I ricercatori hackano una password di 11 anni per recuperare un portafoglio Bitcoin da 3 milioni di dollari

Due ricercatori hanno sfruttato una vulnerabilità in una versione obsoleta del gestore di password RoboForm per decifrare una password protetta da 11 anni e recuperare 3 milioni di dollari in Bitcoin.

“Michael” (nome cambiato), un detentore di criptovalute con sede in Europa, ha assunto l’ingegnere elettrico Joe Grand, noto con il soprannome di ‘Kingpin’, per hackerare un file crittografato contenente 43,6 BTC (del valore di circa 4.000 €, o 5.300 $), bloccato lì dal 2013.

Informazioni sul caso di Bitcoin smarriti e ritrovati **

Nel 2013, Michael ha archiviato in modo sicuro la sua criptovaluta in un portafoglio digitale protetto da password creando una password di 20 caratteri utilizzando un generatore di password casuali chiamato RoboForm.

A causa di preoccupazioni per la sicurezza, ha memorizzato questa password come file di testo e l’ha crittografata con uno strumento chiamato TrueCrypt.

Tuttavia, a un certo punto, il file crittografato contenente 43,6 BTC si è corrotto e la password per accedervi è stata persa.

La password era una serie di 20 lettere maiuscole e minuscole, numeri e otto caratteri speciali, difficile da decifrare.

Per recuperare il suo portafoglio bitcoin, Michael ha contattato Grand, un famoso hacker hardware che aveva aiutato un altro proprietario di portafoglio crypto a recuperare l’accesso a 2 milioni di dollari in criptovaluta nel 2022.

Tuttavia, Grand ha rifiutato, citando che la sua esperienza hardware non era rilevante per i portafogli software.

Dopo che Grand ha rifiutato di aiutare, Michael ha contattato diverse persone specializzate in crittografia, ma tutti hanno rifiutato di aiutare, affermando che non c’erano possibilità di recuperare il denaro.

Tuttavia, lo scorso giugno, Michael ha contattato Grand e lo ha persuaso, insieme a Bruno, il suo conoscente hacker in Germania, ad aiutare a recuperare l’accesso al portafoglio crypto protetto da password.

Grand e Bruno hanno deciso di utilizzare la versione 2013 di RoboForm e hanno trascorso mesi a fare reverse engineering del gestore di password. Sorprendentemente, sono riusciti a scoprire una vulnerabilità significativa nel generatore di numeri pseudo-casuali utilizzato per creare password in RoboForm.

A quanto pare, il gestore di password utilizzava le impostazioni di data e ora del computer per aiutare a “randomizzare” le password.

Quando Michael ha creato la sua password, il generatore ha associato ogni codice alla specifica data e ora della sua creazione sul computer dell’utente.

Grand e Bruno hanno sfruttato questa vulnerabilità nel generatore di password di RoboForm utilizzando uno strumento di reverse engineering sviluppato dalla National Security Agency (NSA) degli Stati Uniti.

Questa vulnerabilità è stata riportata come corretta nel 2015 da Siber Systems, con sede negli Stati Uniti, che ha sviluppato RoboForm.

“In un mondo perfetto, quando generi una password con un generatore di password, ti aspetti di ottenere un output unico e casuale ogni volta che nessun altro ha. [Ma] in questa versione di RoboForm, non era così,” ha detto Grand nel video pubblicato.

“Anche se le password di RoboForm sembrano essere generate casualmente, non lo sono. Con le versioni più vecchie di questo software, se possiamo controllare il tempo, possiamo controllare la password.”

Entrambi i ricercatori sono riusciti a impostare la data e l’ora del computer al 2013 e, dopo diversi tentativi falliti, sono riusciti a generare correttamente la password corretta del 15 maggio 2013, alle 16:10:40 GMT, il giorno, la data e l’ora in cui è stata generata la password crypto di Michael.

“Alla fine siamo stati fortunati che i nostri parametri e l’intervallo di tempo fossero giusti. Se uno di questi fosse stato sbagliato, avremmo continuato a fare ipotesi nel buio. Ci sarebbe voluto significativamente più tempo per pre-calcolare tutte le possibili password,” ha detto Grand in un’email a WIRED.

Grand e Bruno hanno addebitato una percentuale di bitcoin dall’account di Michael per aver decifrato la password del portafoglio crypto e gli hanno consegnato le informazioni sulla password per accedere ai bitcoin rimanenti.

Quando i bitcoin sono stati consegnati a Michael, valevano 38.000 $ per moneta. Tuttavia, ha aspettato fino a quando non ha raggiunto 62.000 $ per moneta e ha venduto parte di esso.

Attualmente, detiene 30 bitcoin e prevede di aspettare fino a quando i bitcoin non raggiungono un valore di 100.000 $ per moneta.

Michael dice: “Perdere la password è stata finanziariamente una cosa positiva”, altrimenti avrebbe venduto i bitcoin quando hanno raggiunto 40.000 $ per moneta, facendolo perdere molti soldi.