+1 (888) 440-2404

Chiave di wallet crypto sovrascritta recuperata

Chiave di wallet crypto sovrascritta recuperata

Dispositivo:
MacBook Air

Asset:
Wallet crypto in autocustodia (wallet NEO/Neon)

Valore stimato a rischio:
Circa $96.000 in criptovaluta

Problema:
La chiave privata è stata sovrascritta durante la modifica/copia e incolla

Posizione della chiave:
Apple Note (memorizzata come testo)

Un cliente ha improvvisamente perso l’accesso a un wallet di criptovalute contenente circa 82.600 € dopo aver aggiornato una nota sul proprio computer. Conservava le credenziali del wallet nell’app Note. Durante una modifica, probabilmente a seguito di un’operazione di copia e incolla, la chiave privata è stata accidentalmente sovrascritta.

Il cliente ha riferito di aver utilizzato il dispositivo in modo minimo dopo l’errore e di non aver tentato strumenti di recupero fai-da-te, contribuendo così a preservare le migliori possibilità di recupero crypto.

La sfida

Le chiavi crypto non ammettono “quasi giusto”. Un solo carattere errato, mancante o aggiuntivo può impedire completamente l’accesso.

In questo caso, il cliente ha sovrascritto la chiave privata originale in Note con una versione simile ma troncata, rendendo la nota visibile non più affidabile. La migliore possibilità di successo era andare oltre l’interfaccia di Note e analizzare gli artefatti creati dal database sottostante dell’app, dove talvolta possono rimanere versioni precedenti del testo modificato.

Il processo

Flusso di lavoro riservato

Le attività sono state eseguite attraverso un processo ad alta sicurezza su un sistema isolato, separato dagli ambienti di rete standard di DriveSavers Data Recovery.

Imaging forense

Il team ha creato immagini verificate dei supporti di archiviazione dati per preservarne lo stato originale, mentre l’analisi proseguiva su copie controllate.

Ricerca mirata di artefatti

Invece di affidarsi a ciò che mostrava l’app Note, il team ha tracciato dove l’applicazione archivia e aggiorna i contenuti dietro le quinte — in particolare nel database di Note e nei relativi file di tracciamento delle modifiche.

Il team di ingegneria ha esaminato a basso livello gli artefatti rilevanti dell’app Note e ha cercato stringhe candidate coerenti con il modello previsto di una chiave privata. In questo modo, il team ha individuato più occorrenze di una chiave candidata conforme alla struttura attesa e apparentemente appartenente a una versione precedente non corrotta.

Verifica

Nel recupero crypto, la validazione è fondamentale. Una chiave può dirsi “recuperata” solo quando è possibile dimostrarne la correttezza.

Validazione crittografica

Le chiavi private candidate recuperate dagli artefatti del database di Note sono state validate derivando la corrispondente chiave pubblica tramite l’algoritmo crittografico del wallet NEO.

Corrispondenza con la chiave pubblica nota

Ogni chiave pubblica derivata è stata confrontata con la chiave pubblica/indirizzo del wallet che il cliente aveva registrato separatamente. Quando è stata trovata una corrispondenza esatta, il team ha potuto confermare con certezza che la chiave privata corretta era stata recuperata.

Restituzione minima

Il cliente ha ricevuto la chiave recuperata in formato testo, limitata esclusivamente a quanto necessario.

Il risultato

Il cliente ha riottenuto l’accesso al proprio wallet e ha confermato che la chiave recuperata funzionava come previsto.

Ho dovuto adottare un approccio creativo ed eseguire un’analisi esadecimale grezza dell’unità per individuare versioni precedenti delle voci nel database di Note. Dopo aver identificato possibili frammenti di chiave privata nello spazio non allocato, li ho validati rispetto alla chiave pubblica nota del cliente e ho sbloccato il wallet.

– Will DeLisi
Ingegnere del recupero dati presso DriveSavers

Perché ha funzionato

Quando una chiave viene sovrascritta, può scomparire dalla visualizzazione “front end”. Tuttavia, applicazioni come Note si basano spesso su database che generano file di lavoro e artefatti delle modifiche recenti. Anche se la nota finale visibile è errata, tracce di testo precedente possono talvolta persistere in background — soprattutto se il dispositivo non è stato utilizzato intensamente in seguito.

Approfondimento tecnico dettagliato

Se si chiede perché non sia semplice come cercare un file di testo o un documento:

Archiviazione in database

L’app Note memorizza i contenuti in un database anziché in un singolo file di testo semplice.

Artefatti delle modifiche

I database utilizzano comunemente file di supporto per tracciare gli aggiornamenti recenti, e tali artefatti possono conservare versioni precedenti del testo anche dopo le modifiche.

Recupero manuale

Gli ingegneri esaminano i dati grezzi per individuare candidati in base a modello e struttura, quindi li validano attraverso il comportamento del wallet e il confronto con la chiave pubblica.

Se si trova in questa situazione

Se sospetta di aver sovrascritto o danneggiato una chiave privata:

Smetta di utilizzare il dispositivo: Nuove attività possono sovrascrivere artefatti residui che potrebbero ancora contenere testo precedente.

Non effettuare ulteriori modifiche: Ripetere copia e incolla o “correggere” la chiave può distruggere ciò che resta della versione precedente.

Conservi i dettagli di verifica: Se ha annotato altrove la chiave pubblica/l’indirizzo, li conservi — possono aiutare a confermare che è stata trovata la chiave privata corretta.

Passaggio successivo: Conservi il dispositivo nel suo stato attuale e raccolga eventuali identificativi rimanenti del wallet (chiave pubblica/indirizzo, nome/versione dell’app del wallet, dove era archiviata la chiave). Quindi contatti DriveSavers. I consulenti per il recupero dati sono disponibili 24/7.

Scopri di più sul recupero di wallet crypto

Articoli correlati

Responsabile senior marketing presso DriveSavers
State scrivendo su DriveSavers, sul recupero dati o su un altro argomento legato alla tecnologia?
Contattaci.

Twitter
Torna su
Cerca