O ex-CEO da Mt. Gox, Mark Karpelès, provavelmente gostaria de ter acesso à inteligência artificial de hoje quando comprou a Mt. Gox de seu fundador, Jed McCaleb, em 2011
Isso porque Karpelès acabou de alimentar uma versão inicial do código da Mt. Gox na Claude AI da Anthropic. O que ele obteve foi uma análise que detalhou as principais vulnerabilidades que levaram ao primeiro grande ataque à bolsa extinta, rotulando-a como "criticamente insegura"
Em um post no X no domingo, Karpelès disse que carregou o código de 2011 da Mt. Gox na Claude, juntamente com vários dados, incluindo histórico do GitHub, logs de acesso e "dumps liberados pelo" hacker
A análise da Claude AI disse que o código de 2011 da Mt. Gox representava uma "bolsa de Bitcoin rica em recursos, mas criticamente insegura"
"O desenvolvedor (Jed McCaleb) demonstrou fortes capacidades de engenharia de software em termos de arquitetura e implementação de recursos, criando uma plataforma de negociação sofisticada em apenas 3 meses", lê-se na análise, acrescentando, no entanto, que:
"O código continha múltiplas vulnerabilidades críticas de segurança que foram alvo do ataque de junho de 2011. Melhorias de segurança feitas entre a transferência de propriedade e o ataque mitigaram parcialmente o impacto"
Karpelès assumiu o comando da Mt. Gox, com sede no Japão, em março de 2011, após comprar a bolsa do fundador e desenvolvedor Jed McCaleb. A bolsa sofreu um ataque cerca de três meses depois, que drenou 2.000 Bitcoin (BTC) da plataforma
"Eu não pude olhar o código antes de assumir; ele foi despejado em mim assim que o contrato foi assinado (agora sei melhor, a devida diligência é fundamental)", acrescentou em um comentário em seu post no X
Post-mortem da Claude AI sobre a Mt. Gox
De acordo com a Claude AI, as principais vulnerabilidades consistiam em uma mistura de falhas de código, falta de documentação interna, senhas fracas de administradores e usuários e acesso retido de contas de administradores anteriores após a transferência de propriedade
O ataque foi desencadeado por uma grande violação de dados após a conta do blog WordPress de Karpelès e algumas de suas contas de mídia social serem comprometidas
"Fatores contribuintes incluíram: a plataforma original insegura, instalação do WordPress não documentada, acesso de administrador retido para 'auditorias' após a transferência de propriedade e uma senha fraca para uma conta de administrador crítica", lê-se na análise
A análise também destacou que algumas mudanças antes e depois do ataque "mitigaram alguns vetores de ataque", impedindo que o ataque fosse muito pior do que poderia ter sido
Tais mudanças incluíram uma atualização para um algoritmo de hashing com sal para fornecer maior proteção de senha, corrigindo um código de injeção SQL no aplicativo principal e implementando "bloqueio adequado em retiradas"
"O hashing com sal impediu um comprometimento em massa e forçou a força bruta individual, mas nenhum algoritmo de hashing pode proteger senhas fracas. O bloqueio de retiradas impediu um resultado mais severo de dezenas de milhares de BTC sendo drenados via exploração do limite de retirada de $0,01", lê-se na análise, acrescentando:
"Este código foi alvo de um ataque sofisticado em junho de 2011. Melhorias de segurança foram feitas nos 3 meses desde a transferência de propriedade, o que afetou o resultado do ataque. Este incidente demonstra tanto a gravidade das vulnerabilidades do código original quanto a eficácia parcial dos esforços de remediação"
Embora a análise sugira que a IA poderia ter ajudado a corrigir falhas específicas de codificação, o núcleo da violação foi o resultado de processos internos deficientes, senhas fracas e uma falta crítica de segmentação de rede que permitiu que uma violação de blog ameaçasse toda a bolsa
Infelizmente, a IA não pode prevenir erros humanos
Mt. Gox ainda impacta o mercado uma década depois
Apesar de estar extinta há mais de uma década, a Mt. Gox continuou a impactar o mercado nos últimos anos, à medida que grandes somas de Bitcoin (BTC) foram reembolsadas aos credores. Embora muitos temessem que isso resultasse em pressão de venda no mercado, os reembolsos não tiveram um impacto discernível no preço do Bitcoin
Antes do prazo de reembolso de 31 de outubro, no final deste mês, a bolsa detém cerca de 34.689 BTC