Ecco gli hacker che aiutano gli utenti a recuperare le criptovalute perdute

Riuscire a indovinare in maniera casuale la password di un wallet di Bitcoin è più improbabile che vincere alla lotteria. Ma ci sono alcuni hacker che si sono guadagnati da vivere facendo esattamente questo.

Due anni fa, “Michael” ha contattato un team di hacker white hat con una richiesta quasi impossibile: recuperare tramite brute-force la password di un suo vecchio wallet, il cui contenuto negli anni aveva raggiunto un valore di ben tre milioni di dollari.

Il problema? La password perduta era lunga 20 caratteri, e non conteneva parole reali poiché era stata creata tramite un generatore di password.

L'impresa era così monumentale che Joe Grand – hacker, co-founder di Offspec.io e YouTuber – aveva inizialmente rifiutato il lavoro: “Se dovessimo provare tutte le possibili combinazioni di password… si tratterebbe di un numero 100.000 miliardi di volte maggiore rispetto alla quantità di gocce d'acqua presenti in tutto il mondo,” aveva spiegato Grand in un video su YouTube dedicato al caso.

“Nessuno accetterebbe un progetto di brute-forcing di questa portata,” aveva dichiarato Grand in un video su YouTube.

Ma un anno dopo, per pura fortuna, Grand e il suo team si sono imbattuti in un modo per ridurre significativamente le possibili combinazioni. Si è scoperto che il generatore di password usato da Micheal, RoboForm, presentava una vulnerabilità: il sistema generava infatti password “casuali” utilizzando come seed l’orario di sistema del computer. In altre parole, tali password non erano poi così randomizzate.

Dopo aver effettuato il reverse engineering dell'algoritmo e aver inserito ogni potenziale possibilità per un periodo di sette settimane, Grand e il suo team sono finalmente riusciti a crackare il wallet… e a rendere Micheal molto ricco.

Il generatore di password RoboForm.

“È stato un bel colpo. Lo è stato sicuramente,” ha raccontato Grand a Cointelegraph. Tuttavia non tutti i casi hanno un lieto fine, dato che alcuni wallet recuperati si sono rivelati quasi vuoti:

“Non è un'attività per i deboli di cuore. Direi che non è un business adatto a chi vuole davvero fare un sacco di soldi. Alcune persone che si occupano di criptovalute si stanno lanciando nel mondo del recupero delle password pensando di poter diventare ricchi, ma è un lavoro parecchio impegnativo. [...] Se lavori a un wallet che contiene molti soldi, è fantastico… ma per ogni grande wallet, ce ne sono molti altri di più piccoli. Devi iniziare a soppesare il tempo impiegato, a chiederti se il gioco vale la candela.”

Grand è un noto hacker di hardware, che ha testimoniato al Congresso degli Stati Uniti sulla sicurezza informatica. È anche un personaggio di YouTube, un ex conduttore del programma Prototype This di Discovery Channel e un oratore pubblico.

Per Grand, il recupero delle criptovalute è più un lavoretto secondario che un impegno a tempo pieno.

Brooks e figlio, team di recupero delle criptovalute

Non è questo il caso di Chris e Charles Brooks, padre e figlio, che sin dalla fine del 2020 gestiscono nel New Hampshire l’azienda Crypto Asset Recovery.

I due sostengono che, dall’inizio della loro attività, hanno recuperato circa 6 milioni di dollari di Bitcoin. “Non siamo miliardari o milionari o cose del genere, ma è una piccola attività redditizia,” racconta Chris a Cointelegraph.

Alcune delle loro recenti crypto-avventure hanno riguardato l'indovinare i sei caratteri rimanenti di una chiave privata che era stata parzialmente strappata durante la rimozione dell'adesivo olografico di una moneta Casascius, ovvero dei BTC “fisici” in metalli prodotti tra il 2011 e il 2013. La moneta conteneva circa mezzo BTC.

Un altro caso recente ha riguardato una signora croata che aveva scritto su carta una seed phrase di 24 parole per accedere a un hardware wallet, ma aveva poi perso il foglio. In qualche modo la donna era riuscita, sfumando con una matita le impronte lasciate sul foglio, a recuperare parte della password perduta: con questi indizi, i due Brooks sono stati in grado di trovare le parole rimanenti.

Esistono ancora 18.499 monete e lingotti Casascius non ancora aperti.

“Non facciamo puro brute-forcing perché le possibilità sono troppe. Ma se mancano pochi caratteri di una parola chiave, possono essere recuperati con un po’ di potenza di calcolo,” ha spiegato Chris.

Ma il recupero delle chiavi private ha i suoi limiti: sia Grand che i Brooks affermano di aver dovuto rifiutare molti dei lavori offerti.

