有时候研究学者都是人,总会有忘记密码的时候。一位身为区块链(Bitcoin 应用技术)研究学会的高层人士,就忘了自己的比特币(Bitcoin)实体钱包密码,最后的解决方法竟然是:用骇客破解技术取回密码。
买入比特币 7.4BTC = USD 3,000
2016 年 1 月,身为 Blockchain Future Lab 的首席研究员 Mark Frauenfelder 为了开展研究工作,身体力行购入 7.4BTC,当时的价值是 3,000 美元(约新台币 90,456 元)。当时他用 airBitz 加值星巴克账户,还有用 Purse.io 在亚玛逊购买商品。但当时比特币的保全还不够完善,经常发生被盗事件,而他访问过不同专家,在他们的建议之下,购入“Trezor Wallet”这个存放比特币的实体钱包。
当时 Trezor 显示 24 组英文字叫 Mark 抄下来。这些字有“aware”、“move”、“fasion”、“bitter”等。他将文字写下在一张橘色纸上,然后再建立一个 PIN 密码,同样写在那张纸上。这 24 组英文字是忘记密码时可恢复钱包的工具。Mark 将这张纸收在一个秘密的地方。
将密码纸交给女儿却遗失
2017 年 3 月,Mark 与妻子前往日本东京旅行,因为担心旅行中可能有意外,为女儿着想,他把纸张取出,并在背面写着:“如果爸爸出事,将这张纸交给我的朋友 Cory,他会懂得怎样做。”Mark 把这张纸塞在女儿的枕头下,然后就前往机场。
但到 Mark 旅行回来,女儿从来没跟他谈过这件事,而他发现枕头下的纸条不见了。后来询问之下,才知道女儿丢了那张纸。而不幸的是,当他输入 PIN 密码后,被告知密码错误。他尝试了几个组合也不得要领,只肯定密码是由 1、4、5 三个数字组成。
(Source:Trezor)
发现 Trezor 保安问题
他在 Reddit 讨论区发文,指“你们尽情取笑我吧”,然后把故事详细说出。除了无用的回应,有一位网友告诉他“有方法”。但最终因为他没有时间,没有进一步联络。
后来他收到 Trezor 寄来的电邮,希望用户尽快升级系统软件到 1.5.2,原因是旧系统有资安问题。他因此有些领悟了,再看看 Reddit 讨论区,有一位网友发文指“Trezor 有漏洞会暴露你的私人密码!”再看看文章作者,就是当天想帮他的网友。
降级 Firmware 破解成功 7.4BTC = USD 32,208
后来反复介绍之下,联络到一位叫 Saleem 的网友。Saleem 说可为他拍一段 Step-by-Step 的示范影片,但需要 Mark 付他 0.35BTC 酬金,如果成功解锁,再加 0.5BTC 酬金,一共 0.85BTC。Mark 答应了,经过一轮手续,他将 Trezor 系统软件降级到 1.4.0,然后一切事情都很顺利。输入一堆指令码之后,他想要的密码出现了……就是 45455544。他终于做到了,虽然是区块链组织的高层,不过他最后还是得用破解方法取回密码。
(Source:影片截图)
他的文章写到:“我站起来,举高双手,然后我大笑了。我征服了 Trezor 的延迟密码输入保护(在输入密码错误后,需要等候长时间才能尝试再输入密码)!我想,我赢了。”日前比特币升破 6,000 美元大关,Mark 电子钱包的比特币现在等值 45,140 美元(约新台币 136 万元)。
(Source:影片截图)
- Hacking the Trezor Bitcoin Vault
(本文由 Unwire HK 授权转载;首图来源:Trezor)
