Il ritorno del famigerato “Bitcoin Bandit”, che ha rubato criptovalute per 90 milioni di euro utilizzando questa semplice tecnica.
Otto anni fa, un ladro prolifico soprannominato “Bitcoin Bandit” ha derubato centinaia di proprietari di criptovalute. La sua tattica era piuttosto semplice: indovinare password deboli, e sbloccare le chiavi private necessarie per trasferire criptovalute come Bitcoin ed Ether.
Il ladro utilizzava un software che indovinava le password più ovvie. Ha derubato 10.000 proprietari di criptovalute tra il 2015 e il 2016, poi è scomparso. Ora i fondi rubati sono finalmente in movimento. Vediamo i dettagli.
Il ritorno di “Bitcoin Bandit”: ha rubato criptovalute utilizzando questa semplice tecnica
Utilizzando una tecnica chiamata “ethercombing”, il ladro ha saccheggiato circa 10.000 portafogli tra il 2015 e il 2016. Ha accumulato 51.000 ETH e 470 BTC – che attualmente valgono circa 90 milioni di dollari – in un singolo portafoglio.
E poi niente. Il ricco portafoglio del Bitcoin Bandit è rimasto inattivo fino alla scorsa settimana.
Tra il 16 e il 21 gennaio, la società di intelligence blockchain Chainalysis ha dichiarato che quel portafoglio si è riattivato. L’uomo ha movimentato i suoi guadagni illeciti.
L’impulso, sospetta Chainalysis, è legato al “recente balzo dei prezzi delle criptovalute“. Ether è in rialzo di oltre il 33% quest’anno e il Bitcoin di quasi il 39%.
Naturalmente, l’ETH valeva 250 milioni di dollari al suo massimo storico il 16 novembre 2021, più altri 33 milioni di dollari al massimo storico del BTC pochi giorni prima. Quindi forse il Bitcoin Bandit si è trattenuto un po’ troppo a lungo.
“1” non è una buona password
Per quanto riguarda i furti di criptovalute, la tecnica del Bitcoin Bandit era piuttosto semplice. Il ladro o il gruppo di ladri aveva scritto un programma in grado di indovinare password molto semplici come “1”, “2” e “3”. Inoltre controllava se sbloccavano un indirizzo pubblico, consentendo il trasferimento delle criptovalute contenute in quel portafoglio.
Adrian Bednarek, consulente per la sicurezza delle criptovalute, ha dichiarato a Wired nel 2019 che la password “1” aveva funzionato: aveva accesso a una chiave privata collegata a un indirizzo pubblico che un tempo conteneva ETH.
Una ricerca sulla blockchain di Ethereum ha mostrato che il suo contenuto era stato spostato in un nuovo portafoglio, basandosi “sul fatto che è possibile determinare la chiave pubblica di un indirizzo se si conosce la sua chiave privata“, ha detto Chainalysis.
Il problema è che una vera chiave privata è lunga 78 caratteri alfanumerici, il che la rende ingombrante come una vera e propria password. Per questo motivo, molti portafogli le semplificano, a volte anche troppo.
Ecco perché la maggior parte dei consulenti in materia di sicurezza consiglia di utilizzare password lunghe e complesse, memorizzate in un’applicazione di gestione delle password o di utilizzare una stringa di parole non correlate, o entrambe.
La maggior parte dei buoni portafogli di criptovaluta caldi e freddi utilizza una stringa di 10-25 parole come frase di recupero del portafoglio, nota anche come frase seed, che consente di ricostruire un portafoglio in caso di perdita della password o, nel caso di un portafoglio offline, di distruzione fisica.