Sicherheitsforscher knackt Bitcoin-Wallet und verhilft Besitzer zu Millionen
Alle Informationen zu:
- Wie viele Bitcoins waren in der Wallet?
- Was hatte der Passwortmanager mit dem Hack zu tun?
- Wie hoch war die Provision des erfolgreichen Hackers?
Es ist der Albtraum jedes Bitcoin-Besitzers. Das Passwort ist vergessen, doch der Kurs der Kryptowährung ist zwischenzeitlich massiv gestiegen. Was tun?
Auf der fraglichen Wallet des anonymen Besitzers lagen 43,6 Bitcoin, deren Wert bereits in die Millionen ging, doch ohne Passwort war das Asset wertlos. Das Passwort wurde einst mit dem bekannten Passwortmanager von Roboform generiert; das war die einzige Information, die möglicherweise weiterhelfen konnte.
Hilfe vom Hacker
Damit ging der Besitzer zu dem bekannten Sicherheitsforscher Joe Grand. Der Hacker ist auch unter seinem Pseudonym „Kingpin“ bekannt und sollte dem Besitzer helfen, an seine Bitcoin zu kommen. Diese lagerten in der Wallet und warteten weiter darauf, geöffnet zu werden. Doch ohne Passwort erweist sich dies zumeist als unmögliches Unterfangen. Das gilt für Bitcoin ebenso wie für neue Coins wie 99 Bitcoins.
Joe Grand lehnte den Auftrag, die Softwarewallet zu knacken, daher zunächst ab. Schließlich ging es dabei darum, jenes Passwort, das Roboform einst generiert hatte, zu erraten. Im zweiten Anlauf willigte er schließlich ein, es doch zu versuchen. Ausschlaggebend dafür waren die Informationen, die ihm der Wallet-Eigentümer zum Passwort liefern konnte.
Zunächst machte sich der Experte daran, die zehn Jahre alte Version von Roboform zu zerlegen, um dessen Funktionsweise besser zu verstehen. Dabei stieß Grand auf eine Sicherheitslücke. Diese limitiert die Zufälligkeit von Passwörtern.
Dies war ein erster Hinweis. In Verbindung mit den Parametern des Originalpassworts (20 Zeichen mit Großbuchstaben, Kleinbuchstaben und Sonderzeichen) sowie dem Zeitraum, in dem es ursprünglich generiert wurde, machte sich der Experte daran, dieses herauszufinden.
Die zerlegte Version von Roboform begann in dem definierten Zeitraum, die Passwörter neu zu generieren; diese probierte man dann an der Wallet hintereinander aus. Doch der Versuch schlug fehl.
Die Parameter in Verbindung mit einer Schwachstelle bringen Erfolg
Dann erinnerte sich der Eigentümer der verlorenen Bitcoin daran, dass er damals auch Passwörter ohne Sonderzeichen generiert hatte. Die nächste Version mit den angepassten Parametern brachte dann den ersehnten Erfolg. Tatsächlich enthielt das damalige Passwort für die Bitcoin-Wallet kein Sonderzeichen.
Insgesamt verbrachte der Experte einige Monate, um die Wallet zu knacken, doch am Ende war er erfolgreich. Doch dies gelang nur, weil zahlreiche Parameter, mit denen die Kombination erstellt worden war, bekannt waren. Die Schwachstelle in Roboform ist mittlerweile längst behoben, doch damals hätte sie zum Problem werden können, wie Grand ausführt.
Er kassierte für seine Bemühungen 13,6 Bitcoin, dem Besitzer verblieben immer noch 30 Bitcoins, die nach aktuellem Kurs rund 1,9 Millionen Euro wert sind.
