2024-05-29 16:12:20
在加密货币钱包中,密码和助记词对于保护资产安全至关重要。如果密码遗失或忘记,而又未备份助记词来作为恢复手段,那么重新取得钱包的存取权将变得几乎不可能。
43.6枚BTC钱包密码遗失
但近日有一个幸运的例子,发生在化名为Michael的用户身上。据Wired报导,2013年时,Michael将43.6枚BTC(当时价值5,300美元,现在将近300万美元)存放在一个数位钱包中。当时他利用RoboForm密码管理器,为钱包生成了一个20个字元的密码,并将该密码储存在一个用TrueCrypt加密的文件里。
不幸的是,该文件后来损坏了,导致Michael无法再访问其钱包。为了恢复他的密码,他再三联系了硬体黑客JoeGrand寻求协助。(Grand以“Kingpin”闻名,于2022年曾帮助一位加密用户恢复了对其Trezor钱包的访问权限)
破解密码过程
后来Grand与德国一位名叫Bruno的朋友合作,透过逆向工程发现2013年版本的RoboForm密码管理器存在漏洞,即该系统将密码产生与电脑的日期和时间挂钩,导致产生的密码可以预测(2015年该漏洞已修复)。
这意味着,只要知道密码产生的大致时间和其他参数(如密码长度、字元类型等),他们就可以计算出在过去某个特定日期和时间生成的任何密码。
在实际操作中,他们调整了RoboForm的时间设置,让该软体认为当前的日期是Michael在2013年创建密码时的日期,以尝试重现原密码。尽管在这一过程中Michael不能准确回忆密码创建日期,但透过不断的时间范围调整和参数变更,他们最终用2013年5月15日下午4:10:40GMT成功找到了正确的密码。若对详细的技术细节有兴趣,可再参考Grand和Bruno的Youtube影片。
额外提醒的是,尽管RoboForm开发商SiberSystems后来已修复了漏洞,但Grand警告:“在不知道Siber如何解决该漏洞的情况下,攻击者仍然可以重新生成2015年修复版本发布前的RoboForm生成的密码。”
他建议有使用该工具的用户,更新密码或使用其他的密码管理器。
Michael:幸好有遗失密码
在去年11月,Grand和Bruno在协助Michael恢复钱包访问后,提取了一定比例的比特币作为服务费。当时,比特币的价格为每枚38,000美元。
随后,当比特币价格攀升至62,000美元时,Michael出售了部分比特币。目前他仍持有30枚BTC,价值超过200万美元,并正在等待价格能够达到每枚10万美元。
Michael回忆说,多年前丢失的密码反而成了他的财富神助攻。他表示:“我丢失密码反而为我带来了经济上的好处。如果不是因为丢失密码,我可能在比特币价格只有4万美元时就抛售了它们,从而错过了更大的财富增值机会。”
3482