Joe “Kingpin” Grand, famoso engenheiro elétrico e hacker de hardware, publicou recentemente um vídeo abrindo dezenas de carteiras de criptomoedas da Trezor.Em novo conteúdo da série, publicado nesta quinta-feira (19), o hacker enfrentou o seu maior desafio: uma carteira que supostamente abrigava US$ 66 milhões.A quantia era tão alta que seu cliente voou do Nepal até a sua casa para acompanhar o processo. Já o hacker precisou contratar seguranças para vigiar o seu local de trabalho.Hacker faz reflexões sobre a vida entre uma invasão e outraJoe Grand ficou conhecido no mundo das criptomoedas quando recuperou R$ 10 milhões em uma carteira inacessível em 2022. Sua nova série de vídeos conta casos de novos clientes que entraram em contato com ele após este episódio.“Não me entenda mal, eu amo o que faço e amo poder ajudar as pessoas, mas sinto que estou o tempo todo andando na linha tênue do esgotamento. Quando as pessoas vêm até mim, geralmente estão no pior momento delas, como se fosse um último pedido de ajuda.”Embora o trabalho de Joe Grand seja extremamente técnico, o hacker consegue criar conteúdos interessantes para o público com a inclusão de pensamentos pessoais de sua jornada. Fonte: Joe Grand/Reprodução.Repetindo o método de injeção de falha eletromagnética, cujo processo foi explicado em seu primeiro vídeo, Kingpin apresenta novos casos de recuperação de criptomoedas em carteiras de hardware.“Lembro que minha esposa me disse uma vez: “Eles já perderam o PIN. Não é culpa sua se ficaram sem acesso à carteira. Eles estão contando com você para resolver, mas se você não conseguir, isso não é culpa sua.” E eu fiquei tipo “É, mas se eu não conseguir, eu sei que isso vai me perseguir.””Na primeira recuperação, de um investidor do Líbano, Kingpin consegue acesso a US$ 37.760 em criptomoedas. Na segunda, um saldo de US$ 32.554 em Bitcoin aparece na tela.Continuando, o hacker acessa outros US$ 51.713 para um terceiro cliente, US$ 47.469 para um quarto e US$ 87.822 para um quinto.“Ok, acho que vou contar para a minha esposa que nós iremos ter um ótimo jantar porque nós vamos celebrar”, comenta um investidor com um sorriso de orelha a orelha.Investidores se mostram gratos pelo trabalho de recuperação de fundos que estavam inacessíveis em carteiras de hardware. Fonte: Joe Grand/Reprodução.No placar de um estádio aparece uma soma superior a US$ 70 milhões, indicando que este é o valor total que Kingpin está tentando recuperar com essas invasões.Kingpin está tentando acessar mais de US$ 70 milhões em criptomoedas que estão inacessíveis em carteiras de hardware. Fonte: Joe Grand/Reprodução.Nem todos os casos acabam bemJoe Grand conseguiu recuperar boas quantias, mas, como no primeiro vídeo da série, nem sempre é possível encontrar fortunas nessas carteiras. Embora ele acesse todas as carteiras apresentadas, algumas aparecem com saldos menores do que o esperado, ou até mesmo zerados.O próximo caso seria um desses, se não fosse uma surpresa.— Zero Ethereum. — comenta Kingpin.— Não, não, não. Não pode ser. Você tem certeza? — responde o cliente anônimo.— Geralmente, nós veríamos [o saldo] na Trezor Suite quando ela abre.— Não sei o motivo. Tenho certeza de que eu tinha 15 Ethereum e 800 [Ethereum] Classic.— Isso é estranho. Então, a pergunta é: onde está o resto?“Então, essa é outra interface para se conectar à carteira. Que estranho, nós encontramos. O problema, pelo que imagino, é que quando as moedas entraram pela primeira vez, o Ethereum foi para um endereço de Ethereum Classic. Então, o caminho de derivação, ou seja, a forma como a chave privada é gerada, é diferente.”Joe Grand consegue acessar os ethers perdidos de seu cliente usando outro método. Fonte: Joe Grand/Reprodução.Hacker afirma que seu objetivo é ajudar as pessoas a seguir em frenteEnquanto contas de redes sociais, ou até mesmo de bancos, possam ser facilmente recuperadas, as criptomoedas introduziram uma nova responsabilidade para investidores. Caso a chave privada ou frase semente seja perdida, os fundos estão inacessíveis para sempre.Embora não exista um número oficial de perdas, alguns casos são icônicos. Dentre os exemplos estão os 8.000 bitcoins perdidos por James Howells, avaliados em US$ 558 milhões, bem como 250.000 ethers (ETH) perdidos por Rain Lõhmus, hoje avaliados em US$ 533 milhões.Joe Grand explica que seu objetivo é ajudar pessoas a seguir em frente, seja recuperando suas criptomoedas ou entendendo que elas estão perdidas.“Talvez isso seja mais assunto para o meu terapeuta do que para um vídeo, mas ninguém nunca dependeu realmente de mim para nada além da minha família, sabe, filhos, minha esposa”, comenta Grand.“Cresci como hacker numa época em que isso não era legal. Ninguém dependia de mim para nada. Eu estava por conta própria, aprontando. E agora, de repente, eu me sinto meio como um cirurgião. É muita, muita pressão.”Com 50 anos, Joe Grand lembra do tempo em que era jovem, sempre focado em invadir hardwares. Fonte: Joe Grand/Reprodução.Investidor ficou traumatizado ao perder acesso às suas criptomoedasO próximo caso conta a história de um investidor que abrigou seus melhores amigos em sua casa.