Un Hacker recupera un wallet dal valore di oltre 2 milioni di dollari dopo che il suo proprietario aveva perso il Seed
Un wallet contenente oltre 2 milioni di dollari in criptovalute è stato hackerato per recuperarne il contenuto da un hacker.
Kingpin, questo l’alias dell’hacker che risponde al nome di Joe Grand, ha caricato un video sulla piattaforma di streaming YouTube riguardante l’hackeraggio dell’hardware wallet.
Il wallet salvato dall’hacker
La storia di questo portafoglio inizia nel 2018 quando Dan Reich, un noto imprenditore della zona di New York, e un suo partner avevano investito ben 50.000 dollari nella criptovaluta Theta. Dopo 4 anni il valore di quei token è cresciuto esponenzialmente ed è stato lì il momento in cui Reich e il suo partner si sono accorti che non ricordavano più il Seed di 12 parole (Cos’è il Seed?) necessario per accedere al wallet. Il cold wallet utilizzato è un Trezor One e questo dispositivo dopo 16 errori nell’immissione del Seed cancella automaticamente il suo contenuto. Dopo aver provato per ben 12 volte, Reich e il suo partner hanno deciso di rivolgersi ad un hacker professionista, ed è qui che entra in gioco Kingpin.
Kingpin ha trascorso ben 3 mesi in compagnia dell’hardware wallet, tra tentativi ed errori, per poi, però, alla fine spuntarla con la combinazione esatta delle 12 parole.
Hot Wallet vs Cold Wallet: quali sono le differenze?
Tecnicamente, l’operato di Kingpin è consistito in un fault injection, cioè provocare un’alterazione della tensione collegata al chip. Grazie a questa tecnica è riuscito a superare la barriera dei microcontrollori posti a protezione, appunto, delle informazioni contenute nella RAM. Kingpin ha spiegato:
Le operazioni
“Stiamo sostanzialmente provocando un comportamento scorretto sul chip di silicio che si trova all’interno del wallet, in modo da poter superare tutte le barriere di sicurezza. Dopo aver superato le barriere, le informazioni private, il Seed di recupero: alla fine, il Seed che stavo cercando è apparso sullo schermo“.
Trezor ha fatto sapere tramite un comunicato che questo tipo di vulnerabilità è stata risolta nei dispositivi più aggiornati; siamo sicuri, però, che Dan Reich e il suo partner sono ben contenti che questa falla fosse ancora presente nel loro dispositivo.