Mt. Gox前首席执行官Mark Karpelès可能希望在2011年从创始人Jed McCaleb手中收购Mt. Gox时就能使用今天的人工智能技术。
这是因为Karpelès刚刚将Mt. Gox早期版本的代码库输入到Anthropic的Claude AI中。他得到的分析结果详细分解了导致这家已倒闭交易所首次重大黑客攻击的关键漏洞,并将其标记为"极度不安全"。
在周日的X帖子中,Karpelès表示他将Mt. Gox的2011年代码库上传到Claude,同时还包括各种数据,包括GitHub历史记录、访问日志和黑客"发布的"数据转储。
Claude AI的分析表示,Mt. Gox的2011年代码库代表了一个"功能丰富但极度不安全的比特币交易所"。
"开发者(Jed McCaleb)在架构和功能实现方面展现了强大的软件工程能力,仅用3个月就创建了一个复杂的交易平台,"分析报告写道,但同时补充:
"代码库包含多个关键安全漏洞,这些漏洞在2011年6月的黑客攻击中被利用。在所有权转移和攻击之间进行的安全改进部分缓解了影响。"
Karpelès在2011年3月从创始人兼开发者Jed McCaleb手中收购交易所后接管了这家位于日本的Mt. Gox。该交易所随后在约3个月后遭受黑客攻击,导致2000个比特币(BTC)从平台流失。
"我在接手前没有机会查看代码;合同一签署就被甩给了我(我现在知道得更多,尽职调查很重要),"他在X帖子的评论中补充道。
Claude AI对Mt. Gox的事后分析
根据Claude AI的分析,关键漏洞包括代码缺陷、缺乏内部文档、管理员和用户密码薄弱,以及新所有权交接后保留前管理员的账户访问权限等多种因素。
这次黑客攻击是在Karpelès的WordPress博客账户和他的一些社交媒体账户被入侵后引发的重大数据泄露。
"促成因素包括:不安全的原始平台、未记录的WordPress安装、所有权转移后为'审计'保留的管理员访问权限,以及关键管理员账户的弱密码,"分析报告写道。
分析还概述了黑客攻击前后的一些变化"缓解了一些攻击途径",防止攻击变得比可能的情况更糟糕。
这些变化包括更新为加盐哈希算法以提供更强的密码保护,修复主应用程序中的SQL注入黑客代码,以及实施"提现的适当锁定"。
"加盐哈希防止了大规模入侵并迫使进行个别暴力破解,但任何哈希算法都无法保护弱密码。提现锁定防止了通过0.01美元提现限制漏洞导致数万BTC被盗的更严重后果,"分析报告写道,并补充:
"这个代码库在2011年6月遭受了复杂攻击。自所有权转移以来的3个月中已进行安全改进,这影响了攻击结果。这一事件既展示了原始代码库漏洞的严重性,也展示了补救措施的部分有效性。"
虽然分析表明AI可能有助于修补特定的编码缺陷,但泄露的核心是内部流程不当、密码薄弱以及严重缺乏网络分段,导致博客泄露威胁到整个交易所。
不幸的是,AI无法防止人为错误。
Mt. Gox十年后仍在影响市场
尽管已倒闭超过十年,Mt. Gox在过去几年中继续对市场产生影响,因为大量比特币(BTC)已偿还给债权人,对市场造成重大潜在抛售压力,尽管这种情况并未如许多人担心的那样发生。
在本月晚些时候10月31日偿还截止日期之前,该交易所持有约34689个BTC。