باز کردن قفل کیف پول بیت‌کوین ۳میلیون دلاری ازطریق «هک زمان»

یک ایراد امنیتی قدیمی در مولد رمز عبور به هکرها امکان داده است تا با مهندسی معکوس زمان، ابزار را فریب بدهند تا رمز عبور را دوباره تولید کند

تصویر مفهومی از بیت‌کوین و رمزارزها‌- Canva

پژوهشگران امنیتی یک رمز عبور را شکسته‌اند تا بیش از ۳میلیون دلار بیت‌کوین را که به‌مدت ۱۱ سال در یک کیف‌ پول دیجیتال مانده بود بازیابی کنند.

جو گرند، مهندس برق، که با نام مستعار «کینگ‌پین» شناخته می‌شود، استخدام شد تا یک فایل رمزگذاری‌شده حاوی ۴۳.۶ بیت‌کوین را که از سال ۲۰۱۳ آن‌جا نگهداری می‌شدند، هک کند. این رمزارز با رمز عبوری محافظت می‌شد که یک مولد رمز عبور تصادفی به نام ربوفرم (Roboform) ایجاد کرده بود، اما این رمز عبور مدت‌ها قبل گم شده بود.

این رمز عبور مجموعه‌ای متشکل از ۲۰ حرف بزرگ و کوچک و همچنین اعداد بود، که به گونه‌ای طراحی شده بود که شکستنش تا حد امکان دشوار باشد.

Read More

This section contains relevant reference points, placed in (Inner related node field)

صاحب این کیف‌ پول دیجیتال، که تصمیم گرفته است ناشناس بماند، در ویدیویی که گرند منتشر کرد، گفت: «من رمز عبور را تولید کردم، آن را کپی کردم، و در عبارت رمز کیف پول و همچنین در یک فایل متنی که آن زمان رمزگذاری کردم قرار دادم.»

رمز عبور پس از آن گم شد که قسمت رمزگذاری‌شده رایانه‌ این فرد که در آن رمز عبور را نگهداری می‌کرد، خراب شد. آن زمان، ارزش این تعداد بیت‌کوین دو سه هزار یورو بود، که به گفته صاحب کیف پول دیجیتال، اتفاقی «دردناک اما قابل تحمل بود».

اما در یک دهه بعد، با افزایش بیش از ۲۰هزار درصدی بهای بیت‌کوین، این بیت‌کوین‌های گم‌شده به مبلغی هنگفت تبدیل شدند، و سبب شد صاحب این بیت‌کوین‌ها با گرند تماس بگیرد.

گرند ابتدا این کار را رد کرد، اما سرانجام پس از اینکه شیوه‌ای جدید برای هک مولد رمز عبور اولیه یافت، پذیرفت تلاش کند این پول را بازیابی کند.

گرند از یک ابزار مهندسی‌ معکوس استفاده کرد که آژانس امنیت ملی آمریکا (NSA) طراحی و تولید کرده بود تا اجزای کد مولد رمز عبور را جدا کند.

گرند گفت: «در دنیای ایدئال، وقتی با مولد رمز عبور یک رمز عبور تولید می‌کنید، انتظار دارید هر بار یک خروجی منحصربه‌فرد تصادفی دریافت کنید که هیچ‌کس دیگری نداشته باشد. [اما] در این نسخه از ربوفرم این‌طور نبود.»

«به نظر می‌رسد رمز عبورهای ربوفرم به‌صورت تصادفی تولید شده باشند، در حالی که این‌طور نیست. در نسخه‌های قدیمی‌تر این نرم‌افزار، اگر بتوانیم زمان را کنترل کنیم، می‌توانیم رمز عبور را کنترل کنیم.»

او متوجه شد که اگر بتواند سیستم را فریب بدهد که در لحظه‌ای در سال ۲۰۱۳ که رمز عبور تولید شده بود قرار دارد، بنابراین سیستم همان رمز عبور را دوباره تولید خواهد کرد.

گرند فقط با ایده‌ای تقریبی از زمانی که رمز عبور تولید شد، با همکارش برونو سعی کردند میلیون‌ها رمز عبور احتمالی تولید کنند تا در نهایت آن را بشکنند.

مولد رمز ربوفرم از آن زمان پلتفرمش را به‌روزرسانی کرده است تا تصادفی بودن ابزارش را بهبود بخشد، به این معنی که روش هک زمان در مورد رمز عبورهایی که پس از سال ۲۰۱۵ ایجاد شده‌اند دیگر کار نمی‌کند.

گرند امیدوار است که اکنون بتواند به افراد بیشتری که کیف پول‌های رمزارزی‌شان قفل شده و به آن دسترسی ندارند  کمک کند، گرچه گفت ممکن است به روش‌های جدیدی نیاز باشد.

او گفت: «اگر این پروژه به هک زمان نیاز داشته باشد، در مرحله بعدی باید کدام بعد را هک کنیم؟»

ایندیپندنت با ربوفرم تماس گرفته و نظر آن‌ها را جویا شده است.

© The Independent

بیشتر از تکنولوژی