Chàng trai trong câu chuyện tâm sự rằng anh cảm thấy may mắn vì đã làm mất mật khẩu ví. Vì nếu không, anh sẽ bán hết số Bitcoin mình có, bỏ lỡ cơ hội kiếm được khối tài sản cao gấp 500 lần so với lúc mua.
2 năm trước, một người chơi tiền số tên “Michael” liên hệ với hacker Joe Grand để giúp khôi phục quyền truy cập vào số Bitcoin trị giá hơn 2,7 triệu USD, được lưu trữ ở định dạng mã hóa trên máy tính. Nhưng Grand đã từ chối.
Cụ thể, Michael đã cất 43,6 BTC của mình (trị giá khoảng 4.000 euro, tương đương 5.300 USD vào năm 2013) của mình trong ví kỹ thuật số có mật khẩu. Anh đã tạo mật khẩu bằng trình quản lý mật khẩu RoboForm và lưu trong một tệp được mã hóa bằng công cụ TrueCrypt. Sau một thời gian, tệp này bị hỏng và Michael mất mật khẩu dài 20 ký tự đã tạo trước đó.
Người Michael tìm đến sự trợ giúp là Joe Grand - một hacker phần cứng nổi tiếng, có biệt danh “Kingpin”. Năm 2022, người này từng giúp một người khác lấy lại quyền truy cập vào 2 triệu USD tiến số chỉ vì quên mã PIN vào ví Trezor của mình. Kể từ đó, hàng chục người đã liên hệ với Grand để giúp họ lấy lại tài sản. Nhưng phần lớn đều bị Grand từ chối vì nhiều lý do.
Về trường hợp Michael, anh đã cất tài sản của mình trong một phần mềm ví điện tử, tức là kỹ năng hack phần cứng nào của Grand không thể giúp ích. Grand đã cân nhắc đến kỹ thuật brute-force - viết một tập lệnh để tự động đoán hàng triệu mật khẩu có thể có để tìm ra mật khẩu chính xác của Michael. Nhưng anh nhận ra cách làm này không khả thi.
Sau đó, hacker cũng nghĩ đến xác suất trình RoboForm có thể phạm sai sót khi tạo mật khẩu, giúp anh đoán mật khẩu dễ dàng hơn. Tuy nhiên, Grand nghi ngờ liệu có lỗ hổng như vậy thật hay không nên đã từ chối hack.
Michael đã liên hệ với nhiều chuyên gia bẻ khóa mật mã khác. Tất cả đều nói rằng họ không thể lấy lại được tiền của anh. Đến tháng 6/2023, anh lại liên hệ Grand một lần nữa với hy vọng thuyết phục hacker giúp đỡ. Lần này, Grand đồng ý. Anh hợp tác với một người bạn tên Bruno ở Đức, cũng chuyên hack ví kỹ thuật số.
Grand và Bruno đã dành nhiều tháng để thiết kế ngược phiên bản của phần mềm RoboForm Michael đã sử dụng vào năm 2013. Họ phát hiện rằng trình tạo mật khẩu ngẫu nhiên đó quả thật có một lỗ hổng lớn. Điều này làm trình tạo số ngẫu nhiên “không còn quá ngẫu nhiên”.
Hacker Joe Grand đã phát hiện lỗ hổng trong trình tạo mật khẩu, giúp tìm lại mật khẩu khổ chủ đã quên từ 10 năm trước. Ảnh: CNC.
RoboForm đã nhầm lẫn các mật khẩu ngẫu nhiên với ngày và giờ trên máy tính của người dùng. Nói cách khác, nó xác định ngày và giờ của máy tính, sau đó tạo ra các mật khẩu có thể dự đoán được. Nếu bạn biết ngày giờ cũng như các thông số khác, bạn có thể đoán ra bất kỳ mật khẩu nào đã được tạo ra vào ngày và giờ đó.
Tương tự, nếu Michael biết thời điểm mình tạo mật khẩu và các thông số (số ký tự trong mật khẩu, bao gồm chữ thường và chữ in hoa, số và các ký tự đặc biệt), số lần đoán mật khẩu sẽ giảm xuống.
