加密用戶 Michael 遺失了於 2013 年存放的 43.6 枚比特幣的錢包密碼,當時價值僅 5,300 美元,現價值接近 300 萬美元。通過硬體駭客 Joe Grand 及其朋友 Bruno 的幫助,他們發現了一個可利用的漏洞,最終成功破解了密碼。
(前情提要:遺失的加密資產有救了?AI+GPU+算法找回私鑰「開始有看頭」 )
(背景補充:加密貨幣錢包完整解析》冷熱錢包原理、託管差異、多簽的優缺點)
在加密貨幣錢包中,密碼和助記詞對於保護資產安全至關重要。如果密碼遺失或忘記,而又未備份助記詞來作為恢復手段,那麼重新取得錢包的存取權將變得幾乎不可能。
43.6 枚 BTC 錢包密碼遺失
但近日有一個幸運的例子,發生在化名為 Michael 的用戶身上。據 Wired 報導,2013 年時,Michael 將 43.6 枚 BTC(當時價值 5,300 美元,現在將近 300 萬美元)存放在一個數位錢包中。當時他利用 RoboForm 密碼管理器,為錢包生成了一個 20 個字元的密碼,並將該密碼儲存在一個用 TrueCrypt 加密的文件裡。
不幸的是,該文件後來損壞了,導致 Michael 無法再訪問其錢包。為了恢復他的密碼,他再三聯繫了硬體駭客 Joe Grand 尋求協助。(Grand 以「Kingpin」聞名,於 2022 年曾幫助一位加密用戶恢復了對其 Trezor 錢包的訪問權限)
破解密碼過程
後來 Grand 與德國一位名叫 Bruno 的朋友合作,透過逆向工程發現 2013 年版本的 RoboForm 密碼管理器存在漏洞,即該系統將密碼產生與電腦的日期和時間掛鉤,導致產生的密碼可以預測(2015 年該漏洞已修復)。
這意味著,只要知道密碼產生的大致時間和其他參數(如密碼長度、字元類型等),他們就可以計算出在過去某個特定日期和時間生成的任何密碼。
在實際操作中,他們調整了 RoboForm 的時間設置,讓該軟體認為當前的日期是 Michael 在 2013 年創建密碼時的日期,以嘗試重現原密碼。儘管在這一過程中 Michael 不能準確回憶密碼創建日期,但透過不斷的時間範圍調整和參數變更,他們最終用 2013 年 5 月 15 日下午 4:10:40 GMT 成功找到了正確的密碼。若對詳細的技術細節有興趣,可再參考 Grand 和 Bruno 的 Youtube 影片。
額外提醒的是,儘管 RoboForm 開發商 Siber Systems 後來已修復了漏洞,但 Grand 警告:
在不知道 Siber 如何解決該漏洞的情況下,攻擊者仍然可以重新生成 2015 年修復版本發布前的 RoboForm 生成的密碼。
他建議有使用該工具的用戶,更新密碼或使用其他的密碼管理器。
Michael:幸好有遺失密碼
在去年 11 月,Grand 和 Bruno 在協助 Michael 恢復錢包訪問後,提取了一定比例的比特幣作為服務費。當時,比特幣的價格為每枚 38,000 美元。
隨後,當比特幣價格攀升至 62,000 美元時,Michael 出售了部分比特幣。目前他仍持有 30 枚 BTC,價值超過 200 萬美元,並正在等待價格能夠達到每枚 10 萬美元。
Michael 回憶說,多年前丟失的密碼反而成了他的財富神助攻。他表示:
我丟失密碼反而為我帶來了經濟上的好處。如果不是因為丟失密碼,我可能在比特幣價格只有 4 萬美元時就抛售了它們,從而錯過了更大的財富增值機會。
