Especialistas recuperam acesso a carteira digital com milhões em Bitcoin esquecida há 11 anos explorando vulnerabilidade em software antigo.
Imagine perder a chave para um cofre digital contendo milhões de dólares. Foi exatamente isso que aconteceu com “Michael”, um investidor em criptomoedas que guardou sua fortuna em Bitcoin há mais de uma década. O problema? Ele esqueceu a senha da carteira digital e, para piorar, o software usado para gerá-la tinha uma falha crítica de segurança.
Em 2013, Michael usou o RoboForm, um gerenciador de senhas popular na época, para criar uma senha complexa para sua carteira de Bitcoin. Infelizmente, ele não armazenou a senha dentro do próprio RoboForm, temendo ataques virtuais. Anos depois, esqueceu a combinação e ficou trancado fora de seu tesouro digital, que na época valia cerca de €4.000 (aproximadamente $5.300).
Michael procurou diversos especialistas em recuperação de dados criptografados, mas todos lhe disseram que o caso era irreversível. Sem se dar por vencido, ele contatou Joe Grand, um renomado hacker de hardware conhecido pela alcunha de “Kingpin”. Grand já havia ajudado outros investidores a recuperar acesso a carteiras digitais perdidas, mas a situação de Michael era diferente.
Grand é especialista em vulnerabilidades de hardware, mas o problema de Michael envolvia software. Inicialmente, ele descartou a possibilidade de recuperar a senha usando força bruta (tentando milhões de combinações) e desconfiou da existência de falhas no algoritmo de geração de senhas do RoboForm. No entanto, Michael insistiu e, em 2022, Grand aceitou o desafio junto a Bruno, um hacker alemão especializado em carteiras digitais.
Após meses analisando o código-fonte de versões antigas do RoboForm, a dupla descobriu uma falha crucial: o gerador de senhas pseudo-aleatórias usado pelo software até 2015 não era tão aleatório assim. Em vez de criar combinações verdadeiramente imprevisíveis, o programa baseava as senhas na data e hora em que eram geradas.
Isso significava que, sabendo a data aproximada em que Michael criou a senha e os parâmetros utilizados (número de caracteres, letras maiúsculas e minúsculas, números e caracteres especiais), seria possível reduzi-las a um número limitado de combinações.
O problema? Michael não se lembrava da data exata. Analisando o registro de transações da carteira, a dupla descobriu que o primeiro depósito ocorreu em 14 de abril de 2013. Eles começaram testando diferentes períodos, incluindo parâmetros como o uso (ou não) de caracteres especiais, mas a senha correta não aparecia.
Frustrado com a insistência dos especialistas em questionar seus parâmetros, Michael chegou a pensar que o caso era irrecuperável. Mas, em novembro de 2022, Grand e Bruno entraram em contato com uma notícia animadora: haviam encontrado a senha! Era uma combinação de 20 caracteres sem caracteres especiais, gerada em 15 de maio de 2013 às 16:10:40 GMT.
“Tivemos sorte de nossos parâmetros e intervalo de tempo estarem corretos”, explicou Grand. “Se qualquer um deles estivesse errado, teríamos demorado muito mais para encontrar a senha certa.”
A falha no RoboForm foi corrigida em 2015, mas a empresa não divulgou detalhes técnicos da atualização. Grand teme que a vulnerabilidade possa permitir a hackers regenerarem senhas criadas com versões anteriores do software.
O caso de Michael serve como um alerta para usuários de gerenciadores de senhas. É fundamental verificar se o software utilizado corrige falhas de segurança e, caso positivo, gerar novas senhas fortes para todas as contas importantes. Além disso, nunca armazene senhas fora do gerenciador, pois isso anula sua principal função de proteção.
Apesar do susto, a história de Michael teve um final feliz. Graças à persistência e ao conhecimento técnico especializado, ele recuperou o acesso a sua fortuna em Bitcoin, que hoje vale cerca de $3 milhões. E, como ele mesmo diz: “Perder a senha acabou sendo financeiramente vantajoso, pois evitei vender os Bitcoins quando valiam menos.”
Fonte: wired.com
Gosta de gadgets? Leia esse artigo!