¿Por qué haría falta "cierto poder de hasheo"?. En principio, modificar el ID de las transacciones debería ser trivial. La dificultad, en teoría, estaría en que si se crea una transacción maleada B a partir de una transacción original A que ya pulula por la red, la transacción A, al haber salido antes, habrá cobrado ventaja respecto a B, que será rechazada por los nodos al llegarles con posteioridad. En transacciones creadas por Bitcoin-Qt, sería un ataque difícil porque se necesitaría actuar con velocidad de relámpago y tener mejor conectividad en la red para que B acabe superando a A. El ataque es sin embargo facilísimo con muchas de las transacciones generadas por MtGox porque el software propio que utilizan genera de manera habitual transacciones "no canónicas", con un formato que Bitcoin-Qt rechaza desde, creo, la versión 0.8.2 de mayo de 2013. Por eso, desde entonces este foro esta plagado de comentarios sobre los famosos dobles gastos de MtGox, que consisten en que muchas de las transacciones que genera MtGox se quedan estancadas, marginadas por el resto de la red, que las rechaza. Eso hace que, en el caso concreto de esas transacciones, el atacante tenga todo el tiempo del mundo para malear la transacción: se toma la transacción estancada de MtGox, se modifican los datos para darles la forma canónica que exige Bitcoin-Qt, y se envía a la red la transacción "arreglada", que tiene otro valor de hash. Los nodos propagan esta transacción, se confirma en la cadena de bloques y después el atacante escribe al servicio técnico de MtGox para quejarse de que no le ha llegado su transacción. Entonces MtGox hace su famoso doble gasto una y otra vez hasta que por pura chiripa la transacción les sale con formato canónico y la red la propaga. El atacante consigue así cobrar dos o más veces la cantidad. El ataque es fácil en este caso, pero por la sorprendente torpeza de MtGox de no haber sabido arreglar ese problema en más de ocho meses.