靠破解 Trezor 救回自己的比特幣,學者用駭客招數取回密碼

作者 | 發布日期 2017 年 10 月 31 日 16:57 | 分類 Fintech , 數位貨幣 , 科技趣聞 follow us in feedly

有時候研究學者都是人,總會有忘記密碼的時候。一位身為區塊鏈(Bitcoin 應用技術)研究學會的高層人士,就忘了自己的比特幣(Bitcoin)實體錢包密碼,最後的解決方法竟然是:用駭客破解技術取回密碼。



買入比特幣 7.4BTC = USD 3,000

2016 年 1 月,身為 Blockchain Future Lab 的首席研究員 Mark Frauenfelder 為了開展研究工作,身體力行購入 7.4BTC,當時的價值是 3,000 美元(約新台幣 90,456 元)。當時他用 airBitz 加值星巴克帳戶,還有用 Purse.io 在亞瑪遜購買商品。但當時比特幣的保全還不夠完善,經常發生被盜事件,而他訪問過不同專家,在他們的建議之下,購入「Trezor Wallet」這個存放比特幣的實體錢包。

當時 Trezor 顯示 24 組英文字叫 Mark 抄下來。這些字有「aware」、「move」、「fasion」、「bitter」等。他將文字寫下在一張橘色紙上,然後再建立一個 PIN 密碼,同樣寫在那張紙上。這 24 組英文字是忘記密碼時可恢復錢包的工具。Mark 將這張紙收在一個祕密的地方。

將密碼紙交給女兒卻遺失

2017 年 3 月,Mark 與妻子前往日本東京旅行,因為擔心旅行中可能有意外,為女兒著想,他把紙張取出,並在背面寫著:「如果爸爸出事,將這張紙交給我的朋友 Cory,他會懂得怎樣做。」Mark 把這張紙塞在女兒的枕頭下,然後就前往機場。

但到 Mark 旅行回來,女兒從來沒跟他談過這件事,而他發現枕頭下的紙條不見了。後來詢問之下,才知道女兒丟了那張紙。而不幸的是,當他輸入 PIN 密碼後,被告知密碼錯誤。他嘗試了幾個組合也不得要領,只肯定密碼是由 1、4、5 三個數字組成。

SourceTrezor

發現 Trezor 保安問題

他在 Reddit 討論區發文,指「你們盡情取笑我吧」,然後把故事詳細說出。除了無用的回應,有一位網友告訴他「有方法」。但最終因為他沒有時間,沒有進一步聯絡。

後來他收到 Trezor 寄來的電郵,希望用戶儘快升級系統軟體到 1.5.2,原因是舊系統有資安問題。他因此有些領悟了,再看看 Reddit 討論區,有一位網友發文指「Trezor 有漏洞會暴露你的私人密碼!」再看看文章作者,就是當天想幫他的網友。

降級 Firmware 破解成功 7.4BTC = USD 32,208

後來反覆介紹之下,聯絡到一位叫 Saleem 的網友。Saleem 說可為他拍一段 Step-by-Step 的示範影片,但需要 Mark 付他 0.35BTC 酬金,如果成功解鎖,再加 0.5BTC 酬金,一共 0.85BTC。Mark 答應了,經過一輪手續,他將 Trezor 系統軟體降級到 1.4.0,然後一切事情都很順利。輸入一堆指令碼之後,他想要的密碼出現了……就是 45455544。他終於做到了,雖然是區塊鏈組織的高層,不過他最後還是得用破解方法取回密碼。

(Source:影片截圖)

他的文章寫到:「我站起來,舉高雙手,然後我大笑了。我征服了 Trezor 的延遲密碼輸入保護(在輸入密碼錯誤後,需要等候長時間才能嘗試再輸入密碼)!我想,我贏了。」日前比特幣升破 6,000 美元大關,Mark 電子錢包的比特幣現在等值 45,140 美元(約新台幣 136 萬元)。

(Source:影片截圖)

(本文由 Unwire HK 授權轉載;首圖來源:Trezor)