+1 (888) 440-2404

Varastetun kryptovaluutan palautus: kuinka DriveSavers rakensi Trezorin siemenlauseen uudelleen 10 puuttuvasta sanasta

Varastetun kryptovaluutan palautus:

Kuinka DriveSavers rakensi Trezorin siemenlauseen uudelleen 10 puuttuvasta sanasta

Laite:
Trezor-laitteistolompakko

Haaste:
Palautuksen siemenlauseen 10 puuttuvan sanan rekonstruointi

Palautusprosessi:
Forensinen videoanalyysi ja oma kryptovaluutan palautusohjelmisto

Lopullinen palautusvaihe:
5 tuntia nopeudella 28 miljardia arvausta sekunnissa

Tulos:
Kaikki kryptovaluuttaomaisuudet palautettiin ennen kuin varkaat pääsivät käsiksi lompakkoon

DriveSaversin kryptopalautuspalvelut yhdistivät forensisen videoanalyysin ja oman palautusohjelmiston ratkaistakseen brute force -ongelman, jota pidettiin aluksi laskennallisesti mahdottomana.

Tausta

Varkaat varastivat kassakaapin, joka sisälsi sekä Trezor-laitteistolompakon että paperiarkin, jossa oli sen 20 sanan palautussiemenlause. Asiakkaalla oli kopio ensimmäisistä 10 sanasta. Loput 10 oli rekonstruoitava nopeasti. Ilman täydellistä lausetta asiakkaalla ei ollut keinoa palauttaa lompakkoa korvaavalle laitteelle ja turvata varoja ennen kuin varkaat ehtisivät tyhjentää sen.

Trezor-laitteistolompakko on suojattu laitteessa olevalla PIN-koodilla, mutta 20 sanan palautussiemenlause toimii päävarmuuskopiona. Kuka tahansa, jolla on koko lause, voi palauttaa lompakon uudelle laitteelle ja siirtää varat. Lauseen rekonstruointi oli asiakkaan ainoa vaihtoehto. Varkaille paperinen varmuuskopio oli helpoin tie digitaaliseen omaisuuteen — rahaan.

Miksi tavallinen palautus ei ollut mahdollista

Tämän Trezorin siemenlause perustui SLIP-0039 Shamir -varmuuskopiosanaluetteloon, joka sisältää 1 024 mahdollista sanaa. Kun 10 tunnettua sijaintia puuttui, mahdollisten yhdistelmien määrä oli astronominen, mikä teki suorasta brute force -yrityksestä epäkäytännöllisen.

Tavallisella laitteistolla 10 puuttuvan sanan brute force -yritys kestäisi noin 803 biljoonaa vuotta. Jopa biljoonalla arvauksella sekunnissa haku kestäisi noin 40 miljardia vuotta. Pelkkä raakaa voimaa hyödyntävä haku ei ollut realistinen vaihtoehto. Hakutilaa oli kavennettava merkittävästi ennen kuin nopea laskenta voisi kuroa eron umpeen.

Perustuen valvontakameratallenteisiin

Toimiston valvontakamerat tallensivat asiakkaan kirjoittamassa siemenlausetta. Tallenne oli ainoa jäljellä oleva todiste puuttuvista sanoista.

Ulkopuolinen forensinen videoanalyysitiimi oli jo tutkinut tallenteen ja todennut, että resoluutio oli liian alhainen puuttuvien sanojen tunnistamiseen. Mikään videossa ei näyttänyt kynää paperilla riittävän selkeästi, jotta teksti olisi ollut luettavissa.

DriveSaversin insinöörit tarkastelivat tallenteen uudelleen, vahvistivat samat luettavuusrajoitukset ja etsivät, mitä muuta siitä voisi havaita. Monet sanoista oli kirjoitettu asiakkaan käden ollessa lähes kokonaan kameran ulkopuolella. Niiden sanojen kohdalla, jotka näkyivät kamerassa, näkyvyys vaihteli. Asiakkaan käden kärki näkyi muutamien sanojen kohdalla. Joissakin muissa näkyi osa peukalosta.

Tallenne osoitti selvästi osan painetusta Trezor-palautuskortista, joka tarjosi yhtenäisen merkkiruudukon jokaiselle sanan sijainnille; osa merkeistä, jotka näyttivät kirjaimilta, osoittautui kuitenkin pelkiksi mustetahroiksi.

Hakutilan kaventaminen

palautuskortti

Videolla näkyvien rajallisten kädenliikkeiden tulkitsemiseksi tiimi pyysi asiakkaalta erillisiä käsialanäytteitä. Asiakkaan tapa muodostaa kirjaimia osoittautui erottuvaksi. Osa kirjaimista kirjoitettiin ylhäältä alas, osa alhaalta ylös. Yhdessä oli alustava silmukka, joka ei kuulunut itse kirjaimeen. Toinen muistutti muodoltaan enemmän salamaa kuin tavanomaista kaarta.

