Биткойн-кошелек с 20-значным паролем взломан исследователями

30 мая 2024, 21:27 / Технологии → Новости / Технологии

Аппаратный хакер Джо Гранд

Гранд: Гранды (исп. Grandes) — высшая знать в средневековой Испании, с XVI века по настоящее время — дворянский титул. Гранд (грампластинка) — виниловая грампластинка диаметром 25 см. «Гранд» — российский комедийный телесериал, продолжение ситкома «Отель Элеон» (2018—2021). Википедия

Читайте также:«Гранд»: будет ли продолжение?

, также известный как Kingpin, вместе с партнером из Германии успешно взломал криптокошелек 10-летней давности, используя брешь в менеджере паролей RoboForm, по просьбе владельца кошелька. Потеряв доступ к своему кошельку в 2013 году, владелец наконец-то получил доступ к своим 43,6 биткойнам, стоимость которых сейчас превышает 3 миллиона долларов.

Джо Гранда, или Кингпина — не путать с легендой EVGA Кингпином — впервые попросил взломать этот биткойн-кошелек Майкл (фамилия неизвестна согласно Wired) в 2022 году после того, как Гранд стал вирусным из-за взлома другого кошелька. Гранд отклонил эту первую просьбу; Навыки Кингпина связаны с аппаратным взломом, поэтому его первоначальный взлом аппаратного кошелька был далек от просьбы Майкла о помощи с его программным кошельком. Но во второй раз, когда звонок был подан в 2023 году, Гранд воспользовался помощью своего друга Бруно, хакера-программиста, и приступил к работе.

Проблема с кошельком возникла из-за сбоя резервной системы безопасности Майкла. При создании своего цифрового криптовалютного кошелька Майкл сгенерировал пароль с помощью менеджера паролей RoboForm, а затем сохранил пароль в файле, зашифрованном с помощью TrueCrypt, а не RoboForm. Файл TrueCrypt был поврежден вскоре после создания, и, не имея вторичного хранилища для пароля, Майкл оказался заблокированным для своих 43,6 биткойнов.

К счастью для Майкла, выпуски RoboForm до 2015 года имеют серьезный недостаток: их случайно сгенерированные пароли на самом деле не являются случайными. RoboForm раньше связывал свое программное обеспечение для случайной генерации с датой и временем создания пароля. Это означает, что любой, кто может реконструировать программное обеспечение и определить дату и время создания пароля, может воссоздать пароль. Гранд и Бруно сделали именно это. После некоторых усилий по определению даты и времени создания пароля Гранд и Бруно предоставили Майклу доступ к его учетной записи в ноябре 2023 года, когда разблокированный биткойн-кошелек стоил 1,6 миллиона долларов (примерно 38 000 долларов за биткойн по сравнению с текущей ценой в 68 000 долларов). Гранд и Бруно зарезервировали процент от разблокированного биткойн-кошелька для своих услуг, прежде чем передать пароль.

Самый большой вывод Kingpin из многомесячных испытаний — это потенциальная опасность старых паролей, созданных с помощью RoboForm. Любой пароль, созданный до версии RoboForm 7.9.14, выпущенной в 2015 году, уязвим для того же эксплойта и должен быть немедленно заменен. «Мы знаем, что большинство людей не меняют пароли, пока им не предложат это сделать», — сказал Гранд. «Я до сих пор не уверен, что стал бы доверять [RoboForm], не зная, как они на самом деле улучшили генерацию паролей в более поздних версиях».

Биткойн всегда будет связан с историями о потерянных паролях и поврежденных кошельках, хотя недавнее ограбление Ethereum на сумму 25 миллионов долларов лишило посредников возможности приобретать криптовалюту прямо из-под крана майнинговых установок. Если вы хотите повысить безопасность своих паролей и снизить риск их потери навсегда, ознакомьтесь с нашим списком лучших менеджеров паролей (RoboForm не попал в него даже до этого открытия). Однако будьте осторожны при вводе этих паролей, поскольку недавние исследования показывают, что шумные нажатия клавиш могут раскрыть ваши пароли гнусным бездельникам.