Dupla recupera senha depois de 11 anos e resgata R$ 16 mi em BTC

| 5 min read

Prisão de hacker na Espanha

O hacker Joe Grand postou no dia 28 de maio um vídeo mostrando como ele e seu amigo Bruno recuperaram 43,6 BTC de uma carteira de Bitcoin. A dupla de pesquisadores em segurança precisou fazer engenharia reversa de software para recuperar uma senha que estava perdida há 11 anos. Por fim, conseguiu reaver os Bitcoins que atualmente valem cerca de R$ 16 milhões.

O título do vídeo anuncia: “Hackeei o tempo para recuperar US$ 3 milhões de uma carteira de Bitcoin”.

No vídeo, Grand explica que a dupla trabalha em vários projetos. Grand é um engenheiro de hardware e Bruno um hacker de software. A dupla combinou seus conhecimentos para fazer engenharia reversa no gerador de senhas RoboForm.

Aliás, eles já vinham ajudando várias pessoas a recuperarem suas senhas.

Uma dessas pessoas foi justamente “Michael” (nome fictício usado por eles para manter o anonimato do investidor). O dono desta carteira de Bitcoin havia perdido sua senha há 11 anos.

Investidor temia roubo, mas acabou perdendo a senha


Segundo uma matéria da Wired, Michael armazenou seu fundo de Bitcoin em uma carteira protegida com senha em 2013.

Em seguida, ele gerou uma senha por meio do gerenciador de senhas RoboForm. Por fim, Michael armazenou essa senha em um arquivo criptografado com uma ferramenta chamada True Crypto.

No entanto, ele temia que seu computador fosse hackeado e que, com isso, alguém roubasse sua senha. Portanto, ele não a armazenou em seu gerenciador.

Em algum momento, o arquivo criptografado foi corrompido, e Michael perdeu acesso à sua senha de 20 caracteres.

Ele explicou o caso para a Wired sem disfarçar a ironia da história: “Eu estava realmente paranoico com minha segurança”. Na época, um BTC valia cerca de US$ 5.300.

Por fim, Michael foi atrás de Grand. Ele contatou o especialista pela primeira vez em 2022. Na época, o hacker não aceitou o trabalho. No entanto, o dono da carteira insistiu outra vez em junho de 2023, quando conseguiu que o hacker aceitasse o trabalho.

Especialista em segurança já havia recuperado carteira milionária


Joe Grand é um engenheiro de hardware que começou a hackear computadores quando tinha 10 anos de idade. Além disso, em 2008, ele foi co-apresentador de um programa no Discovery Channel chamado Prototype This.

Atualmente, ele trabalha como consultor para empresas que constroem sistemas digitais complexos. Grand mostra a essas empresas como hackers de hardware, como ele próprio, podem subverter seus sistemas.

Em 2022, ele invadiu uma carteira Trezo usando técnicas complexas de hardware. Então, conseguiu revelar a senha usada por ela. Por isso, ficou conhecido e passou a ser contatado por várias pessoas para ajudá-las a recuperar seus criptoativos.

Por exemplo, em 2022, ele ajudou uma pessoa que havia esquecido o código PIN da sua carteira Trezo. Na ocasião, ele conseguiu recuperar o acesso a US$ 2 milhões em criptomoedas.

No entanto, Grand (que é conhecido pelo nome de hacker “Kingpin”) recusa a maioria das ofertas de trabalho.

Conhecimentos de hardware não eram suficientes


Há razões para Grand ter recusado o primeiro pedido de ajuda de Michael. Afinal, as criptomoedas estavam em uma carteira de software. Portanto, os conhecimentos e habilidades em hardware do nosso herói não eram suficientes para esse serviço.

Grand chegou a pensar em forçar a senha de Michael. Ou seja, escrever um script para adivinhar automaticamente milhões de senhas possíveis até encontrar a correta. No entanto, acabou concluindo que isso não era viável.

Além disso, considerou que o gerenciador de senhas do RoboForm pudesse ter alguma falha de segurança no modo como gerava as senhas. Isso permitiria que ele adivinhasse a senha mais facilmente. Mas também não era o caso.

Meses de engenharia reversa para recuperar a senha


Michael já havia contatado várias pessoas especializadas em hackear criptografia. No entanto, todas diziam que não havia como recuperar seu dinheiro.

Por isso, ele contatou Grand mais uma vez em junho de 2023, quando o hacker aceitou finalmente o trabalho. Mas ele precisou pedir ajuda ao seu amigo Bruno, um hacker de software que acabou se juntando ao projeto.

A dupla passou meses fazendo engenharia reversa da versão do programa RoboForm que Michael havia usado em 2013. Por fim, eles descobriram uma vulnerabilidade no gerador de números aleatórios. O programa do RoboForm vinculava as senhas geradas aleatoriamente à data e hora do computador do usuário.

Essa falha havia sido corrigida na versão do software de 2015. No entanto, Grand e Bruno viram que ela tinha afetado todas as senhas criadas antes disso.

Para aproveitar essa pista, era preciso que Michael lembrasse a data exata em que havia criado a senha. Mas ele não se lembrava disso.

Portanto, foi preciso acessar o registro na sua carteira de software para descobrir a data em que ele transferiu os bitcoins para ela.

Depois de descobrir que a data (14 de abril de 2013), foram necessários diversos processos de geração de senhas aleatórias, ligadas a diferentes períodos.

“Cheque” gigante para comemorar o feito


Por fim, a dupla teve que descobrir se Michael havia usado algum caractere especial na senha. Depois de vários ajustes de parâmetros, Grand e Bruno finalmente conseguiram descobrir a senha, que havia sido criada em 15 de maio de 2013.

Eles então contataram Michael, marcando um encontro presencial, e fizeram uma surpresa. Entregaram a ele um cheque simbólico gigante, no valor de 43,6 BTC — ou seja, com o montante recuperado de sua carteira.

Por fim, o dono dos bitcoins acessou sua carteira e transferiu parte do valor para a dupla de especialistas. Aliás, isso ocorreu em novembro do ano passado, quando o Bitcoin estava valendo US$ 38.000.

Um golpe de sorte?


Michael esperou que o BTC chegasse a US$ 62.000 para vender uma parte. Atualmente, ele é dono de 30 BTC, correspondendo atualmente a US$ 3 milhões. No entanto, ele está esperando a criptomoeda chegar aos US$ 100 milhões para vender mais.

Por fim, o dono dos bitcoins disse que teve sorte ao esquecer a senha. Afinal, se isso não tivesse ocorrido, ele teria vendido os BTCs quando eles valiam US$ 40.000.

Já Grand afirmou em sua conta no Instagram que o projeto foi muito divertido. Além disso, destacou que serve como “um lembrete sobre os efeitos duradouros dos problemas de segurança muito depois de corrigidos”.

RoboForm diz que problema foi corrigido


O RoboForm é fabricado pela empresa norte-americana Siber System. Ele foi um dos primeiros gerenciadores de senha do mercado e conta atualmente com mais de 6 milhões de usuários em todo mundo.

Segundo a Wired, a Siber alega ter resolvido o problema de segurança do gerador de senhas na versão de 2015.

Por outro lado, Grand diz não descartar que outros hackers possam resgatar senhas geradas antes dessa correção.

Leia mais: