Марк Карпелес (Mark Karpelès), бывший глава печально известной биржи Mt. Gox, провел любопытный эксперимент с искусственным интеллектом. Он загрузил в Claude AI от Anthropic код биржи 2011 года, чтобы понять, мог ли ИИ выявить уязвимости, которые привели к краху платформы.
ИИ назвал Mt. Gox «критически небезопасной»
Карпелес поделился результатами анализа в соцсети X. Помимо кода 2011 года, он предоставил ИИ различные данные: историю GitHub, логи доступа и информацию, «слитую хакером».
Анализ Claude AI охарактеризовал Mt. Gox как «функциональную, но критически небезопасную биткоин-биржу». ИИ отметил, что разработчик Джед МакКалеб (Jed McCaleb) продемонстрировал «сильные навыки программирования в плане архитектуры и реализации функций, создав сложную торговую платформу всего за 3 месяца».
Однако база кода содержала множество критических уязвимостей безопасности, которые стали мишенью для хакеров в июне 2011 года. Карпелес купил биржу у МакКалеба в марте 2011 года, а три месяца спустя платформа подверглась атаке — хакеры украли 2 000 биткоинов.
«Я не смог изучить код до передачи управления; его свалили на меня сразу после подписания контракта. Теперь я знаю лучше — комплексная проверка очень важна», — написал Карпелес в комментарии.
Ключевые уязвимости и их последствия
По данным ИИ, основные проблемы включали:
- Недостатки в коде и отсутствие внутренней документации
- Слабые пароли администраторов и пользователей
- Сохранение доступа предыдущих администраторов после смены владельца
Взлом начался с компрометации аккаунта WordPress-блога Карпелеса и его аккаунтов в социальных сетях. ИИ также выявил, что некоторые изменения до и после взлома «смягчили отдельные векторы атак», предотвратив более серьезные последствия. Среди улучшений — обновление алгоритма хеширования с солью (это метод защиты паролей в базах данных, который добавляет случайную строку символов (называемую «солью») к паролю перед его хешированием) для лучшей защиты паролей, исправление SQL-инъекции в основном приложении и внедрение «правильной блокировки вывода средств».
«Блокировка вывода предотвратила более серьезный исход — слив десятков тысяч BTC через эксплойт лимита вывода в $0,01», — отмечается в анализе.
Таким образом, анализ ИИ показал, что хотя искусственный интеллект мог бы помочь выявить конкретные недостатки кода, основа взлома заключалась в плохих внутренних процессах, слабых паролях и критическом отсутствии сегментации сети, что позволило взлому блога угрожать всей бирже.
Влияние Mt. Gox на рынок продолжается
Несмотря на то что биржа прекратила работу более десяти лет назад, Mt. Gox продолжает влиять на рынок. В последние годы кредиторам выплачивались крупные суммы в биткоинах. Многие опасались, что это создаст давление продаж, но выплаты не оказали заметного влияния на цену биткоина.
▼ Самые интересные и важные новости на нашем канале в Telegram
