紛失したパスワードが大金に！ハッカーがパスワード・マネージャーをクラックし、11年前の43.6ビットコインを復元（現在300万ドル相当）

暗号通貨ウォレットでは、パスワードとニーモニック・フレーズは資産のセキュリティにとって極めて重要である。パスワードが紛失したり忘れたりした場合、復旧のためのニーモニック・フレーズのバックアップがなければ、ウォレットへのアクセスを取り戻すことはほぼ不可能になる。

43.6 BTCウォレットのパスワード紛失

最近、マイケルというユーザーに幸運なケースが起こった。ワイアードによると 2013年、マイケルは43.6BTC（当時5,300ドル、現在は300万ドル近い価値）をデジタルウォレットに保管した。彼はロボフォーム・パスワードマネージャーを使い、ウォレット用の20文字のパスワードを生成し、TrueCryptで暗号化したファイルに保存した。

残念なことに、このファイルは後に破損し、マイケルは自分の財布にアクセスできなくなった。パスワードを回復するため、彼はハードウェアハッカーのジョー・グランドに何度も連絡を取り、支援を求めた。(グランドは2022年、キングピンとして知られ、ある暗号ユーザーがTrezorウォレットにアクセスできるようにする手助けをした)

パスワード解読プロセス

グランドはその後、ブルーノというドイツ人の友人と協力した。リバースエンジニアリングによって、彼らは2013年版のロボフォームパスワードマネージャーの脆弱性を発見した。

つまり、パスワードが生成されたおおよその時間と、その他のパラメータ（パスワードの長さや文字の種類など）がわかれば、過去の特定の日時に生成されたパスワードを計算することができるのだ。

実際、彼らはロボフォームの時間設定を調整し、現在の日付がマイケルが2013年にパスワードを作成した日付であるとソフトウェアが考えるようにし、元のパスワードを再現しようとしました。マイケルはパスワードの作成日を正確に思い出せなかったが、時間範囲とパラメーターを継続的に調整することで、最終的に2013年5月15日、日本時間午後4時10分40秒に設定された正しいパスワードを発見した。技術的な詳細については、グランドとブルーノのYouTubeビデオを参照してください。

ロボフォームの開発元であるシイベル・システムズはこの脆弱性を修正したが、グランドは警告している：

Siberがどのようにこの問題に対処したかを知らなければ、攻撃者は2015年の修正以前にロボフォームで生成されたパスワードを再生成することが可能です。

同氏は、このツールの利用者に対し、パスワードを更新するか、他のパスワード・マネージャーを使用するようアドバイスした。

マイケル：幸運にもパスワードを忘れた

昨年11月、グランドとブルーノはマイケルのウォレットへのアクセス回復を助けた後、サービス料としてビットコインの一部を受け取った。当時、ビットコインの価格は1枚3万8000ドルだった。

その後、ビットコイン価格が62,000ドルまで上昇すると、マイケルはビットコインの一部を売却した。現在、彼は200万ドル以上に相当する30BTCを保有しており、価格が1コインあたり10万ドルに達するのを待っている。

マイケルは、皮肉なことに、このパスワードの紛失が彼の経済的な収入になったと振り返った。彼は言う：

パスワードの紛失は、実際に私に経済的利益をもたらした。もしパスワードを失くしていなかったら、ビットコインの価格が4万ドルしかなかったときに売っていたかもしれない；