмента» вплоть до "Применяется процедура «размазывания» убытков и позиций: закрываются позиции добросовестных участников, имеющих противоположные позиции по данному инструменту, по цене, позволяющей ограничить убыток НКЦ размером выделенного капитала"(http://moex.com/s1581)
        
        +1
        Reshpekt Fund Russia ☮
        07 июля 2016, 14:38
        Сергей С., откатят в точку и всё. Какой дефолт-менеджмент, если эксплойт пролез вне лимитов без го.
        0
        Маркин Павел
        07 июля 2016, 14:44
        Reshpekt Fund Russia, когда у нас Биржа сделки отменяла? В соответствии с ФЗ О ПРОТИВОДЕЙСТВИИ НЕПРАВОМЕРНОМУ ИСПОЛЬЗОВАНИЮ ИНСАЙДЕРСКОЙ ИНФОРМАЦИИ И МАНИПУЛИРОВАНИЮ РЫНКОМ Биржа не может отменить данные сделки
        +1
        Reshpekt Fund Russia ☮
        07 июля 2016, 14:54
        Сергей С., да прям. Ну, допустим, ты открыл на бомжа брокерский счёт. Бомж жахнул эксплойт-лимиткой в 1 mio лотов Si и на бомже (по сути на брокере) повисли гденить 2.5 ярда убытка, которые ему насували сразу. Твой второй подсадной держал лимит размазанный возле планки и взял сколько-то там десятков миллионов с этого шипа, не больше, чтоб не отсвечивать. Эксплойт пролез без обеспечения, обсчитав биржевую систему рисков, брать нечего. Какие варианты у биржи и брокеров с точки зрения минимального геморроя? Канешн приостановят и откатят всё.
        +1
        Маркин Павел
        07 июля 2016, 15:00
        Reshpekt Fund Russia, смотрите выше — не могут.
        0
        Маркин Павел
        07 июля 2016, 15:08
        Reshpekt Fund Russia, "Совершение операций, сопровождающихся использованием инсайдерской информации и (или) являющихся манипулированием рынком, не является основанием для признания их недействительными
        "
        0
        Reshpekt Fund Russia ☮
        07 июля 2016, 15:12
        Сергей С., тут нет инсайда или манипулирования ценой, а есть взлом системы рисков. Одно дело, когда есть ГО в системе на 1 mio лотов и вы этим ГО разные шипы запускаете, тут не отменят, другое дело, когда нет ГО…
        0
        Маркин Павел
        07 июля 2016, 15:18
        Reshpekt Fund Russia, А вот в НКЦ мне сказали, что в основном это риски брокеров — "… значит они Вам дают такое плечо..."
        0
        Маркин Павел
        07 июля 2016, 15:41
        Reshpekt Fund Russia, Многоуважаемый Reshpekt, а почему все кидаются на идею «1 mio лотов», хотя основная идея «сделки без ГО». «Бомж» же может не «жахнуть», а так «стрельнуть из рогатки» в какой нибудь стакан неликвидных опционов и сделать «перелив средств»
        0
        Reshpekt Fund Russia ☮
        07 июля 2016, 16:00
        Сергей С., предположу, что у идеи «сделки без ГО через эксплоит» вероятность быть незамеченной крайне мала. Соответственно если зловредный хакер и будет эту идею монетизировать, то разово… жахая…
        0
        Маркин Павел
        07 июля 2016, 16:08
        Reshpekt Fund Russia, сделки без ГО, спокойно проходят и даже никто не обращает внимания. «купил подешевле — продал подороже» позиция 0, разница на счет
        0
    - bstone
      07 июля 2016, 14:26
      Сергей С., тут надо уточнить — в случае заявки на покупку, речь идет о верхней планке или нижней?