Sau đó, hacker có thể tấn công vào chức năng kiểm tra ngày giờ của RoboForm và khiến nó quay ngược thời gian. Cuối cùng, phần mềm sẽ đưa ra cùng một mật khẩu mà nó đã tạo cho Michael vào năm 2013.
Nhưng vấn đề là Michael không thể nhớ mình đã tạo mật khẩu khi nào.
Theo nhật ký trên ví, Michael đã chuyển Bitcoin vào lần đầu tiên vào ngày 14/4/2013. Nhưng anh không thể nhớ mình đã tạo mật khẩu vào cùng ngày hay lúc nào khác. Vì vậy, Grand và Bruno đã tùy biến RoboForm để tạo mật khẩu 20 ký tự với chữ hoa và chữ thường, số và 8 ký tự đặc biệt từ ngày 1/3-20/4/2013.
Nhưng phần mềm vẫn không tạo được mật khẩu đúng. Vì vậy, Grand và Bruno đã kéo dài khung thời gian từ ngày 20/4-1/6/2013, sử dụng các thông số tương tự. Vẫn không có phép màu nào xảy ra.
2 hacker đã liên tục hỏi Michael liệu anh có chắc chắn về các thông số mình đã sử dụng hay không.
“Họ thực sự làm tôi khó chịu, vì ai mà biết được mình đã làm gì 10 năm trước”, anh nhớ lại. Anh đã tìm thấy những mật khẩu khác từng tạo bằng RoboForm vào năm 2013 và 2 trong số đó không sử dụng ký tự đặc biệt. Vì thế, Grand và Bruno đã điều chỉnh tập lệnh thêm một lần nữa.
Tháng 11/2023, họ đã liên hệ với Michael để hẹn gặp trực tiếp. “Tôi nghĩ, ‘Ôi Chúa ơi, họ sẽ lại hỏi tôi về cài đặt phần mềm đây’”, anh nói.
Hacker cho rằng trình tạo mật khẩu tự động chưa chắc đáng tin như bạn tưởng. Ảnh: RoboForm.
Song, khi gặp nhau, 2 hacker tiết lộ rằng cuối cùng họ đã tìm được mật khẩu chính xác. Nó được tạo vào ngày 15/5/2013, lúc 4:10:40 chiều GMT. “Cuối cùng chúng tôi đã gặp may vì các thông số và phạm vi thời gian đều đúng”, Grand viết trong email gửi tới Wired.
Được công ty Siber Systems có trụ sở tại Mỹ phát hành, RoboForm là một trong những trình quản lý mật khẩu đầu tiên trên thị trường và hiện có hơn 6 triệu người dùng trên toàn thế giới. Siber Systems xác nhận với Wired rằng lỗ hổng trên đã được khắc phục ở phiên bản 7.9.14 ngày 10/6/2015.
“Tôi vẫn không chắc mình có thể tin tưởng vào trình tạo mật khẩu này, nếu không biết họ đã vá lỗi thế nào trong các phiên bản mới nhất. Tôi không chắc liệu RoboForm có biết lỗ hổng này nguy hiểm đến mức nào hay không”, Grand nói.
Về phần Michael, sau khi hoàn thành nhiệm vụ, Grand và Bruno đã lấy 1% số Bitcoin trong tài khoản của anh và trả lại mật khẩu cho khổ chủ. Vào thời điểm đó, Bitcoin trị giá 38.000 USD/đồng. Michael đợi cho đến khi nó tăng lên 62.000 USD (tăng gấp 500 lần so với lúc mua) và bán một phần trong số đó. Anh hiện có 30 BTC, trị giá 3 triệu USD và đang chờ giá lên 100.000 USD.
Michael cảm thán mình thật may mắn vì làm mất mật khẩu nhiều năm trước. Vì nếu không, anh sẽ bán hết số Bitcoin khi nó trị giá 40.000 USD và bỏ lỡ cơ hội kiếm được khối tài sản khổng lồ như hiện tại. “Mất mật khẩu hóa ra lại là một điều may”, Michael nói với Wired.
