Questo utente ha recuperato i suoi 43,6 BTC con l’aiuto di una coppia di hacker!

Laura Di Maria
| 3 min read

Sta circolando in questi giorni una favola a lieto fine che ha impiegato 10 anni per mettere tutti a nanna, felici e contenti. Lo scorso novembre, finalmente sono tornati tra le mani del legittimo proprietario dei Bitcoin smarriti.

Due hacker hanno aiutato un uomo a recuperare la password del suo wallet crypto che conteneva 43,6 BTC fermi dal 2013. Al cambio attuale, il tesoro vale quasi 2,96 milioni di dollari.

Uno dei due, Joe Grand, è un white hacker, specializzato in hardware, che in passato era riuscito a recuperare dei Bitcoin da un wallet Trezor. Ma andiamo con ordine.

Una password smarrita


Il credo della blockchain, si sa, è la decentralizzazione. Quindi, quando perdi le password nessun sistema ti permetterà di rigenerale, perché nessuna entità centrale ne salverà una copia per consentirti di tornare ad accedere al tuo account.

Quello che per molti fanatici crypto è un mantra, un tassello chiave su cui fondare il mito della decentralizzazione, per tanti altri, specie agli inizi, si è rivelata una condanna.

È proprio questo che è successo a Michael, l’anonimo possessore di un wallet crypto con dentro 43,6 Bitcoin dal 2013 e del quale aveva smarrito le chiavi d’accesso.

Per generare la password unica associata al suo wallet, Michael aveva usato il software RoboForm, un password manager che era servito per creare la chiave unica.

A sua volta, la password era stata crittografata e custodita all’interno di un file e non sulla stessa piattaforma RoboForm.

Peccato che della password Michael aveva fatto un’unica copia e che, dopo quasi dieci anni di inattività, il file su cui aveva conservato la chiave d’accesso da 20 caratteri si era danneggiato e non era più leggibile.

Le contromisure drastiche per recuperare la password perduta


Joe Grand, alias “Kingpin”, è un rinomato ingegnere elettronico e white hacker, cioè una persona in grado di identificare vulnerabilità di un sistema informatico e porvi rimedio prima che lo facciano dei malintenzionati.

Nel 2022 Grand aveva già aiutato un’altra persona a recuperare 2 milioni di dollari in criptovalute, bloccati questa volta su un hot wallet di cui aveva perso la password.

Ma questa volta la sfida era diversa: Michael stava usando un cold wallet, cioè un dispositivo hardware e non un software sul web. Cioè il campo in cui Joe era più preparato.

Molti esperti contattati da Michael si sono rifiutati di aiutarlo nella missione in apparenza impossibile. Così ha fatto anche Joe che a lungo ha rifiutato l’incarico, salvo poi accettarlo e risolverlo grazie alla collaborazione di un amico, tale Bruno, ricercatore tedesco.

Nel 2022, Grand e Bruno iniziano a lavorare al caso e cercano di capire come violare il software di RoboForm.

Effetti a lungo termine di vecchie vulnerabilità risolte


Nella loro attività di ricerca hanno scoperto che RoboForm aveva avuto una vulnerabilità nel generare “numeri casuali”. In pratica, fino al 2015 il generatore collegava una password alla specifica data e ora in cui l’utente creava la password, tenendo conto delle impostazioni del computer.

Si trattava di una vecchia vulnerabilità, identificata e corretta nel 2015 ma che evidentemente rappresentava ancora una lacuna per tutte le password create prima.

Dopo quasi dieci anni Michael non ricordava con precisione il giorno e l’ora esatta in cui aveva generato la password per proteggere il proprio wallet. Quindi i ricercatori sono risaliti alle informazioni disponibili su blockchain e cioè la data in cui aveva spostato i Bitcoin nel suo wallet, ovvero il 13 aprile 2013. Bingo!

I due ricercatori hanno così iniziato a generare password che rispecchiassero i criteri usati in quel periodo dal generatore RoboForm, fino a risalire all’effettiva data della sua creazione: il 15 maggio 2013 alle 14:10:40 ora italiana. Da qui sono risaliti alla password e quindi a sbloccare l’accesso al wallet.

Il 15 maggio 2013, stando ai dati di CoinMarketCap, 1 Bitcoin valeva 111,14 dollari, contro i 62.000 dollari di novembre quanto Michael ha rivenduto parte dei token una volta sbloccato l’accesso al suo wallet.

Il lieto fine


Michael è tornato in possesso dei suoi token. Ha dato una parte dei token ai due ricercatori e ne ha venduti una parte. Intervistato da Wired, dove la notizia è apparsa per la prima volta, Michael ha spiegato di voler aspettare che Bitcoin raggiunga il valore di 100.000 dollari. A quel punto il suo patrimonio varrebbe 3 milioni di dollari.

Ha anche ammesso che perdere la password è stata una gran fortuna, in fin dei conti:

Se non avessi perso la password, avrei venduto i miei Bitcoin per 40.000 dollari e mi sarei perso una fortuna ancora più grande.

Leggi anche: