Im Mai 2024 sorgte ein außergewöhnlicher Fall in der Welt der Kryptowährungen und IT-Sicherheit für großes Aufsehen. Ein Forscherteam hat durch die Kombination von technischer Expertise und einer verblüffenden Entdeckung eine elf Jahre alte Passwortschutzbarriere überwunden und damit eine Bitcoin-Wallet mit einem Wert von rund drei Millionen Dollar wieder zugänglich gemacht. Dieses Ereignis beleuchtet nicht nur die Herausforderungen des sicheren Speicherns digitaler Vermögenswerte, sondern zeigt auch, wie vermeintlich sichere Technologien Schwachstellen besitzen können, die über lange Zeit verborgen bleiben. Der Besitzer der Wallet, anonym als „Michael“ bezeichnet, befindet sich in Europa. Vor zwei Jahren kontaktierte er Joe Grand, einen renommierten Hardware-Hacker und Experten für digitale Geldbörsen, mit der Bitte um Unterstützung bei der Wiederherstellung des Zugriffs auf seine Bitcoin-Bestände.
Bereits 2013 hatte Michael rund 43,6 Bitcoins in einer verschlüsselten digitalen Geldbörse gesichert – damals entsprach das einem Wert von etwa 5.300 US-Dollar. Über die Jahre stieg der Wert dieser Bitcoins auf Millionen von Dollar. Leider hatte Michael den Zugang zu seinem Passwort verloren, das er zuvor über den Passwortmanager RoboForm erstellt und in einem mit TrueCrypt verschlüsselten Dateiformat gespeichert hatte. Als die Datei beschädigt wurde, war jeglicher Zugriff auf das Passwort unmöglich, und damit auch auf die wertvollen Bitcoins.
Joe Grand, der bereits 2022 einem anderen Nutzer half, eine Hardware-basierte Krypto-Wallet zu knacken und so Bitcoins im Wert von rund zwei Millionen Dollar zu retten, war zunächst skeptisch, ob er bei Michaels Software-basiertem Passwort helfen könne. Die Komplexität des Problems lag darin, dass eine einfache Brute-Force-Methode mit Millionen von Versuchen schlichtweg nicht praktikabel war. Große Hoffnung lag auf der Möglichkeit, dass in der RoboForm-Software von damals eine Schwachstelle existierte, die es erlauben könnte, das Passwort zu rekonstruieren oder zumindest den Suchraum stark einzuschränken. Die entscheidende Erkenntnis kam nach monatelanger Detailarbeit: Das Team, bestehend aus Joe Grand und dem deutschen Forscher Bruno, analysierte den RoboForm-Version aus der Zeit von Michael und entdeckte eine grundlegende Schwachstelle im sogenannten Pseudozufallszahlengenerator (PRNG) der Software. Diese Komponente ist dafür verantwortlich, sichere und zufällige Passwörter zu generieren.
Allerdings nutzte die genannte Version von RoboForm bis Ende 2015 das Systemdatum und die Uhrzeit des Computers als Ausgangspunkt für die Passworterzeugung. Dies führte dazu, dass die generierten Passwörter vorhersehbar waren, sofern man das ungefähre Erstellungsdatum und andere Parameter wie Passwortlänge und verwendete Zeichen kannte. Da Michael sich zwar nicht exakt an den Tag der Passworterstellung erinnern konnte, halfen ihm Informationen über die Bewegung seiner Bitcoins in der Wallet weiter: Die erste Einzahlung der 43,6 BTC fand am 14. April 2013 statt. Daraus leitete das Forschungsteam einen möglichen Zeitrahmen für das Passwort ab.
Nach mehreren Versuchen und Anpassungen der Parameter (unter anderem das Ausschließen von Sonderzeichen, wie von Michael bestätigt) gelang es ihnen schließlich, das korrekte Passwort zu ermitteln – generiert am 15. Mai 2013 um 16:10:40 GMT. Dieser Erfolg war nicht nur ein technologischer Triumph, sondern auch ein glücklicher Umstand. Die richtige Eingrenzung des Zeitfensters und die genaue Konfiguration der Passwortparameter waren entscheidend und ersetzten das blinde Raten durch gezielte Vorhersagen. Ohne diese Erkenntnis hätte das Team vermutlich Jahre gebraucht, um das Passwort zu knacken.
Die Wiederherstellung hat weitreichende Implikationen für die Kryptoszene und die allgemeine digitale Sicherheit. RoboForm, eine der ältesten und damals weitverbreiteten Passwortmanager-Lösungen weltweit, hat den Fehler in der Version 7.9.14 aus dem Jahr 2015 behoben. Doch viele Nutzer, die ihre wichtigen Passwörter vor diesem Update generierten und diese seither weiterhin verwenden, könnten weiterhin gefährdet sein.
Es ist unklar, ob und wie Siber Systems, die Entwicklerfirma von RoboForm, die Anwender über das Sicherheitsrisiko informiert hat – Berichte deuten darauf hin, dass keine großflächige Information erfolgte. Der Fall macht zudem deutlich, wie wichtig Wissen um die eigene digitale Historie und Sicherheitspraktiken ist. Viele Nutzer ändern ihre Passwörter selten, wenn sie nicht dazu gezwungen werden oder auf Sicherheitsvorfälle stoßen. Gerade bei sensiblen Vermögenswerten wie Kryptowährungen kann dies fatale Folgen haben, da solche Digitalwallets nur mit dem korrekten Schlüssel oder Passwort zugänglich sind – ein vergessenes Passwort bedeutet oft den permanenten Verlust der Wertgegenstände. Nach erfolgreicher Entschlüsselung berechneten Grand und Bruno ihre Arbeitszeit und den unerlässlichen Aufwand ein und zogen dafür einen Anteil der Bitcoins als Vergütung ab.
Michael konnte daraufhin auf 30 Bitcoins zugreifen, die zum damaligen Zeitpunkt einem Wert von rund drei Millionen Dollar entsprachen. Mit der weiteren Wertsteigerung der Kryptowährung rechnet er mit einem noch größeren Vermögen in der Zukunft. Interessanterweise betrachtet Michael den Verlust des Passworts in der Vergangenheit im Nachhinein als finanziell vorteilhaft. Er wäre sonst möglicherweise schon bei einem Bitcoinpreis von 40.000 US-Dollar ausgestiegen und hätte somit späteren Wertsteigerungen nicht profitiert.
So schließt sich der Kreis einer unerwarteten Wendung im Umgang mit digitaler Wertschöpfung. Dieser Fall zeigt, dass trotz immer besserer Sicherheitsmechanismen und technologischer Fortschritte immer wieder Schwachstellen zutage treten können. Es liegt sowohl an den Software-Entwicklern, wie auch an den Nutzern, proaktiv Sicherheitslücken zu erkennen und zu schließen. Nutzer von Passwortmanagern und anderen Sicherheitslösungen sollten regelmäßig ihre gespeicherten Passwörter überprüfen, insbesondere solche, die vor langer Zeit generiert wurden. Wenn möglich, empfiehlt es sich, nach Updates oder Patches der Hersteller neue, robustere Passwörter zu erstellen und alte zu ersetzen.