Truffatori dietro ogni angolo

“Riceviamo decine e decine di e-mail al giorno, ma rifiutiamo la maggior parte di esse,” ha dichiarato Grand. “Sono perlopiù da parte di persone che sono state truffate. In questi casi è molto improbabile che si riescano a recuperare i fondi, e noi non vogliamo sviarli e dare loro un barlume di speranza.”

Secondo un report dell’Internet Crime Center dell’FBI, le perdite dovute alle crypto-frodi negli Stati Uniti hanno raggiunto i 3,9 miliardi di dollari nel 2023: un aumento di oltre il 50% rispetto all’anno precedente. Le truffe legate alle criptovalute hanno rappresentato la stragrande maggioranza di tutte le frodi sugli investimenti perpetrate lo scorso anno. 

Perdite da frodi sugli investimenti negli Stati Uniti nel 2023.

“Dal 2021 al 2023, circa il 60% delle richieste riguardava gente che era stata truffata. Al tempo, la nostra politica era di rispondere ‘Ci spiace, ma non possiamo fare nulla per voi’,” ha aggiunto Charles.

Tuttavia queste persone si rivolgevano poi ad altre società di “recupero di criptovalute,” le quali erano a loro volta fraudolente: “Abbiamo iniziato a notare che le persone da noi respinte venivano nuovamente truffate da tali aziende. Così, a maggio dell'anno scorso, abbiamo iniziato a offrire gradualmente servizi di rintracciamento delle truffe.”

Questo servizio non comporta tuttavia il recupero dei fondi: “Il nostro lavoro consiste nel risalire a un’entità reale, spesso un exchange di criptovalute, partendo dal wallet del truffatore.”

Avviso sui truffatori che affermano di poter recuperare fondi rubati.

Lo scorso agosto, l’FBI ha lanciato un avviso pubblico sulle società che sostengono falsamente di essere in grado di recuperare i fondi persi a causa di crypto-truffe. Solitamente tali aziende addebitano un costo anticipato, facendo poi perdere le proprie tracce o producendo report di rintracciamento di scarsa qualità. A volte chiedono persino ulteriori soldi per “recuperare” i fondi.

L’FBI scrive:

“I truffatori, per apparire legittimi, possono dichiarare di essere affiliati alle forze dell'ordine o ai servizi legali. Le società di recupero del settore privato non possono emettere ordini di sequestro per recuperare le criptovalute. Gli exchange di criptovalute congelano i conti solo in base a processi interni o in risposta a procedimenti legali.”

Il wallet appartiene davvero al cliente?

A volte, le persone cercano di utilizzare i servizi di recupero delle criptovalute per accedere a wallet altrui.

“Abbiamo ricevuto casi in cui le persone ci dicono di essere Satoshi Nakamoto, e di aver bisogno del nostro aiuto per accedere a un wallet con dentro un milione di dollari in BTC,” ha affermato Charles. “Oppure persone che sostengono di essere state coinvolte nella creazione di Bitcoin, o che le criptovalute sono state create dall’esercito americano nel 2006 o nel 2007. Insomma, nel corso degli anni le abbiamo sentite di tutti i colori.”

C’è anche stato il caso di una moglie divorziata che ha chiesto il loro aiuto per accedere al wallet dell’ex marito. 

Non è sempre una questione di soldi

Charles e Chris Brooks sottolineano che, sebbene l'attività sia redditizia, c'è dell'altro:

“Quando, grazie al nostro aiuto, una persona rientra in possesso di 500 o 5000 dollari [...] questo fa davvero la differenza per loro. È ciò che rende tale business così appagante.”

Secondo Brooks, circa il 50-60% delle richieste di aiuto di Crypto Asset Recovery proviene da Paesi economicamente meno sviluppati, che utilizzano il Bitcoin come mezzo di risparmio. Le economie di nazioni come Argentina e Venezuela soffrono di un’inflazione altissima, e il tasso d’adozione delle crypto in queste regioni è molto alto.

Grand ha cercato di aiutare un autista di autobus di Seattle a recuperare milioni in BTC nel 2023, ma non è riuscito nell’impresa.

Brooks ha dichiarato:

“Una delle nostre prerogative è quella rendere il nostro modello scalabile, in modo da poter aiutare le persone a qualsiasi livello di prezzo. Per noi un wallet contenente $200-300 potrebbe non incidere particolarmente sul bilancio, [...] ma spesso questi sono i casi di maggior impatto per le persone, perché per loro sono i risparmi di una vita.”

Grand è dello stesso parere:

"Solo perché non guadagneremo tanti soldi con un singolo lavoro non significa che non lo faremo. Il valore del denaro varia a seconda delle persone. [...] Anche questo è il bello di questo lavoro: poter cambiare la vita della gente. Quando ho iniziato, non era qualcosa a cui pensavo. Ma vedere gli occhi delle persone illuminarsi quando abbiamo successo… sono momenti davvero speciali, difficili da descrivere."