Un gruppo di ricercatori ha aiutato un detentore di criptovaluta a riottenere l’accesso al suo portafoglio crittografico protetto da password vecchio di dieci anni e a recuperare una fortuna di Bitcoin del valore di 3 milioni di dollari.
Il titolare di Bitcoin perde l’accesso al portafoglio crittografico
Nel 2013, un detentore di criptovaluta con sede in Europa, “Michael” (nome cambiato), ha archiviato in modo sicuro la sua criptovaluta in un portafoglio digitale protetto da password. La password del portafoglio è stata creata utilizzando la piattaforma di gestione password RoboForm. Michael ha quindi salvato la password di 20 caratteri come file di testo e l’ha crittografata con uno strumento chiamato TrueCrypt.
Sfortunatamente, a un certo punto, il file crittografato contenente 43,6 BTC (del valore di circa 4.000 euro, o 5.300 dollari, nel 2013) si è danneggiato e Michael ha perso l’accesso alla password di 20 caratteri che aveva generato per accedere al portafoglio digitale che conteneva i suoi bitcoin. Temeva che qualcuno potesse entrare nel suo computer e ottenere la password.
“A [that] tempo, ero davvero paranoico riguardo alla mia sicurezza”, ha detto.
Due anni fa, Michael contattò l’ingegnere elettrico Joe Grand, noto anche come “Kingpin”, per aiutarlo a recuperare il suo portafoglio Bitcoin contenente circa milioni di BTC. Tuttavia, Grand si rifiutò di aiutarlo, adducendo che le sue capacità di hacking hardware non avrebbero avuto alcuna rilevanza per un portafoglio basato su software e che la password difficilmente poteva essere indovinata a causa di un punto debole di Roboform.
Dopo che Grand lo ha rifiutato, Michael ha contattato diversi altri esperti di crittografia per chiedere aiuto, ma tutti gli hanno detto che non aveva alcuna possibilità di riottenere l’accesso ai suoi Bitcoin.
Fu allora che Michael contattò di nuovo Grand lo scorso giugno, sperando di convincerlo ad aiutarlo. Questa volta, Grand ha accettato di intraprendere il progetto con un amico di nome Bruno in Germania, che ha anche violato i portafogli digitali.
Secondo un rapporto di Cablato, i due esperti di sicurezza hanno trascorso mesi a decodificare la versione di Roboform che Michael aveva utilizzato nel 2013. Facendo ciò, hanno trovato un difetto significativo nella generazione della password di RoboForm, che era legata alla data e all’ora del computer. Questo difetto ha permesso ai ricercatori di prevedere e rigenerare la password a partire dal 2013.
Grand ha disassemblato il codice del generatore di password utilizzando uno strumento di reverse engineering sviluppato dalla National Security Agency (NSA) degli Stati Uniti.
“In un mondo perfetto, quando generi una password con un generatore di password, ti aspetti di ottenere ogni volta un output unico e casuale che nessun altro ha. [But] in questa versione di RoboForm non era così”, ha affermato in un video pubblicato da Mr Grand.
“Anche se le password di RoboForm sembrano generate casualmente, non lo sono. Con le versioni precedenti di questo software, se possiamo controllare l’ora, possiamo controllare anche la password.”
Grand è riuscito a ingannare il sistema riportando l’ora al 2013, facendo sembrare che stesse richiedendo la password a Roboform per la prima volta. Dopo alcuni tentativi falliti, il generatore ha prodotto la password esatta che aveva consegnato il 15 maggio 2013, alle 16:10:40 GMT, il giorno, la data e l’ora in cui è stata generata la password crittografica di Michael.
“Alla fine siamo stati fortunati che i nostri parametri e l’intervallo di tempo fossero corretti. Se uno di questi fosse sbagliato, avremmo… continuato a fare ipotesi/inquadrature nel buio. Ci sarebbe voluto molto più tempo per precalcolare tutte le password possibili”, afferma Grand in un’e-mail a Wired.
Dopo aver violato con successo la password del portafoglio Bitcoin lo scorso novembre, Grand e Bruno hanno conservato una piccola percentuale di bitcoin per il loro lavoro prima di consegnare le informazioni sulla password a Michael.
Dopo aver recuperato i bitcoin, Michael ne ha venduti alcuni a 62.000 dollari l’uno e attualmente detiene 30 bitcoin, che ora valgono 3 milioni di dollari. Vuole però aspettare che i bitcoin raggiungano il valore di 100.000 dollari ciascuno.
“Il fatto di aver perso la password è stata una buona cosa dal punto di vista finanziario.”
