So knackten Sicherheitsforscher ein Bitcoin-Wallet mit 3 Millionen US-Dollar
Der Besitzer eines wertvollen Bitcoin-Wallets hat sein Passwort vergessen. Dank engagierter Sicherheitsforscher hat er nun wieder Zugriff.
(Bild: stockphoto-graf/Shutterstock)
Stellen Sie sich vor, Sie besitzen ein Bitcoin-Wallet mit Kryptowährung im Wert von 3 Millionen US-Dollar. Weil Sie das Passwort vergessen haben, können Sie die Bitcoins aber nicht verkaufen und müssen auf das Geld verzichten. Gerade bei langen Passwörtern mit Sonderzeichen stehen die Zeichen sehr schlecht, das Kennwort zu knacken. Dank eines Softwarefehlers ist das in einem aktuellen Fall nun aber gelungen.
Vom Reichtum ausgesperrt
Der Besitzer eines Wallets mit knapp 44 Bitcoin - derzeitiger Wert ca. 3 Millionen US-Dollar – hat einem Bericht von Wired zufolge sein vor elf Jahren erstelltes zwanzigstelliges Kennwort vergessen und einen auf Passwordknacken spezialisierten Sicherheitsforscher um Hilfe gebeten. Der hat schon mal einem vergesslichen Krypo-Wallet-Besitzer erfolgreich geholfen.
In dem Fall aus Anfang 2022 ging es um eine vergessene PIN, die er über einen komplexen Hardwareaufbau dem USB-Wallet entlocken konnte. In dem aktuellen Fall ging es aber um ein Softwarewallet und er versuchte es zuerst über das Ausprobieren von langen Passwortlisten. Doch diese Brute-Force-Methode führte nicht zum Ziel.
Software-Schwachstelle als Ansatzpunkt
Nach weiteren Untersuchungen stieß der Sicherheitsforscher auf eine Schwachstelle im Zufallsgenerator des Passwortmanagers RoboForm, den der Wallet-Besitzer zum Erstellen seines Kennworts genutzt hatte. Die Werte wurden dabei nicht dem Zufall überlassen, sondern die Anwendung nahm als Basis der Erstellung das Datum und die Uhrzeit des Computers.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Nun tat er sich mit einem weiteren Sicherheitsforscher zusammen und gemeinsam mit dem Wallet-Besitzer versuchten sie den Zeitraum der Passworterstellung einzugrenzen. Nach einigen Fehlschlägen gelang es ihnen dann tatsächlich, das Datum ausfindig zu machen und das korrekte Passwort zu generieren.
Die Sicherheitsforscher führen aus, dass die Software-Schwachstelle in RoboForm seit 2015 in der Ausgabe 7.9.14 geschlossen sei. Der Anbieter habe aber nie konkret kommuniziert, wie sie die Schwachstelle im Zufallsgenerator beseitigt haben. Demzufolge bleiben die Forscher misstrauisch und warnen davor, dass vor 2015 mit RoboForm erzeugte Kennwörter unsicher sind.
Der Wallet-Besitzer gibt an, den Sicherheitsforschern eine Belohnung gezahlt zu haben. Die Höhe des Betrags ist derzeit nicht bekannt. Mittlerweile hat er einige Bitcoins verkauft und will nun mit dem weiteren Verkauf warten, bis der Bitcoinwert von derzeit rund 60.000 Euro auf 90.000 Euro steigt. Eigenen Angaben zufolge ist er jetzt froh, nicht früher Zugriff auf das Wallet gehabt zu haben, denn dann hätte er die Kryptos wahrscheinlich schon früher zu einem deutlich schlechteren Kurs verkauft.
(des)
