1). Пользователь делает запрос на вывод из MtGox некоторое количество BTC на свой адрес.
2). MtGox принимает некоторые из его собственных «неизрасходованных выходов» и составляет транзакцию, которая посылает средства на адрес пользователя.
3). MtGox помнит хэш этой транзакции и смотрит появилась ли она в blockchain.
4). Пользователь (злоумышленник) или кто-то еще, видит неподтвержденную транзакцию MtGox в p2p сети и создает транзакцию, состоящую из тех же данных что и оригинальная, в следствии чего ему не требуется подписывать ее элементы (т.е. он не меняет суммы, входы или выходы), но добавляет в нее незначительные данные (лишние байты например), в итоге хеш этой транзакции отличается от исходной но она остается валидной для сети (прим. переводчика).
5). Новая, измененная, транзакция включается в blockchain. MtGox послал деньги, но еще не знает об этом. Запросивший вывод, к тому времени уже получил средства на кошелек и уже видит их.
6). Затем пользователь(злоумышленник) идет в поддержку MtGox и жалуется, что деньги не поступили. Или, MtGox сам видит, что средства не поступают слишком долго, и может автоматически, повторно, отправить другую транзакцию, которая посылает некоторые другие «неизрасходованные TX выходы» на тот же адрес (повторяет отправку). Так или иначе, он создает много путаницы для MtGox и первоначально может даже привести к отправке одной и той же сумы много раз.