Le code source de Mt.Gox divulgué par le hacker russe ‘Nanashi’ sur Pastebin

Un hacker russe utilisant le pseudonyme ‘nanashi’ a divulgué l’intégralité du code source de 1700 lignes de l’échange électronique de Mt.Gox. Pour les non-initiés, Mt.Gox était le plus grand ancien échange de Bitcoin basé à Tokyo qui a fait faillite la semaine dernière. Le code publié par ‘nanashi’ décrit la classe Bitcoin pour Mt.Gox et les différentes méthodes de transmission et de réception des Bitcoins.

Le code qui a été divulgué sur Pastebin et peut être lu ici. Les hackers ont publié les données sur un autre site miroir qui peut être lu ici. Le code aurait été coécrit par le PDG de Mt.Gox, Mark Karpeles. Les programmeurs et les codeurs en ligne ont rapidement analysé le code et ont fait leurs propres soumissions concernant les erreurs dans le code. L’un des codeurs, Nilzor de Haker News, a proposé une réponse intéressante

Wow. Ce code est vraiment mauvais. Je veux dire, c’est mauvais pour un projet universitaire. C’est horrible pour une entreprise traitant de grosses sommes d’argent. Quelques drapeaux rouges aléatoires : – Il y a une classe avec le nom de l’application. (Problèmes : Portée, SRP) – Il y a une classe avec 1708 lignes de code. (Portée) – Il y a une instruction switch-case qui dépasse 150 LOC (lisibilité, maintenabilité) – Il y a une fonction de parsing de chaîne dans la même classe que le traitement des transactions (Séparation des préoccupations) – Il y a des segments de code commentés (n’utilisent-ils pas de contrôle de version ?) – Il y a du SQL en ligne (maintenabilité, sécurité) – Il y a du JSON généré manuellement et en ligne (SoC, DRY) – Il y a du XML généré manuellement et en ligne (SoC, DRY) – Pour résumer la fonction _Route_getStats($path) : production XML, production JSON, écriture de fichiers, logique métier, commandes SQL, manipulation d’en-têtes HTTP, limites de pagination codées en dur, plusieurs points de sortie… La quantité de refactoring nécessaire ici pour amener ce code à une qualité acceptable est tout simplement stupéfiante. **

Vous pouvez lire l’intégralité de la conversation ici. Dans le chat IRC de Nanashi et d’autres hackers, il semble que le hacker ait également accès à un dump de données clients de 20 Go ainsi qu’à des scans de passeports. Ils ont également écrit avoir toutes les informations de contact de tous les employés de Mt.Gox, ce qui peut être lu ici. Vous pouvez lire l’échange IRC complet avec le divulgateur ici.
Il semble que les problèmes de Mark triplent maintenant chaque jour qui passe. L’intégralité du code Pastebin est intégrée ci-dessous

*