Se estima que en el mundo hay 3,7 millones de bitcoins que se han perdido para siempre. La gente tiró los discos duros o los móviles que contenían la información, o simplemente olvidó la contraseña para acceder a esos monederos criptos. La tragedia es una vieja conocida, pero en algunos casos hay final feliz para la historia.
Es lo que ha ocurrido con un monedero hardware que contenía tokens de Theta. Sus propietarios invirtieron en ella a principios de 2018, pero olvidaron la contraseña. Se dieron cuenta de que esa inversión había sido muy rentable: ese monedero valía ahora dos millones de dólares, pero no podían acceder a ese dinero. ¿Cómo lograron recuperarlo? Hackearon ese monedero, por supuesto.
Si sabes lo que haces y tienes tiempo, (casi) todo es posible
A principios de 2018 Dan Reich y un amigo invirtieron 50.000 dólares en tokens Theta. Aquella nueva criptomoneda parecía interesante, así que apostaron por ella.
El mercado de compraventa (exchange) en el que invirtieron se veía amenazado por la nueva regulación china, así que decidieron transferir esas criptomonedas a un monedero hardware, un Trezor One que era uno de los más populares del mercado en esos momentos.
Al hacerlo crearon un PIN para poder acceder a los fondos, pero la criptomoneda se hundió en valor y los dos amigos se desentendieron un poco del tema. O bastante, porque olvidaron el PIN. Cuando vieron que la criptomoneda volvía a ganar valor, intentaron recuperar al acceso pensando que habían usado un PIN de 4 dígitos: aquella inversión había acabado siendo muy rentable, y ese monedero valía 2 millones de dólares.
Tras 12 intentos, pararon. Si hacían 16 intentos fallidos, los datos en el monedero acabarían borrándose automáticamente. En lugar de intentar adivinar ese PIN, trataron de buscar soluciones alternativas.
Acabaron encontrando a un hacker llamado Joe Grand, un ingeniero eléctrico que tenía un laboratorio propio en la parte trasera de su casa. Grand compró varias llaves de Trezor One y se puso a investigar.
Descubrió que un joven hacker de 15 años ya había desarrollado un método para hackear un monedero de Trezor, pero el método no era del todo válido para sus propósitos. Descubrió una conferencia técnica de diciembre de 2018 en la que se hablaba del tema y que planteaba un "método de inyección de fallos" que permitía debilitar la seguridad de la memoria RAM del dispositivo y leer el PIN en un momento preciso.
Tras tres meses de trabajo, Grand logró desarrollar una técnica para hackear estas llaves de prueba. Una idea feliz y un script para realizar los miles de intentos necesarios para "capturar" ese PIN permitieron que pudiera probar el método finalmente con el monedero Trezor One de Dan Reich y su amigo.
Había un guiño especial en ese método de Grand: cuando el script lograba capturar el PIN, una voz sintetizada gritaba "Hack the planet!", una frase que decían en la célebre película 'Hackers' de 1995. Reich viajó hasta la residencia de Grand, y ambos contrataron a un equipo de vídeo para que grabara un minidocumental contando la epopeya.
Fue entonces cuando pusieron a correr el script sobre el monedero con los dos millones de dólares. No pasaba nada: esperaron, comieron pizza y esperaron más. Por fin, algo pasó. Tres horas y 19 minutos después de iniciar el programa, oyeron el "Hack the planet!" y vieron cómo efectivamente el PIN había sido capturado. No era un PIN de cuatro dígitos, sino de cinco. Reich y su amigo ni siquiera se acordaban de ese dato clave.
Reich transfirió los tokens Theta a una cuenta segura (y de la que sí recordaba la contraseña) y transfirió un porcentaje a Grand por sus servicios. Ahora este hacker tiene claro que esta experiencia le puede servir para ayudar a otros con este tipo de problema —contactó con James Howells, del que hablamos hace poco— pero también a lograr que los monederos hardware sean más seguros: si él lo ha conseguido, cualquiera con tiempo, conocimientos y recursos puede hacerlo.
Vía | The Verge
Ver 16 comentarios
16 comentarios
Nacho
¿Invierten 50K en crypto y luego no son capaces de recordar una contraseña? pues si que les debe sobrar el dinero como para olvidarse.
acerswap
El valor del hardware en cuestión acaba de desplomarse.
djlongo
Los dueños de la hw pueden dar gracias de que en su momento adquirieron esta y no otra. Pero lo mismo que ha pasado esto puede pasar que alguien te la robe y se quede con tu seed.
Esto es un fallo de diseño de esta hardware wallet bastante conocido que expone la semilla. De hecho en el mundillo no se recomiendo trezor y menos sin passphrase. Tuvieron su momento de gloria pero ya no. Una bitbox02 o una coldcard con chip de seguridad y con passphrase seria prácticamente imposible a día de hoy de romper la seguridad.
r2k
Me alegro! Una historia feliz :)
jaimejames
Hacer los monederos más seguros para que los próximos que se olviden de la contraseña se jodan al quedar imposibilitados de acceder a sus criptomonedas
nada
Con un .rar con contraseña, seguro que no pueden...
eldisidente
Le puede pasar a cualquiera...
lucib
primera regla de imitador de hacker ponerte un gorrito. quitar esa foto da pena
tonialonso
jo, pensaba que al final algún apple Watch salvaría a una ancianita...