Ex-Ripple CTO kan bijna bij zijn 7.002 Bitcoin

In 2011 publiceerde softwareontwikkelaar Stefan Thomas een YouTube-video over de nog onbekende cryptocurrency Bitcoin. Als bedankje stuurde een fan hem 7.002 Bitcoin. Het cadeau, dat toen enkele duizenden dollars waard was, is opgeslagen op een USB-stick van het merk IronKey. Deze worden als bijzonder veilig beschouwd. Na tien foute wachtwoordpogingen wordt de inhoud verwijderd. Men vermoedt: Thomas, CTO bij Ripple tussen 2012 en 2018, heeft het papiertje met het wachtwoord misplaatst - kan geen toegang meer krijgen tot het goed, dat nu 240 miljoen dollar waard is. Hij heeft al acht mislukte pogingen achter de rug, er zijn er nog twee over.

Het IT-bedrijf Unciphered beweert een nieuwe procedure te hebben ontwikkeld die het slot omzeilt. Dit is ook explosief omdat de IronKey procedure is ontwikkeld om zeer gevoelige gegevens te beveiligen. Maar het lijkt erop dat Stefan Thomas helemaal geen haast heeft.

Niet je sleutels, niet je munten

Het klinkt als de langverwachte doorbraak: de ontwikkelaars van Unciphered beweren een methode te hebben gevonden om de wachtwoordfunctie van de bijzonder hardnekkige IronKeys, die beperkt is tot tien pogingen, te omzeilen. Als bewijs hebben ze het wachtwoordslot van een redacteur van het tech-tijdschrift Wired gekraakt. Het zou 200 biljoen pogingen hebben gekost, allemaal uitgevoerd door een krachtige computer. Uiteindelijk vonden ze echter de wachtwoordzin van drie woorden.

Ze gingen met het succesverhaal naar Stefan Thomas, wiens zaak al enkele jaren bekend is in de cryptoscene. Ze geloofde hun oren niet: Nog voordat het tot onderhandelingen over opdrachten kon komen, was Thomas al aan het terugpraten. Twee andere bedrijven hadden al opdrachten gekregen, zei hij, en hadden voorrang, ook al hadden ze nog geen technologie gevonden. Na twaalf jaar lijkt hij geduld te hebben geoefend.

"We kwamen binnen"

In een openbare brief heeft het bedrijf Stefan Thomas nu opnieuw hulp aangeboden. Daarin hinten ze ook hoe het ze is gelukt. In detail gaan ze niet - beroepsgeheim. Maar ook omdat "de meeste apparaten die gecertificeerd zijn voor dit beschermingsniveau worden gebruikt om gevoelige overheidsgegevens op te slaan." IronKey werd in feite medegefinancierd door het Amerikaanse Ministerie van Binnenlandse Veiligheid. Het was bedoeld voor de Amerikaanse overheid, het leger en inlichtingendiensten.

"We zijn begonnen met het reverse-engineeren van alle communicatieprotocollen tussen de chips, daarna de firmware van de controller en de cryptografische implementatiedetails, en uiteindelijk hebben we alle aspecten van hoe je apparaat werkt samengevoegd," aldus de beknopte uitvoering. Het zei dat het "miljoenen dollars had geïnvesteerd in het opbouwen van de technologische en juridische infrastructuur". Een paar beelden van de proefopstelling werden verkregen door Wired.

Volgens de verklaring werd een USB-stick gescand en met behulp van computertomografie uit elkaar gehaald. De chip werd uitgesneden met een lasersnijder en in salpeterzuur gedompeld, waarna de epoxylagen werden verwijderd. Een silica oplossing en een vilten pad werden gebruikt om de chip te schuren en elke laag werd gefotografeerd met een optische microscoop of een rasterelektronenmicroscoop. De ontwikkelaars herhaalden het proces totdat ze een volledig 3D-model van de processor konden maken.

"Vervolgens onderzochten we alles wat we wisten over het apparaat en gebruikten we de expertise van enkele van de beste hardware-hackers, crypto-mathematici en exploit-ontwikkelaars uit de industrie om te zoeken naar tekenen van kwetsbaarheden," legt Unciphered uit. "Nadat we deze prestatie de eerste keer hadden geleverd, hebben we getraind en geoefend. We moesten ervoor zorgen dat elk aspect van de hack herhaalbaar was. En sindsdien hebben we dit proces duizenden keren herhaald."

Meer dan drie miljoen Bitcoin verloren

Zelfs als Stefan Thomas niet op zijn aanbod ingaat, zijn er genoeg lotgenoten die Bitcoin in handen zouden kunnen krijgen die ze dachten kwijt te zijn met behulp van de nieuwe methode. Vooral in de beginjaren, toen nog niet te voorzien was dat er ooit veel geld te verdienen zou zijn met Bitcoin, werd er onzorgvuldig omgegaan met wachtwoorden. Het analysebedrijf Chainalysis schat dat 3,7 miljoen Bitcoin voorgoed verloren zouden kunnen gaan.