美国工程师 Joe Grand 和他的朋友 Bruno 发现了 RoboForm 密码管理器旧版本中的漏洞,这使他们能够恢复价值 300 万美元的 BTC。
硬件黑客兼工程师 Joe Grand 和他的朋友软件黑客 Bruno 发现了旧版本 RoboForm 密码管理器中的一个漏洞,这使他们能够恢复价值数百万的比特币。
在 5 月 28 日发布的 YouTube 视频中,格兰德解释说,2022 年,欧洲加密货币所有者迈克尔联系了他,迈克尔寻求他的帮助,希望恢复卡在计算机上的价值数百万的比特币,因为他无法访问由 RoboForm 生成的 20 个字符的密码并将其存储在 TrueCrypt 加密的文件中。
格兰德和布鲁诺花了数月时间对迈克尔在 2013 年使用的 RoboForm 版本进行逆向工程,当时迈克尔创建了他的比特币钱包密码。
他们最终发现,RoboForm 的一个旧版本在生成密码的方式上存在缺陷,使得密码可以根据计算机的日期和时间进行预测。迈克尔很幸运,他的密码是在 RoboForm 修补漏洞之前生成的。
你可能还喜欢:Unciphered 发现 BitcoinJS 构建的加密钱包中存在价值 10 亿美元的漏洞
调查记者 Kim Zetter 在 X 帖子中指出,“如果 RoboForm 目前的 600 万用户中有人在使用 2015 年之前 RoboForm 版本生成的密码(在该公司悄悄修复漏洞之前),那么他们的密码可能也会以同样的方式被破解。”截至发稿时,RoboForm 尚未就此事发表任何公开声明。
这意味着,如果 RoboForm 目前的 600 万用户中的任何人使用 @roboform 密码管理器在 2015 年之前生成的密码(在该公司悄悄修复该漏洞之前),那么他们的密码可能会以同样的方式被破解。
— Kim Zetter (@KimZetter) 2024 年 5 月 28 日
根据迈克尔创建密码的时间范围生成了数百万个密码,两人开始暴力破解,以找到可以访问迈克尔钱包的密码。在改进方法后,格兰德和布鲁诺成功发现了 2013 年 5 月 15 日下午 4:10:40(格林威治标准时间)创建的密码,解锁了迈克尔的 43.6 比特币,目前价值约 300 万美元。
Grand Idea Studio 的创始人乔·格兰德 (Joe Grand) 是一名电气工程师、发明家和硬件黑客,在加密社区最为人熟知的事件是 2022 年入侵 Trezor One 钱包,帮助其所有者追回 200 万美元的 BTC。格兰德的黑客昵称是“Kingpin”,他在硬件黑客领域有着传奇的职业生涯,并继续为公司提供咨询,以增强他们的数字安全。
阅读更多:黑客推送虚假 Solana 代币,Trezor X 账户遭入侵
