Michael Stay, ex software engineer di Google nonché l'attuale CTO della società di smart contract e applicazioni decentralizzate Pyrofex, sostiene di essere riuscito ad hackerare un file zip contenente le chiavi private di oltre 300.000$ in Bitcoin (BTC).

In un post pubblicato sul suo blog ufficiale, Stay racconta che il suo viaggio è iniziato quando, sei mesi fa, è stato contattato su LinkedIn da "un tizio russo".

"Con parecchio denaro e potenza di calcolo, sarebbe stato possibile"

Pare che questo individuo di origini russe avesse letto un articolo scritto da Stay nel lontano 2000, nel quale descriveva una tecnica con la quale poter hackerare file zip.

In particolare, Stay scrive nel suo blog:

"Aveva letto un articolo scritto da me 19 anni fa, e voleva sapere se lo stesso tipo di attacco potesse funzionare su un file zip contenente soltanto due file. Dopo una rapida analisi sono arrivato alla conclusione che, con parecchio denaro e potenza di calcolo, sarebbe stato possibile.

Poiché avevo a disposizione soltanto due file, le probabilità di falsi positivi ad ogni stadio sarebbero state molto alte. Avremmo dovuto testare 273 chiavi, per un totale di 10 sestilioni di possibilità. Ho stimato che sarebbe servita un'enorme GPU farm nonché un intero anno di lavoro: il costo complessivo sarebbe stato di circa 100.000$. 

Sono rimasto stupito quando mi ha detto di essere disposto a spendere tanto per recuperare i file."

12.500$ nel 2016, oltre 300.000$ oggi

I file in questione contenevano le chiavi private di circa 12.500$ in BTC, acquistati dall'individuo russo nel 2016. "Ora il loro valore era di oltre 300.000$, ma non riusciva più a ricordare la password", ha spiegato Stay.

"Fortunatamente possedeva ancora il portatile originale e sapeva esattamente quando i file erano stati criptati.

Poiché InfoZip utilizza un seed basato sul timestamp, questo ha permesso di ridurre enormemente la mole di lavoro: 'soltanto' 10 quintilioni di possibilità, rendendo il progetto molto più fattibile. Sarebbero bastati un paio di mesi e una GPU farm di grandezza media.

Abbiamo stipulato un contratto e mi sono subito messo al lavoro."

Dopo svariati mesi di testing, durante i quali ha anche scoperto e risolto un bug nella sua GPU farm, Stay è riuscito a decifrare con successo i file e a consegnare le chiavi private al cliente russo.