پژوهشگران امنیتی یک رمز عبور را شکستهاند تا بیش از 3 میلیون دلار بیتکوین را که به مدت 11 سال در یک کیف پول دیجیتال مانده بود بازیابی کنند.
جو گرند، مهندس برق، که با نام مستعار «کینگپین» شناخته میشود، استخدام شد تا یک فایل رمزگذاریشده حاوی ۴۳.۶ بیتکوین را که از سال ۲۰۱۳ آنجا نگهداری میشدند، هک کند. این رمزارز با رمز عبوری محافظت میشد که یک مولد رمز عبور تصادفی به نام ربوفرم (Roboform) ایجاد کرده بود، اما این رمز عبور مدتها قبل گم شده بود.
این رمز عبور مجموعهای متشکل از ۲۰ حرف بزرگ و کوچک و همچنین اعداد بود، که به گونهای طراحی شده بود که شکستنش تا حد امکان دشوار باشد.
صاحب این کیف پول دیجیتال، که تصمیم گرفته است ناشناس بماند، در ویدیویی که گرند منتشر کرد، گفت: «من رمز عبور را تولید کردم، آن را کپی کردم، و در عبارت رمز کیف پول و همچنین در یک فایل متنی که آن زمان رمزگذاری کردم قرار دادم.»
رمز عبور پس از آن گم شد که قسمت رمزگذاریشده رایانه این فرد که در آن رمز عبور را نگهداری میکرد، خراب شد. آن زمان، ارزش این تعداد بیتکوین دو سه هزار یورو بود، که به گفته صاحب کیف پول دیجیتال، اتفاقی «دردناک اما قابل تحمل بود».
اما در یک دهه بعد، با افزایش بیش از ۲۰هزار درصدی بهای بیتکوین، این بیتکوینهای گمشده به مبلغی هنگفت تبدیل شدند، و سبب شد صاحب این بیتکوینها با گرند تماس بگیرد.
گرند ابتدا این کار را رد کرد، اما سرانجام پس از اینکه شیوهای جدید برای هک مولد رمز عبور اولیه یافت، پذیرفت تلاش کند این پول را بازیابی کند.
گرند از یک ابزار مهندسی معکوس استفاده کرد که آژانس امنیت ملی آمریکا (NSA) طراحی و تولید کرده بود تا اجزای کد مولد رمز عبور را جدا کند.
گرند گفت: «در دنیای ایدئال، وقتی با مولد رمز عبور یک رمز عبور تولید میکنید، انتظار دارید هر بار یک خروجی منحصربهفرد تصادفی دریافت کنید که هیچکس دیگری نداشته باشد. [اما] در این نسخه از ربوفرم اینطور نبود.»
«به نظر میرسد رمز عبورهای ربوفرم بهصورت تصادفی تولید شده باشند، در حالی که اینطور نیست. در نسخههای قدیمیتر این نرمافزار، اگر بتوانیم زمان را کنترل کنیم، میتوانیم رمز عبور را کنترل کنیم.»
او متوجه شد که اگر بتواند سیستم را فریب بدهد که در لحظهای در سال ۲۰۱۳ که رمز عبور تولید شده بود قرار دارد، بنابراین سیستم همان رمز عبور را دوباره تولید خواهد کرد.
گرند فقط با ایدهای تقریبی از زمانی که رمز عبور تولید شد، با همکارش برونو سعی کردند میلیونها رمز عبور احتمالی تولید کنند تا در نهایت آن را بشکنند.
مولد رمز ربوفرم از آن زمان پلتفرمش را بهروزرسانی کرده است تا تصادفی بودن ابزارش را بهبود بخشد، به این معنی که روش هک زمان در مورد رمز عبورهایی که پس از سال ۲۰۱۵ ایجاد شدهاند دیگر کار نمیکند.
گرند امیدوار است که اکنون بتواند به افراد بیشتری که کیف پولهای رمزارزیشان قفل شده و به آن دسترسی ندارند کمک کند، گرچه گفت ممکن است به روشهای جدیدی نیاز باشد.
او گفت: «اگر این پروژه به هک زمان نیاز داشته باشد، در مرحله بعدی باید کدام بعد را هک کنیم؟»