#quênmậtkhẩubitcoin
2 năm trước, một người chơi tiền số tên “Michael” liên hệ với hacker Joe Grand để giúp khôi phục quyền truy cập vào số Bitcoin trị giá hơn 2,7 triệu USD, được lưu trữ ở định dạng mã hóa trên máy tính. Nhưng Grand đã từ chối.
Cụ thể, Michael đã cất 43,6 BTC của mình (trị giá khoảng 4.000 euro, tương đương 5.300 USD vào năm 2013) của mình trong ví kỹ thuật số có mật khẩu. Anh đã tạo mật khẩu bằng trình quản lý mật khẩu RoboForm và lưu trong một tệp được mã hóa bằng công cụ TrueCrypt. Sau một thời gian, tệp này bị hỏng và Michael mất mật khẩu dài 20 ký tự đã tạo trước đó.
Hành trình đi tìm mật khẩu ví Bitcoin thất lạc từ 10 năm trước
Người Michael tìm đến sự trợ giúp là Joe Grand - một hacker phần cứng nổi tiếng, có biệt danh “Kingpin”. Năm 2022, người này từng giúp một người khác lấy lại quyền truy cập vào 2 triệu USD tiến số chỉ vì quên mã PIN vào ví Trezor của mình. Kể từ đó, hàng chục người đã liên hệ với Grand để giúp họ lấy lại tài sản. Nhưng phần lớn đều bị Grand từ chối vì nhiều lý do.
Về trường hợp Michael, anh đã cất tài sản của mình trong một phần mềm ví điện tử, tức là kỹ năng hack phần cứng nào của Grand không thể giúp ích. Grand đã cân nhắc đến kỹ thuật brute-force - viết một tập lệnh để tự động đoán hàng triệu mật khẩu có thể có để tìm ra mật khẩu chính xác của Michael. Nhưng anh nhận ra cách làm này không khả thi.
Sau đó, hacker cũng nghĩ đến xác suất trình RoboForm có thể phạm sai sót khi tạo mật khẩu, giúp anh đoán mật khẩu dễ dàng hơn. Tuy nhiên, Grand nghi ngờ liệu có lỗ hổng như vậy thật hay không nên đã từ chối hack.
Michael đã liên hệ với nhiều chuyên gia bẻ khóa mật mã khác. Tất cả đều nói rằng họ không thể lấy lại được tiền của anh. Đến tháng 6/2023, anh lại liên hệ Grand một lần nữa với hy vọng thuyết phục hacker giúp đỡ. Lần này, Grand đồng ý. Anh hợp tác với một người bạn tên Bruno ở Đức, cũng chuyên hack ví kỹ thuật số.
Grand và Bruno đã dành nhiều tháng để thiết kế ngược phiên bản của phần mềm RoboForm Michael đã sử dụng vào năm 2013. Họ phát hiện rằng trình tạo mật khẩu ngẫu nhiên đó quả thật có một lỗ hổng lớn. Điều này làm trình tạo số ngẫu nhiên “không còn quá ngẫu nhiên”.
Hacker Joe Grand đã phát hiện lỗ hổng trong trình tạo mật khẩu, giúp tìm lại mật khẩu khổ chủ đã quên từ 10 năm trước. Ảnh: CNC.
RoboForm đã nhầm lẫn các mật khẩu ngẫu nhiên với ngày và giờ trên máy tính của người dùng. Nói cách khác, nó xác định ngày và giờ của máy tính, sau đó tạo ra các mật khẩu có thể dự đoán được. Nếu bạn biết ngày giờ cũng như các thông số khác, bạn có thể đoán ra bất kỳ mật khẩu nào đã được tạo ra vào ngày và giờ đó.
Tương tự, nếu Michael biết thời điểm mình tạo mật khẩu và các thông số (số ký tự trong mật khẩu, bao gồm chữ thường và chữ in hoa, số và các ký tự đặc biệt), số lần đoán mật khẩu sẽ giảm xuống.
