😊DigitalDanceDaily
Notícias Exibir por tópico AI? Jogos de Vídeo iPhone Android Apple Google Microsoft Hardware
😊DigitalDanceDaily

Contents

Descobrindo a jornada épica de hackers que roubaram US$ 2 milhões de carteiras de criptomoedas em quatro anos

   1616 words   8 minutes 

,

No início de 2018, Dan Reich e um amigo decidiram gastar US$ 50.000 em Bitcoin em um lote de tokens Theta, que na época era uma nova criptomoeda que valia apenas 21 centavos cada. No início, eles mantinham os tokens em uma plataforma de câmbio baseada na China.

Mas algumas semanas depois, o governo do país decidiu ir atrás dessas plataformas (algo que acontece com frequência por lá) e para evitar perder o acesso ao seu dinheiro eles fizeram uma transferência de suas moedas para uma carteira de hardware ou carteira física de criptomoedas. Reich e seu amigo escolheram uma carteira de hardware Trezor One, configuraram um PIN e esqueceram dele.

Uma olhada em… Como usar mnemônicos para criar e lembrar senhas complexas e seguras

Apenas 16 tentativas

No final daquele ano, o token caiu para menos de um quarto do seu valor, subiu novamente e depois caiu novamente. Reich decidiu que queria ser pago, mas seu amigo havia perdido o papel no qual ele havia escrito o PIN e não conseguia se lembrar do código. Eles tentaram adivinhar o que pensavam ser um PIN de quatro dígitos (na verdade eram cinco), mas após cada tentativa fracassada, a carteira dobrou o tempo de espera antes que pudessem adivinhar novamente.

Tudo isso sabendo que após 16 tentativas os dados da carteira foram deletados automaticamente. Quando chegaram a uma dúzia de tentativas, decidiram desistir. Mas o preço dessas moedas voltou a subir, e muito. De um mínimo de cerca de US$ 12.000, o valor de suas criptomoedas começou a disparar. No final de 2020 valiam mais de 400.000 dólares, aumentando posteriormente para mais de 3 milhões de dólares.

Foi difícil entrar na carteira sem o PIN, mas não foi impossível. Eles pesquisaram alternativas na Internet até encontrarem uma palestra em uma conferência de 2018 de três especialistas em hardware falando sobre uma maneira de acessar a chave de uma carteira Trezor sem saber o PIN. Os engenheiros recusaram-se a ajudá-los, mas pelo menos sabiam que havia alternativas.

Neste site um dos hackers mais procurados por roubar bilhões em bitcoin se entregou por denunciar um pequeno roubo em sua fortuna

Depois encontraram um financiador na Suíça que alegou ter parceiros em França que poderiam desencriptar a carteira num laboratório. Mas havia um problema: Reich não poderia saber seu nome nem ir ao laboratório. Teria de entregar a carteira ao financiador na Suíça, que a entregaria aos seus parceiros franceses. Era uma ideia com muitos riscos (poderiam ser golpistas e roubar tudo, por exemplo).

Por fim, decidiram aceitá-lo e, quando iam vir para a Europa depararam-se com a pandemia e restrições de movimento. O plano desacelerou e eles finalmente encontraram um hacker americano chamado Joe Grand.

Joe Grand entra no jogo

Grand é um engenheiro elétrico e inventor que Ele hackeia hardware desde os 10 anos de idade, de acordo com o que diz sobre si mesmo. Na sua história, entre outras coisas, ele testemunhou perante o Senado dos EUA sobre uma vulnerabilidade que poderia ser usada para derrubar a Internet ou permitir que uma agência de inteligência espionasse o tráfego. Ele também ministra aulas de hacking de hardware para organizações e empresas que projetam sistemas complexos e desejam entender como os hackers podem atacar seus produtos. Reich falou com ele e confiou em suas habilidades.

Grand decidiu comprar várias bolsas idênticas à que Reich e seu amigo tinham. e instalei a mesma versão de firmware neles.

Neste site esses bitcoins foram extraídos em 2010 quase de graça. Eles acabaram de vendê-los por 69 milhões de dólares

Depois passou três meses investigando e atacando seus portfólios com diversas técnicas. Eles concordaram que Reich não iria para a cidade de Grand com sua carteira até que Grand conseguisse quebrar três carteiras com a mesma técnica. Grand recorreu a pesquisas anteriores: em 2017, um hacker de hardware de 15 anos no Reino Unido chamado Saleem Rashi desenvolveu um método para desbloquear com sucesso uma carteira Trezor pertencente a um jornalista de tecnologia, o que o ajudou a desbloquear US$ 30.000 em Bitcoins.

0

Idéia de crack

Rashid descobriu que a ativação da carteira Trezor resultou na duplicação do PIN e da chave, que foram salvos em sua memória flash, e na transferência deles para a RAM. Uma falha inerente à carteira permitiu que Rashid ativasse sua função de atualização de firmware e introduzisse seu próprio código não aprovado no dispositivo, concedendo-lhe acesso ao PIN e à chave, pois existiam temporariamente na RAM.

