Moeda decorativa de Bitcoin parcialmente enterrada em grão escuros que lembram areia
Unsplash/kanchanara

Michael, um investidor em criptomoedas, perdeu acesso aos seus 43,6 BTC armazenados em uma carteira digital protegida por senha em 2013 – avaliados em cerca de US$ 5.300 na época. Ele gerou uma senha complexa de 20 caracteres usando o RoboForm, mas a perdeu após um arquivo criptografado com a ferramenta TrueCrypt que a armazenava ser corrompido.

Anos se passaram, o valor do Bitcoin disparou e os 43,6 BTC se transformaram em US$ 2,9 milhões (cerca de R$ 15 milhões) na cotação atual. Michael então contatou Joe Grand, renomado especialista em segurança, para tentar recuperar o acesso. Inicialmente, Joe recusou o caso, pois sua expertise envolvia hardware e não software.

Joe Grand, conhecido como “Kingpin”, é um engenheiro elétrico que começou a hackear hardware aos 10 anos e co-apresentou o programa Prototype This no Discovery Channel em 2008. Em 2022, ele ajudou outro proprietário de carteira de moedas digitais a recuperar US$ 2 milhões após esquecer o código de segurança de sua carteira no Trezor. Desde então, Joe recebe inúmeros pedidos de ajuda, mas geralmente recusa por várias razões.

Quando Michael voltou a procurar Joe em junho do ano passado, ele finalmente aceitou o desafio, contando com a ajuda de Bruno, um amigo alemão especializado em hackear carteiras digitais.

Missão quase impossível

A dupla passou meses analisando a versão do RoboForm que Michael usou em 2013 e descobriu uma falha significativa no gerador de números pseudo-aleatórios do programa. Esta falha, corrigida dois anos depois, permitia que as senhas geradas fossem previsíveis, baseadas na data e hora do computador.

Infelizmente, Michael não se lembrava da data exata em que criou a senha. A única pista era a data na qual os bitcoins foram adicionados à carteira: 14 de abril de 2013.

Para recuperar a senha, Joe e Bruno configuraram o RoboForm para gerar senhas de 20 caracteres com letras maiúsculas e minúsculas, números e caracteres especiais dentro de um intervalo de datas precisas antes e depois da aquisição dos bitcoins. Após várias tentativas frustradas, eles ajustaram os parâmetros e, em novembro, finalmente encontraram a senha correta – que não incluía caracteres especiais e foi gerada em 15 de maio de 2013.

Joe e Bruno deduziram uma porcentagem dos bitcoins recuperados como pagamento pelo trabalho realizado e entregaram a senha a Michael. Na época, o bitcoin estava valendo US$ 38.000 por moeda. Michael esperou até que o valor subisse para US$ 62.000 por moeda antes de vender parte de seus bitcoins, possuindo agora 30 BTC, atualmente avaliados em R$ 10,6 milhões. Ele planeja vender novamente quando o valor atingir US$ 100.000 por moeda – ou R$ 15,6 milhões, na cotação atual do dólar.

Michael acredita que perder a senha acabou sendo financeiramente vantajoso, já que, caso contrário, ele teria vendido os bitcoins a um valor muito menor do que o atual.

A empresa responsável pelo RoboForm, a Siber Systems, corrigiu a falha explorada por Joe e Bruno em 2015, mas não alertou os usuários sobre a necessidade de gerar novas senhas para contas críticas. Isso significa que muitos usuários podem ainda estar utilizando senhas vulneráveis geradas antes da correção. Joe Grand destaca que a maioria das pessoas não altera suas senhas a menos que sejam obrigadas a fazê-lo.