Sau đó, hacker có thể tấn công vào chức năng kiểm tra ngày giờ của RoboForm và khiến nó quay ngược thời gian. Cuối cùng, phần mềm sẽ đưa ra cùng một mật khẩu mà nó đã tạo cho Michael vào năm 2013.
“Mất mật khẩu hóa ra lại là một điều may”
Nhưng vấn đề là Michael không thể nhớ mình đã tạo mật khẩu khi nào.
Theo nhật ký trên ví, Michael đã chuyển Bitcoin vào lần đầu tiên vào ngày 14/4/2013. Nhưng anh không thể nhớ mình đã tạo mật khẩu vào cùng ngày hay lúc nào khác. Vì vậy, Grand và Bruno đã tùy biến RoboForm để tạo mật khẩu 20 ký tự với chữ hoa và chữ thường, số và 8 ký tự đặc biệt từ ngày 1/3-20/4/2013.
Nhưng phần mềm vẫn không tạo được mật khẩu đúng. Vì vậy, Grand và Bruno đã kéo dài khung thời gian từ ngày 20/4-1/6/2013, sử dụng các thông số tương tự. Vẫn không có phép màu nào xảy ra.
2 hacker đã liên tục hỏi Michael liệu anh có chắc chắn về các thông số mình đã sử dụng hay không.
“Họ thực sự làm tôi khó chịu, vì ai mà biết được mình đã làm gì 10 năm trước”, anh nhớ lại. Anh đã tìm thấy những mật khẩu khác từng tạo bằng RoboForm vào năm 2013 và 2 trong số đó không sử dụng ký tự đặc biệt. Vì thế, Grand và Bruno đã điều chỉnh tập lệnh thêm một lần nữa.
Tháng 11/2023, họ đã liên hệ với Michael để hẹn gặp trực tiếp. “Tôi nghĩ, ‘Ôi Chúa ơi, họ sẽ lại hỏi tôi về cài đặt phần mềm đây’”, anh nói.
Hacker cho rằng trình tạo mật khẩu tự động chưa chắc đáng tin như bạn tưởng. Ảnh: RoboForm.
Song, khi gặp nhau, 2 hacker tiết lộ rằng cuối cùng họ đã tìm được mật khẩu chính xác. Nó được tạo vào ngày 15/5/2013, lúc 4:10:40 chiều GMT. “Cuối cùng chúng tôi đã gặp may vì các thông số và phạm vi thời gian đều đúng”, Grand viết trong email gửi tới Wired.
Được công ty Siber Systems có trụ sở tại Mỹ phát hành, RoboForm là một trong những trình quản lý mật khẩu đầu tiên trên thị trường và hiện có hơn 6 triệu người dùng trên toàn thế giới. Siber Systems xác nhận với Wired rằng lỗ hổng trên đã được khắc phục ở phiên bản 7.9.14 ngày 10/6/2015.
“Tôi vẫn không chắc mình có thể tin tưởng vào trình tạo mật khẩu này, nếu không biết họ đã vá lỗi thế nào trong các phiên bản mới nhất. Tôi không chắc liệu RoboForm có biết lỗ hổng này nguy hiểm đến mức nào hay không”, Grand nói.
Về phần Michael, sau khi hoàn thành nhiệm vụ, Grand và Bruno đã lấy 1% số Bitcoin trong tài khoản của anh và trả lại mật khẩu cho khổ chủ. Vào thời điểm đó, Bitcoin trị giá 38.000 USD/đồng. Michael đợi cho đến khi nó tăng lên 62.000 USD (tăng gấp 500 lần so với lúc mua) và bán một phần trong số đó. Anh hiện có 30 BTC, trị giá 3 triệu USD và đang chờ giá lên 100.000 USD.
Michael cảm thán mình thật may mắn vì làm mất mật khẩu nhiều năm trước. Vì nếu không, anh sẽ bán hết số Bitcoin khi nó trị giá 40.000 USD và bỏ lỡ cơ hội kiếm được khối tài sản khổng lồ như hiện tại. “Mất mật khẩu hóa ra lại là một điều may”, Michael nói với Wired.
#quênmậtkhẩubitcoin