É um experimento mental fascinante, embora doloroso, imaginar o que poderia ter acontecido se os pioneiros de uma nova tecnologia tivessem acesso às ferramentas de hoje. Mark Karpelès, ex-CEO da infame corretora de Bitcoin MT. GOX, recentemente deu ao mundo um vislumbre disso, em um ato que foi parte experimento técnico e parte exorcismo digital. Ele pegou o código-fonte original de 2011 da corretora, um pedaço da história digital que alcançou status mitológico por suas falhas catastróficas, e o submeteu à inteligência artificial avançada da Anthropic, Claude.
“O veredicto da IA foi tão rápido quanto condenatório: a plataforma era ‘criticamente insegura’.”
O que torna essa análise tão convincente não é apenas a confirmação do que o mundo já sabia, mas a análise específica e detalhada do porquê ela era tão vulnerável. Karpelès, que comprou a corretora de seu fundador, Jed McCaleb, em março de 2011, admitiu abertamente que nunca realizou uma auditoria de due diligence adequada no código antes da assinatura do contrato. Foi um erro do qual ele se arrependeria amargamente. Apenas três meses depois de assumir o controle, em junho de 2011, a MT. GOX sofreu o primeiro de uma série de ataques devastadores, um ataque sofisticado que, em última análise, preparou o terreno para seu colapso completo anos depois.
A análise da IA, que Karpelès complementou com dados históricos do GitHub, registros de acesso e até mesmo despejos de dados divulgados pelo hacker original, não culpou apenas o código. Ela também reconheceu os méritos onde eram devidos. Observou que o desenvolvedor original, McCaleb, demonstrou “fortes capacidades de engenharia de software”, particularmente em arquitetura, ao criar uma plataforma de negociação tão rica em recursos e complexa em apenas três meses. McCaleb, que havia transformado o site de seu propósito original como um mercado para cartas colecionáveis de Magic: The Gathering, havia construído uma corretora funcional. Mas ele a construiu para velocidade, não para segurança, e era um foguete que vazava combustível por todos os lados.
De acordo com a IA, o código-fonte de 2011 era um campo minado de vulnerabilidades críticas. O ataque que se seguiu não foi resultado de um único erro, mas de uma cascata deles. Foi uma tempestade perfeita de código falho, segurança operacional péssima e senhas tragicamente fracas. O ponto de entrada inicial, conforme confirmado pela análise de Claude, não foi a própria plataforma de câmbio, mas sim o blog pessoal de WordPress de Karpelès. Este blog estava supostamente hospedado na mesma rede de servidores da plataforma de câmbio, uma falha crítica de segmentação de rede que, na prática, deixou a porta de entrada do banco completamente aberta.
A partir daí, o hacker teve acesso a diversas vulnerabilidades. A IA apontou para a ‘falta de documentação interna’ e, o mais importante, ‘acesso retido às contas de administradores anteriores após a transferência de propriedade’. Isso significava que, mesmo após a venda, as contas antigas ainda tinham as chaves do reino. Para piorar a situação, foram usadas senhas fracas e sem criptografia para as contas de administrador mais críticas.
No entanto, a análise da IA também revelou uma parte mais complexa e menos conhecida da história. No período de três meses entre a aquisição e o ataque, Karpelès e sua nova equipe aparentemente estavam em uma corrida desesperada e frenética para consertar o problema. A IA descobriu que eles haviam identificado e corrigido com sucesso uma grande vulnerabilidade de injeção de SQL. Eles também implementaram ‘bloqueios adequados para saques’ e atualizaram a segurança de senhas do site para um ‘algoritmo de hash com sal’. Essas pequenas correções, feitas às pressas, foram a única razão pela qual toda a plataforma de câmbio não foi completamente esvaziada em 2011.
A análise de Claude concluiu que esses esforços de correção, embora incompletos, foram “parcialmente eficazes” e “impediram que o ataque fosse muito pior”. O novo algoritmo de hash com sal, por exemplo, significava que o hacker não poderia roubar instantaneamente todo o banco de dados de senhas dos usuários; ele foi forçado a quebrar as senhas fracas individualmente por força bruta. Mais importante ainda, o novo bloqueio de saques impediu o objetivo final do hacker. Depois de usar as credenciais de administrador comprometidas para fazer uma ordem de venda massiva que derrubou o preço do Bitcoin para um centavo, o plano do invasor era usar essa vulnerabilidade para comprar e sacar toda a carteira digital da plataforma. O novo bloqueio, que exigia processamento manual, funcionou, e o roubo maior falhou.
No final, o experimento demonstra o profundo poder da IA moderna. Uma simples auditoria feita por Claude em 2011 teria sinalizado instantaneamente as falhas técnicas que um hacker humano levou meses para encontrar e explorar. Mas também serve como um poderoso lembrete de que a tecnologia não é uma panaceia. As falhas centrais da MT. GOX não eram apenas linhas de código ruins; eram falhas humanas e processuais. Nenhuma IA pode impedir um humano de reutilizar uma senha fraca ou de decidir não isolar um servidor crítico de um blog pessoal.
Mesmo hoje, mais de uma década após sua implosão final e definitiva, a MT. GOX ainda projeta uma longa sombra. O administrador judicial da corretora ainda está no processo de reembolsar os credores, com um prazo final para o pagamento previsto para breve 34.689 Bitcoins. Durante anos, o mercado viveu com o medo de que essa ‘venda massiva da MT. GOX’ criasse um enorme choque de oferta. Mas, em um sinal final da maturidade do mercado, os pagamentos iniciais foram absorvidos sem qualquer impacto perceptível, um fim tranquilo e anticlimático para uma das histórias mais caóticas e fundamentais do universo das criptomoedas.
