币态网前Mt. Gox首席执行官Mark Karpelès或许希望在2011年收购该交易所时就能借助今天的人工智能技术。最近,他将Mt. Gox早期版本的代码库输入到Anthropic的Claude AI中,获得的分析结果详细揭示了导致这家已倒闭交易所首次重大黑客攻击的关键漏洞,并将其标记为“极度不安全”。
在周日的社交媒体帖子中,Karpelès表示,他上传了Mt. Gox的2011年代码库,此外还包括GitHub历史记录、访问日志及黑客发布的数据转储。
Claude AI的分析指出,Mt. Gox的2011年代码库是一个“功能丰富但极度不安全的比特币交易所”。分析报告提到,开发者Jed McCaleb在架构和功能实现方面展现了出色的能力,仅用三个月就构建了一个复杂的交易平台,但同时也指出:
“代码库中存在多个关键安全漏洞,这些漏洞在2011年6月的黑客攻击中被利用。在所有权转移和攻击之间进行的安全改进部分缓解了影响。”
Karpelès在2011年3月收购了位于日本的Mt. Gox,约三个月后,该交易所遭遇黑客攻击,导致2000个比特币(BTC)被盗。他在社交媒体的评论中提到:“我在接手前没有机会查看代码;合同一签署就被甩给了我(我现在知道得更多,尽职调查很重要)。”
Claude AI对Mt. Gox的事后分析
根据Claude AI的分析,导致黑客攻击的关键漏洞包括代码缺陷、缺乏内部文档、管理员和用户密码薄弱,以及新所有权交接后保留前管理员的账户访问权限等多种因素。此次黑客攻击是在Karpelès的WordPress博客账户及其社交媒体账户被入侵后引发的重大数据泄露。
分析报告指出:“促成因素包括:不安全的原始平台、未记录的WordPress安装、所有权转移后为‘审计’保留的管理员访问权限,以及关键管理员账户的弱密码。”
分析还概述了黑客攻击前后的一些变化,部分缓解了攻击途径,防止了更严重的后果。这些变化包括更新为加盐哈希算法以提供更强的密码保护,修复主应用程序中的SQL注入漏洞,以及实施“提现的适当锁定”。
报告指出:“加盐哈希防止了大规模入侵并迫使进行个别暴力破解,但任何哈希算法都无法保护弱密码。提现锁定防止了通过0.01美元提现限制漏洞导致数万BTC被盗的更严重后果。”
分析总结道:“这个代码库在2011年6月遭受了复杂攻击。自所有权转移以来的三个月中已进行安全改进,这影响了攻击结果。这一事件既展示了原始代码库漏洞的严重性,也展示了补救措施的部分有效性。”
虽然分析表明AI可能有助于修复特定的编码缺陷,但泄露的根本原因在于内部流程不当、密码安全性不足以及严重缺乏网络分段,最终导致博客泄露威胁到整个交易所。不幸的是,AI无法防止人为错误。
Mt. Gox十年后仍在影响市场
尽管Mt. Gox已倒闭超过十年,但其在过去几年中仍对市场产生影响。大量比特币(BTC)已偿还给债权人,造成了潜在的市场抛售压力,尽管这种情况并未如许多人担心的那样发生。
在本月晚些时候的10月31日偿还截止日期之前,该交易所仍持有约34689个BTC。