Niissä kohdissa, joissa käden osittainen liike oli näkyvissä, insinöörit käyttivät näitä malleja sulkeakseen pois yhteensopimattomat vaihtoehdot SLIP-0039-sanaluettelosta. Sanan 11 tunnistaminen yhdessä kiihdytetyn laitteiston kanssa pienensi jäljellä olevan brute force -arvion 803 biljoonasta vuodesta 33 vuoteen. Sana 13 vähensi sen edelleen 59 päivään. Sana 15:n kohdalla jäljellä olevat yhdistelmät olivat jo laskennallisesti saavutettavissa.

Sana 16

Sana 16 toi mukanaan kriittisen epäselvyyden. Trezor-palautuskortissa oli kyseisessä kohdassa 8 merkkiruutua, mutta videon perusteella asiakas oli kirjoittanut vain 6 merkkiä. Koska SLIP-0039-sanat ovat ennalta määriteltyjä, väärän merkkimäärän käyttäminen olisi sulkenut oikean vastauksen kokonaan pois. Tiimi kävi todisteet läpi ja päätteli, että todellinen sana oli todennäköisimmin 6 merkin pituinen. Kaksi merkintää varmuuskopiopaperissa oli todennäköisesti levinnyt toisiinsa, mikä loi vaikutelman ylimääräisistä merkeistä.

Sen sijaan, että tiimi olisi tukeutunut yhteen epävarmaan oletukseen, se lukitsi vain korkean varmuustason rajoitteet ja antoi palautusohjelmiston arvioida jäljellä olevat kelvolliset vaihtoehdot.

Saada palautus valmiiksi

Tässä vaiheessa jäljellä oleva epävarmuus oli riittävän pieni, jotta laskenta oli mahdollista. Kun korkean varmuustason sanat oli lukittu ja jäljellä oleva joukko rajattu, DriveSaversin oma kryptovaluutan palautusohjelmisto suoritti viimeisen brute force -yrityksen 28 miljardin arvauksen sekuntinopeudella. Oikea siemenlause tunnistettiin 5 tunnissa, mikä mahdollisti lompakon onnistuneen palauttamisen.

Tämän jälkeen lompakko palautettiin korvaavalle laitteistolle ja kryptovaluutta siirrettiin turvalliseen lompakkoon ennen kuin varkaat ehtivät toimia.

”10 puuttuvan sanan brute force -yritys olisi kestänyt yli 800 biljoonaa vuotta tavallisella laitteistolla, joten meidän oli löydettävä toinen ratkaisu. Video oli liian sumea sanojen lukemiseen, mutta pystyimme näkemään asiakkaan käden liikkeet. Kun vertasimme näitä liikkeitä Trezorin käyttämään sanalistaan, lopullinen varmistus suoritettiin 28 miljardin arvauksen sekuntinopeudella, ja oikea siemenlause tunnistettiin viidessä tunnissa viikkojen forensisen analyysin ja hakutilan kaventamisen jälkeen.”

Mike Cobb

Tekninen johtaja, DriveSavers Data Recovery

Muut palautusskenaariot

Suurin osa kryptovaluuttojen menetyksistä johtuu muutamasta yleisestä tilanteesta: varastettu lompakko, osittainen siemenlause, unohtunut salasana, vioittunut lompakkotiedosto tai fyysisesti vaurioitunut data storage -laite. Osa näistä tilanteista on palautettavissa. Osa ei. Kaikki riippuu vian tarkemmista olosuhteista.

DriveSaversin kryptovaluutan palautusasiantuntijat käsittelevät osittaisia ja vaurioituneita siemenlauseita, kadonneita kryptolompakon salasanoja, vioittuneita wallet.dat-tiedostoja, laitteistolompakon PIN-koodin palautusta sekä fyysisiä vaurioita data storage -medioissa, jotka sisältävät lompakkotietoja. Tässä tapauksessa esitetty lähestymistapa yhdisti forensisen videoanalyysin ja DriveSaversin oman palautusohjelmiston. Tällainen yhdistelmä soveltuu tiettyihin ja harvinaisiin kryptovarojen palautustilanteisiin.

Jos haluat palauttaa kryptovaluuttaa tai keskustella osittaisesta siemenlauseesta, ota yhteyttä DriveSaversiin Crypto Recovery Services -tiimiin numerossa +1 (888) 440-2404.

Related Posts

DriveSaversin vanhempi markkinointipäällikkö
Kirjoitatko DriveSaversista, tietojen palautuksesta tai jostain muusta teknologiaan liittyvästä aiheesta?
Ota yhteyttä.

Twitter
Back To Top
Search