1

Mas a instalação do código dele fez com que o PIN e a chave armazenados na memória flash de longa duração fossem apagados, restando apenas a cópia na RAM. Para Grand havia um risco: se ele apagasse inadvertidamente a RAM antes de poder ler os dados , a chave seria irrecuperável.

2 Neste site Ele tem milhões de euros em bitcoins presos em um USB há anos porque não sabe a senha. Ele agora tem 3 opções para tirá-lo de lá

Grand decidiu então recorrer ao método utilizado na palestra da conferência de 2018, que Reich também havia examinado anteriormente. Nesse caso, os pesquisadores descobriram que, embora o Trezor tenha removido o PIN e a chave que foram copiados para a RAM durante a inicialização, o PIN e a chave apareceram na RAM durante outro estágio. Eles descobriram que em algum momento durante o modo de atualização de firmware, o PIN e a chave foram movidos temporariamente para a RAM – para evitar que o novo firmware escrevesse sobre o PIN e a chave – e depois movidos de volta para a memória flash uma vez. assim que o firmware estiver instalado.

3

Então eles criaram uma técnica chamada “wallet.fail”. Este ataque usou um método de injeção de falha, conhecido como glitching , para minar a segurança que protege a RAM e permitir que eles leiam o PIN e a chave quando estiveram brevemente na RAM.

4 Neste site O misterioso criador do Bitcoin está desaparecido há mais de 13 anos. Agora, a sua carteira original recebeu um milhão de euros

Existem três níveis de segurança disponíveis para o microcontrolador usado nas carteiras Trezor: RDP2, o mais seguro, que não permite a leitura de RAM, e RDP1 e RDP0, que permitem. Ao realizar um ataque de injeção de falha contra o chip-que afeta a tensão que vai para o microcontrolador-a equipe wallet.fail descobriu que poderia fazer o downgrade da segurança de RDP2 para RDP1. Eles foram então capazes de forçar a carteira no modo de atualização de firmware, enviando o PIN e a chave para a RAM e lendo-os.

5

Foi semelhante ao ataque de Rashid, exceto que A injeção de falha permitiu que eles acessassem a RAM sem explorar o código. A técnica era ótima para um projeto de pesquisa, mas arriscada para a vida real, segundo informações dos protagonistas desta história.

6

Se algo fosse feito errado, Grand poderia apagar inadvertidamente a RAM, junto com a chave e o PIN.

Ao tentar resolver o problema, Grand encontrou uma solução melhor. Ele descobriu que na versão do firmware instalada na carteira de Reich, a chave e o PIN continuavam a ser copiados para a RAM quando o dispositivo era ligado. Se Grand falhasse no dispositivo no momento certo, ele poderia fazer o downgrade da segurança para RDP1 e ler a RAM. E como a chave e o PIN só foram copiados para a RAM naquele momento e não foram movidos, ao contrário do cenário wallet.fail, Isso significava que eles ainda existiriam no flash se Grand acidentalmente apagasse a RAM.. Foi uma solução muito mais segura.

7

Glitching exigiu milhares de tentativas

O único problema era que a falha exigia milhares de tentativas: ligar a carteira repetidamente e usar parâmetros diferentes para afetar a tensão do microcontrolador a cada vez, na tentativa de encontrar o momento exato que permitiria diminuir a segurança do microcontrolador. Demorou entre três e quatro horas e não havia garantia de que funcionaria na carteira de Reich.

8

Quando chegou a hora de hackear em maio passado, Reich voou para Portland por dois dias. Eles passaram o primeiro dia preparando tudo-Eles filmaram o hack com uma equipe profissional-e no dia seguinte Grand executou sua ação.

9 Neste site Em meio à guerra das criptomoedas, este é o alerta do criador do ChatGPT sobre o bitcoin

Tiveram que esperar mais de três horas e meia. Até que o hack chegou ao fim e o código e o PIN de cinco dígitos apareceram na tela de Grand.

Ele prontamente extraiu os tokens Theta de sua conta, transferindo uma parte predeterminada deles como remuneração para Grand em reconhecimento à sua ajuda.

Desde a sua exploração, Grand recebeu pedidos de outras pessoas que perderam o acesso aos seus fundos e precisam da chave para desencriptar as suas carteiras. Sim, Trezor já resolveu parte do problema que Grand explorou em versões posteriores de seu firmware.

0

A imagem fornecida é uma fotografia capturada por Hendrik Morkel e pode ser encontrada no Unsplash, plataforma online que oferece imagens de alta qualidade para diversos fins, como uso pessoal ou comercial.

1

Indivíduos que utilizaram nossos serviços relataram ter experimentado um alívio significativo de sua ansiedade e estresse como resultado de nossos métodos avançados de tratamento, que incluem abordagens baseadas na atenção plena e técnicas de terapia cognitivo-comportamental projetadas para promover a autoconsciência e a regulação emocional. Ao trabalhar com profissionais experientes especializados no tratamento de transtornos de ansiedade, os indivíduos podem obter informações valiosas e ferramentas práticas que lhes permitem controlar os sintomas de forma eficaz e melhorar o bem-estar geral.

2

*️⃣ Link da fonte:

Grand é engenheiro elétrico , ele desenvolveu um método , Hendrik Morkel , Unsplash ,

Updated on 2024-03-22
Back | Home