+1 (888) 440-2404

Nadpisany klucz portfela kryptowalut odzyskany

Nadpisany klucz portfela kryptowalut odzyskany

Urządzenie:
MacBook Air

Aktywo:
Portfel kryptowalutowy z samodzielną opieką (NEO/Neon wallet)

Szacowana wartość zagrożona:
Około 96 000 $ w kryptowalucie

Problem:
Klucz prywatny został nadpisany podczas edycji/kopiowania/wklejania

Lokalizacja klucza:
Apple Notes (zapisany jako tekst)

Klient nagle utracił dostęp do portfela kryptowalut o wartości około 330 000 PLN po zaktualizowaniu notatki na swoim komputerze. Dane uwierzytelniające do portfela przechowywał w aplikacji Notatki. Podczas edycji, najprawdopodobniej w trakcie operacji kopiuj-wklej, klucz prywatny został przypadkowo nadpisany.

Klient poinformował, że po popełnieniu błędu korzystał z urządzenia w minimalnym stopniu i nie próbował używać narzędzi do samodzielnego odzyskiwania danych, co pomogło zachować jak najlepsze szanse na odzyskiwanie kryptowalut.

Wyzwanie

Klucze kryptowalut nie dopuszczają „prawie dobrze”. Jeden nieprawidłowy, brakujący lub dodatkowy znak może całkowicie uniemożliwić dostęp.

W tym przypadku klient nadpisał oryginalny klucz prywatny w aplikacji Notatki podobną, lecz skróconą wersją, przez co widoczna notatka nie była już wiarygodna. Największą szansę na powodzenie dawało zajrzenie poza interfejs Notatek i przeanalizowanie artefaktów utworzonych przez bazę danych aplikacji, w której czasami mogą pozostać wcześniejsze wersje edytowanego tekstu.

Proces

Poufny proces pracy

Prace przeprowadzono z wykorzystaniem procesu o wysokim poziomie bezpieczeństwa na odizolowanym systemie, oddzielonym od standardowych, sieciowych środowisk DriveSavers Data Recovery.

Obrazowanie sądowe

Zespół utworzył zweryfikowane obrazy nośników do przechowywania danych, aby zachować ich pierwotny stan, podczas gdy analiza była kontynuowana na kontrolowanych kopiach.

Ukierunkowane wyszukiwanie artefaktów

Zamiast polegać na tym, co wyświetlała aplikacja Notatki, zespół prześledził, gdzie aplikacja w tle zapisuje i aktualizuje treści — w szczególności w bazie danych Notatek oraz w plikach śledzących zmiany.

Zespół inżynierów przeanalizował na niskim poziomie odpowiednie artefakty aplikacji Notatki i wyszukiwał potencjalne ciągi znaków zgodne z oczekiwanym wzorcem klucza prywatnego. W ten sposób zlokalizowano wiele wystąpień kandydującego klucza, który odpowiadał oczekiwanej strukturze i wydawał się wcześniejszą, nienaruszoną wersją.

Weryfikacja

W odzyskiwaniu kryptowalut kluczowe znaczenie ma weryfikacja. Klucz można uznać za „odzyskany” dopiero wtedy, gdy można potwierdzić jego poprawność.

Walidacja kryptograficzna

Kandydackie klucze prywatne odzyskane z artefaktów bazy danych Notatek zostały zweryfikowane poprzez wyprowadzenie odpowiadającego im klucza publicznego z wykorzystaniem algorytmu kryptograficznego portfela NEO.

Dopasowanie do znanego klucza publicznego

Każdy wyprowadzony klucz publiczny porównano z kluczem publicznym/adresem portfela zapisanym osobno przez klienta. Gdy uzyskano dokładne dopasowanie, zespół mógł z pełną pewnością potwierdzić, że odzyskano właściwy klucz prywatny.

Minimalny zwrot

Klient otrzymał odzyskany klucz w formacie tekstowym, ograniczony wyłącznie do niezbędnych informacji.

Rezultat

Klient odzyskał dostęp do swojego portfela i potwierdził, że odzyskany klucz działał zgodnie z oczekiwaniami.

Musiałem podejść do sprawy kreatywnie i przeprowadzić surową analizę heksadecymalną dysku, aby zlokalizować wcześniejsze wersje wpisów w bazie danych Notatek. Po zidentyfikowaniu możliwych fragmentów klucza prywatnego w nieprzydzielonej przestrzeni zweryfikowałem je względem znanego klucza publicznego klienta i odblokowałem portfel.

– Will DeLisi
Inżynier odzyskiwania danych w DriveSavers

Dlaczego to zadziałało

Gdy klucz zostanie nadpisany, może zniknąć z widoku „front-end”. Jednak aplikacje takie jak Notatki często opierają się na bazach danych, które tworzą pliki robocze i artefakty ostatnich zmian. Nawet jeśli ostatecznie widoczna notatka jest błędna, ślady wcześniejszego tekstu mogą czasami pozostać w tle — zwłaszcza gdy urządzenie nie było intensywnie używane później.

Techniczne szczegółowe omówienie

Jeśli zastanawiasz się, dlaczego nie jest to tak proste jak wyszukanie pliku tekstowego lub dokumentu:

Przechowywanie w bazie danych

Aplikacja Notatki przechowuje treści w bazie danych zamiast w pojedynczym pliku tekstowym.

Artefakty zmian

Bazy danych często wykorzystują pliki towarzyszące do śledzenia ostatnich aktualizacji, a takie artefakty mogą zachowywać wcześniejsze wersje tekstu nawet po edycji.

Odzyskiwanie ręczne

Inżynierowie analizują surowe dane, aby zidentyfikować kandydatów na podstawie wzorca i struktury, a następnie weryfikują je poprzez zachowanie portfela oraz dopasowanie do klucza publicznego.

Jeśli jesteś w tej sytuacji

Jeśli podejrzewasz, że nadpisałeś lub uszkodziłeś klucz prywatny:

Przestań używać urządzenia: Nowa aktywność może nadpisać pozostałe artefakty, które mogą nadal zawierać wcześniejszy tekst.

Nie wprowadzaj dalszych zmian: Wielokrotne kopiowanie/wklejanie lub „poprawianie” klucza może zniszczyć to, co pozostało z wcześniejszej wersji.

Zachowaj dane weryfikacyjne: Jeśli masz zapisany w innym miejscu klucz publiczny/adres, zachowaj go — może pomóc potwierdzić, że odnaleziono właściwy klucz prywatny.

Następny krok: Zachowaj urządzenie w jego obecnym stanie i zbierz wszelkie pozostałe identyfikatory portfela (klucz publiczny/adres, nazwa/wersja aplikacji portfela, miejsce przechowywania klucza). Następnie skontaktuj się z DriveSavers. Nasi doradcy ds. odzyskiwania danych są dostępni 24/7.

Dowiedz się więcej o odzyskiwaniu portfeli kryptowalut

Related Posts

Starszy menedżer ds. marketingu w firmie DriveSavers
Piszesz o DriveSavers, odzyskiwaniu danych lub innym temacie związanym z technologią?
Skontaktuj się z nami.

Twitter
Back To Top
Search