      0
      - Маркин Павел
        07 июля 2016, 14:38
        bstone, а разница то какая? эффект то одинаков
        0
        bstone
        07 июля 2016, 14:41
        Сергей С., ну вот, разочаровашка. А я уже начал было заинтриговываться. Если выставить заявку на покупку по нижней планке, то всем будет, мягко говоря, насрать. Странно, что нет понимания этого процесса. Скорее всего именно так проверялась гипотеза, я прав? Попробуйте проверить ее, выставив заявку на покупку по верхней планке :))
        0
        Маркин Павел
        07 июля 2016, 14:45
        bstone, извиняюсь не точно написал. покупка по верхней продажа по нижней
        +1
        bstone
        07 июля 2016, 15:04
        Сергей С., ага, ну если это действительно так, то это может быть серьезно. Проверка ограничивалась лишь выставлением заявки или доходила до реальных сделок?
        0
        Маркин Павел
        07 июля 2016, 15:09
        bstone, до реальных сделок. и даже при отрицательном счете.
        0
        bstone
        07 июля 2016, 15:26
        Сергей С., ммм, а почему НКЦ откосило на брокеров? Это фишка отдельного брокера?
        0
        Маркин Павел
        07 июля 2016, 15:34
        bstone, Биржа является разработчиком Модуля. Модуль передается Брокерам в пользование.
        0
        bstone
        07 июля 2016, 15:43
        Сергей С., ну в этом есть определенная логика. Но по факту имеем бэк-дор в модуле ГО, который делает биржа, и которая не отвечает материально за проблемы, из-за него возникающие. С другой стороны брокеры, которые не могут влиять на реализацию модуля, но которые отвечают за дырки в нем материально. Ну и НКЦ, который в любом случае свалит либо на брокера, либо на биржу. Вот примерно так и получается, что особо никто не парится :)
        0
helk3rn
07 июля 2016, 13:42

+1
- Маркин Павел
  07 июля 2016, 13:44
  Adept, Совсем не дети, уязвимость существует, испытания проведены
  +1
  - nik
    07 июля 2016, 14:04
    Сергей С., и каким же способом выставить такую заявку? детали плиз.
    0
    - Маркин Павел
      07 июля 2016, 14:08
      nik, «детали плиз» — как и любой уникальный эксплойт имеет стоимость пока необнародован
      +1
      - nik
        07 июля 2016, 14:27
        Сергей С., вот потому и проигнорировали все адресаты, что обычный трололо))
        0
        Маркин Павел
        07 июля 2016, 14:36
        nik, слепая вера в «непокобелимость» системы — вот причина игнорирования.
        И кстати не все проигнорировали.
        0
        nik
        07 июля 2016, 14:40
        Сергей С., ну так продемонстрировать наличие уязвимости можешь, или болобол?
        0
        Маркин Павел
        07 июля 2016, 14:47
        nik, это Ваша официальная Оферта?
        +1
        matrix
        07 июля 2016, 15:07
        Сергей С., заявку этого размера поставь на +-100% от цены и сделай скрин, а потом уже можешь продавать!
        пока действительно трололо…
        0
        nik
        07 июля 2016, 15:11
        Сергей С., поставь, например, на sih7 ровно в 15.20 бид на 10м лотов на 5-10 копейки ниже лучшего бида. а мы посмотрим, появится твой ордер в стакане или нет. это будет лучшее подтверждение что ты не звиздишь ;)
        -1
        Маркин Павел
        07 июля 2016, 15:15
        nik, Уважаемый nik, после написания письма Бирже, и прочих контактов с заинтересованными лицами, я даже ради забавы не буду заниматься такой ерундой как выставление многомиллионных лотов.
        0
        nik
        07 июля 2016, 15:19
        Сергей С., так и знал, что трололо))
        -1
        Маркин Павел
        07 июля 2016, 15:24
        nik, У Вас есть неотъемлемое право иметь своё субъективное мнение.
        0
D.G.
07 июля 2016, 16:14
smart-lab.ru/blog/337760.php
0
SAI
07 июля 2016, 16:32
Вообще в протоколе предусмотрена возможность ставить заявки без проверки ГО, флаг dont_check_money но данный функционал не доступен для обычных логинов!
0