A volte perdere una password può essere una fortuna. Specialmente se blocca l’accesso a un portafoglio di bitcoin che nel corso degli anni è passato da valere qualche migliaio di euro a più di tre milioni. È la storia incredibile di “Michael”, un europeo che nel 2013 aveva messo al sicuro i suoi 43,6 bitcoin in un wallet protetto da una password generata automaticamente. Una password che poi è andata persa quando il file che la conteneva si è corrotto.
All’epoca non sembrava un problema enorme: i bitcoin valevano “solo” 4.000 euro in totale. Una bella cifra, certamente, ma non una di quelle che ti rendono ricco. Ma col passare degli anni e l’esplosione delle criptovalute, quel wallet bloccato è diventato un vero tesoro inaccessibile da milioni di euro. Un tesoro che solo due hacker molto particolari sono riusciti a recuperare.
L’arrivo dei cavalieri bianchi
Il primo tentativo di recupero risale a due anni fa. Michael contatta Joe Grand, noto nel mondo hacker come “Kingpin”. Non è un hacker qualunque: Grand è un ingegnere elettronico che ha iniziato a smanettare con l’hardware dei computer a 10 anni. Di lavoro fa l’hacker etico, aiuta le aziende a capire come un malintenzionato potrebbe penetrare nei loro sistemi.
Grand ha già fatto parlare di sé nel 2022, quando ha aiutato un altro proprietario di criptovalute a recuperare due milioni di dollari dal suo wallet Trezor. Ma questa volta il problema è diverso: non è hardware ma software. Per questo Grand chiama in aiuto Bruno, un altro hacker etico che lavora dalla Germania.
Un problema apparentemente impossibile
La sfida sembra insormontabile. La password è lunga 20 caratteri, generata dal software RoboForm. Le possibili combinazioni sono più di 100 miliardi di miliardi di miliardi. Nemmeno un supercomputer potrebbe provarle tutte in tempi ragionevoli. Ma Grand e Bruno notano un dettaglio interessante nelle note di rilascio di RoboForm del 2015: “aumentata l’aleatorietà delle password generate”. Questo significa che prima del 2015 le password non erano così casuali come dovevano essere.
Dopo mesi di reverse engineering, i due scoprono l’errore di progettazione: RoboForm generava le password basandosi su parametri prevedibili, tra cui la data e l’ora del computer. Un errore clamoroso per un gestore di password, ma una fortuna per il recupero del wallet.
Il colpo di fortuna
La chiave diventa quindi capire quando esattamente Michael ha generato quella password. Non è facile: sono passati undici anni. Michael ricorda solo che era nella primavera del 2013. Ricorda anche che la password era di 20 caratteri, con maiuscole, minuscole e caratteri speciali.
Grand e Bruno passano mesi a generare password con vari parametri, senza successo. Fino a quando non analizzano altre password create da Michael nello stesso periodo. La scoperta è sorprendente: contrariamente a quanto ricordava Michael, quelle password non avevano caratteri speciali. Quindi, i due modificano i parametri ed ecco il risultato: la password è stata generata il 15 maggio 2013 alle 16:10:40 GMT. Il wallet si sblocca, i bitcoin sono salvi.
Un lieto fine con morale
A novembre 2023 Grand e Bruno ricevono la loro percentuale di bitcoin per il lavoro svolto. Michael aspetta che il valore salga a 62.000 dollari per venderne una parte. Gli restano ancora 30 bitcoin, oggi vale circa 3 milioni di dollari.
La morale? Perdere quella password è stata una benedizione. Michael ammette che altrimenti avrebbe probabilmente venduto tutto quando i bitcoin valevano appena 40-45.000 dollari in totale.
Ma c’è anche un monito importante per chi usa ancora password generate prima del 2015: potrebbero essere molto meno sicure di quanto si pensi. RoboForm ha corretto il problema, ma quante persone usano ancora quelle vecchie password? E quanti altri gestori di password potrebbero avere bug simili, nascosti nel codice da anni?
La vera lezione è che nella sicurezza informatica nulla può essere dato per scontato. Neanche una password apparentemente impossibile da craccare.
Alcune fonti di questo articolo
- https://elpais.com/tecnologia/2024-08-14/asi-viaje-en-el-tiempo-para-recuperar-una-contrasena-y-3-millones-de-euros-en-bitcoin.html
- https://www.youtube.com/watch?v=o5IySpAkThg
- https://www.wired.com/story/roboform-password-3-million-dollar-crypto-wallet/
- https://grandideastudio.com/portfolio/security/roboform-password-regeneration/