- Bitcoin(BTC)$95,300.00-1.82%
- Ethereum(ETH)$3,595.68-2.68%
- Tether(USDT)$1.00-0.01%
- XRP(XRP)$2.3120.39%
- Solana(SOL)$225.03-5.12%
- BNB(BNB)$634.65-3.75%
- Dogecoin(DOGE)$0.410548-3.10%
- USDC(USDC)$1.000.07%
- Cardano(ADA)$1.080.69%
- Lido Staked Ether(STETH)$3,591.07-2.82%
Дослідники зламали біткойн-гаманець на 1,6 мільйона доларів після того, як було втрачено 20-символьний пароль — це варте шести місяців зусиль
Апаратний хакер Джо Гранд, також відомий як Кінгпін, разом із партнером із Німеччини успішно зламали 10-річний криптогаманець, використовуючи недолік у менеджері паролів RoboForm, як просив власник гаманця. Після втрати доступу до свого гаманця в 2013 році власник нарешті отримав доступ до своїх 43,6 біткойнів, які зараз вартують понад 3 мільйони доларів.
Joe Grand, або Kingpin — не плутати з легендою EVGA Kingpin — вперше отримав запит зламати цей біткойн-гаманець від Майкла (прізвище невідоме пер Провідний) у 2022 році після того, як Grand став вірусним за злом іншого гаманця. Гранд відхилив це перше прохання; Навички Кінгпіна пов’язані зі зламуванням апаратного забезпечення, тому його початковий вторгнення в апаратний гаманець був далеким від прохання Майкла про допомогу з його програмним гаманцем. Але другий раз, коли виклик був зроблений у 2023 році, Гранд за допомогою свого друга Бруно, хакера програмного забезпечення, взявся за роботу.
Проблема з гаманцем виникла через зайве у Майкла безпеки невдача. Створюючи свій криптовалютний цифровий гаманець, Майкл створив пароль за допомогою менеджера паролів RoboForm, а потім зберіг пароль у файлі, зашифрованому TrueCrypt, а не RoboForm. Файл TrueCrypt був пошкоджений незабаром після створення, і, не маючи додаткового сховища для пароля, Майкл виявився заблокованим у своїх 43,6 біткойнів.
На щастя для Майкла, випуски RoboForm до 2015 року мають серйозний недолік: їхні випадково згенеровані паролі насправді не є випадковими. Раніше RoboForm зв’язував своє програмне забезпечення для випадкової генерації з датою й часом створення пароля, тобто будь-хто, хто може провести зворотний інженерний аналіз програмного забезпечення та визначити дату й час створення пароля, може повторно створити пароль. Гранд і Бруно зробили саме це. Після певних зусиль у визначенні дати та часу створення пароля Гранд і Бруно надали Майклу доступ до його облікового запису в листопаді 2023 року, коли розблокований біткойн-гаманець коштував 1,6 мільйона доларів (приблизно 38 000 доларів за біткойн проти поточної ціни в 68 000 доларів). Гранд і Бруно зарезервували для своїх послуг відсоток від розблокованого біткоін-гаманця перед тим, як передати пароль.
Найбільший висновок Kingpin після багатомісячних випробувань — потенційна небезпека за старими паролями, створеними за допомогою RoboForm. Будь-який пароль, згенерований до версії RoboForm 7.9.14, випущеної в 2015 році, є вразливим до того самого експлойту та має бути негайно замінений. «Ми знаємо, що більшість людей не змінюють паролі, якщо їм це не запропоновано», — сказав Гранд. «Я все ще не впевнений, що довіряв би [RoboForm] не знаючи, як вони насправді покращили генерацію паролів у останніх версіях».
Біткойн назавжди буде пов’язаний із історіями про втрачені паролі та пошкоджені гаманці — хоча це нещодавно Пограбування Ethereum на 25 мільйонів доларів виключіть посередника, щоб отримати криптовалюту прямо з крана майнінгових установок. Якщо ви хочете покращити безпеку своїх паролів із меншим ризиком втратити їх назавжди, перегляньте наш список найкращі менеджери паролів (RoboForm не робив розріз навіть до цього відкриття). Однак будьте обережні, вводячи ці паролі, оскільки останні дослідження показують це шумне натискання клавіш може розкривайте свої паролі мерзенним негідникам.