연구자들이 11년 된 비밀번호를 해킹하여 300만 달러 상당의 비트코인 지갑을 복구하다

두 명의 연구자가 구식 RoboForm 비밀번호 관리자의 결함을 이용하여 11년 된 비밀번호로 보호된 암호화 지갑을 해킹하고 300만 달러 상당의 비트코인을 복구했습니다.

“마이클”(이름 변경), 유럽에 거주하는 암호화폐 보유자는 전기 엔지니어인 조 그랜드(‘킹핀’이라는 별명으로 알려짐)를 고용하여 2013년부터 갇혀 있던 43.6 BTC(약 4,000 유로 또는 5,300 달러)의 암호화 파일에 접근했습니다.

비트코인의 분실 및 발견 사례에 대하여 **

2013년, 마이클은 RoboForm이라는 무작위 비밀번호 생성기를 사용하여 20자 비밀번호를 생성하여 비밀번호로 보호된 디지털 지갑에 암호화폐를 안전하게 저장했습니다.

보안 문제로 인해 그는 이 비밀번호를 텍스트 파일로 저장하고 TrueCrypt라는 도구로 암호화했습니다.

그러나 어느 시점에서 43.6 BTC를 포함한 암호화된 파일이 손상되었고, 이를 접근하기 위한 비밀번호가 사라졌습니다.

비밀번호는 20개의 대문자 및 소문자, 숫자, 여덟 개의 특수 문자로 구성되어 있어 해킹하기 어려웠습니다.

비트코인 지갑을 복구하기 위해 마이클은 2022년에 다른 암호화폐 지갑 소유자가 200만 달러에 접근할 수 있도록 도와준 유명한 하드웨어 해커 그랜드에게 연락했습니다.

그러나 그랜드는 자신의 하드웨어 전문성이 소프트웨어 지갑과 관련이 없다고 언급하며 도움을 거절했습니다.

그랜드가 도움을 거절한 후, 마이클은 암호학을 전문으로 하는 여러 사람에게 연락했지만 모두 돈을 회수할 가능성이 전혀 없다고 하며 도움을 거절했습니다.

그러나 지난해 6월, 마이클은 그랜드에게 다시 연락하여 그와 독일의 해커 지인 브루노에게 비밀번호로 보호된 암호화 지갑에 접근할 수 있도록 도와달라고 설득했습니다.

그랜드와 브루노는 2013년 버전의 RoboForm을 사용하기로 결정하고 몇 달 동안 비밀번호 관리자를 역공학했습니다. 놀랍게도, 그들은 RoboForm에서 비밀번호를 생성하는 데 사용된 의사 난수 생성기에서 중대한 결함을 발견할 수 있었습니다.

명백히, 비밀번호 관리자는 컴퓨터의 날짜 및 시간 설정을 사용하여 비밀번호를 “무작위화”하는 데 도움을 주었습니다.

마이클이 비밀번호를 생성했을 때, 생성기는 사용자의 컴퓨터에서 생성된 특정 날짜와 시간에 각 코드를 연관시켰습니다.

그랜드와 브루노는 미국 국가안보국(NSA)에서 개발한 역공학 도구를 사용하여 RoboForm 비밀번호 생성기의 이 결함을 이용했습니다.

이 결함은 RoboForm을 개발한 미국의 시베르 시스템에 의해 2015년에 수정된 것으로 알려져 있습니다.

“완벽한 세상에서는 비밀번호 생성기를 사용하여 비밀번호를 생성할 때마다 다른 사람이 갖고 있지 않은 고유하고 무작위의 출력을 기대합니다. [하지만] 이 버전의 RoboForm에서는 그렇지 않았습니다.”라고 그랜드는 공개된 비디오에서 말했습니다.

“RoboForm의 비밀번호는 무작위로 생성된 것처럼 보이지만, 그렇지 않습니다. 이 소프트웨어의 이전 버전에서는 시간이 제어되면 비밀번호도 제어할 수 있습니다.”

두 연구자는 컴퓨터의 날짜와 시간을 2013년으로 설정하는 데 성공했으며, 여러 번의 실패한 시도 끝에 마이클의 암호 비밀번호가 생성된 2013년 5월 15일 오후 4시 10분 40초 GMT에 해당하는 올바른 비밀번호를 성공적으로 생성할 수 있었습니다.

“궁극적으로 우리의 매개변수와 시간 범위가 맞아서 운이 좋았습니다. 둘 중 하나라도 잘못되었다면 우리는 … 계속해서 어둠 속에서 추측했을 것입니다. 모든 가능한 비밀번호를 미리 계산하는 데 훨씬 더 오랜 시간이 걸렸을 것입니다.”라고 그랜드는 WIRED에 보낸 이메일에서 말했습니다.

그랜드와 브루노는 암호화 지갑 비밀번호를 해킹한 대가로 마이클의 계정에서 비트코인의 일부를 청구하고 남은 비트코인에 접근할 수 있는 비밀번호 정보를 그에게 전달했습니다.

비트코인이 마이클에게 전달되었을 때, 코인당 38,000 달러의 가치가 있었습니다. 그러나 그는 코인당 62,000 달러에 이를 때까지 기다렸다가 일부를 판매했습니다.

현재 그는 30 비트코인을 보유하고 있으며 비트코인이 코인당 100,000 달러에 도달할 때까지 기다릴 계획입니다.

마이클은 “비밀번호를 잃어버린 것은 재정적으로 좋은 일이었다”고 말하며, 그렇지 않았다면 비트코인이 코인당 40,000 달러에 도달했을 때 판매했을 것이고, 많은 돈을 잃었을 것이라고 덧붙였습니다.