“Subloquei meu apartamento e falei tipo: “Vocês conseguem ficar com ele por nove meses? Quero viajar, quero começar por Tulum, depois ir para Nova York e Paris.” Eles se mudaram. Senti que, pela primeira vez em muito tempo, cheguei a um auge de valorização, gratidão e felicidade”, inicia o investidor.“Naquela noite, me dei conta de que não tinha colocado minha carteira da Trezor em um cofre. E lembro de falar com meus amigos: “Vocês podem mexer em qualquer coisa da casa inteira, mas não mexam nisso até eu resolver.” E aí eu simplesmente esqueci de resolver. Depois mandei mensagem para eles e, no fim das contas, as peças de hardware estavam lá. Eles jogaram fora a seed phrase e toda essa merda. Tinha uma escrivaninha da IKEA, eu deixei isso numa gaveta e o cara simplesmente limpou tudo.”Investidor conta que seus amigos jogaram fora sua frase semente que dava acesso às suas criptomoedas. Fonte: Joe Grand/Reprodução.Joe Grand conseguiu acesso à carteira usando seus métodos e logo aparece um saldo de 1,77 bitcoin, então avaliados em US$ 144.663, bem como outros 40 ethers, avaliados em US$ 75.775.“Você tem US$ 221.438 aqui.”Kingpin recupera carteira de mais um investidor. Fonte: Joe Grand/Reprodução.“Eu normalmente não sou uma pessoa muito emotiva, mas essas histórias realmente me tocaram. Isso meio que me lembrou por que faço o que faço. De verdade, foi o que me motivou a assumir alguns desses projetos fora da curva.”Joe Grand foi pessoalmente se encontrar com o investidor traumatizado, ajudando-o a configurar uma nova carteira. Fonte: Joe Grand/Reprodução.Pessoas que compraram carteiras de hardware usadas também tentaram a sorteOutra história inusitada é a de um homem que comprou uma carteira da Trezor por US$ 1 em uma loja de artigos usados.“Você acha de tudo lá, roupas, eletrônicos”, comentou o comprador, relatando que a carteira estava no fundo de uma grande pilha de coisas aleatórias.“Definitivamente é um tiro no escuro”, afirma Kingpin, dizendo que vale a pena arriscar.Sem surpresas, a carteira estava vazia.Na sequência, aparece outro caso parecido, uma dupla de criadores de conteúdo que compram armários de armazenamento abandonados. Em um deles estavam três carteiras de criptomoedas.Streamers compram armários de armazenamento para criar conteúdo de vídeo. Fonte: Joe Grand/Reprodução.Dupla encontrou duas Ledger Nano S e uma Trezor Model One em um dos armários comprados. Fonte: Joe Grand/Reprodução.A dupla conseguiu acesso por conta própria a uma Ledger, encontrando US$ 500.“O fato de que você encontrou dinheiro na outra diz que provavelmente existe algo [nesta]”, comenta Grand.Para alegria da dupla, eles encontraram US$ 9.043 em bitcoin na carteira, cujo histórico mostrava que a última transação foi realizada em fevereiro de 2018.Carteira encontrada em armário de armazenamento tinha mais de US$ 9 mil. Fonte: Joe Grand/Reprodução.Hacker contratou segurança para receber cliente milionárioA maior e mais esperada história é, obviamente, a última apresentada no vídeo. O caso é de um investidor que afirma ter US$ 66 milhões em criptomoedas inacessíveis dentro de uma carteira Trezor.Embora tenha realizado toda uma pesquisa sobre seu cliente, Joe Grand contratou seguranças para sua proteção devido à quantia a ser recuperada.“A história mais maluca de todas, o momento que a gente estava esperando. Esse cara em específico diz que tem 66 milhões de dólares em um único chip de silício. Ele provavelmente também é bem paranoico com o dispositivo, para garantir que eu não vá trocar o chip ou fazer alguma coisa sorrateira e sair correndo com o dinheiro.”“Eu nem consigo descrever a pressão. Esse cara vem até a minha casa, o que é algo raro. Mesmo após fazer isso tantas vezes, eu não faço ideia se vou conseguir. Tomara que corra tudo bem, mas nunca dá para saber. No mundo do hacking, nunca dá para saber”, comenta Kingpin. “Sempre existe o risco de algo dar errado. E isso fica ainda mais intenso quando tem todas essas pessoas me observando enquanto eu faço. O maior medo ainda é apagar o dispositivo.”Joe Grand conversando com segurança sobre como fará seu trabalho e quais os riscos. Fonte: Joe Grand/Reprodução.No local, o cliente anônimo afirma que eles escolheram trabalhar com criptomoedas por serem mais fáceis do que por métodos tradicionais para negociar petróleo e gás, e mover o dinheiro entre países.“Eu estava recebendo comissões neste dispositivo”, explica o cliente. “O dinheiro estava fluindo através de nosso negócio, então eu só estava deixando isso de lado para que nós pudéssemos usar no futuro.”“Parte do motivo de eu querer estar aqui pessoalmente é que o valor envolvido é alto. Se algo der errado, eu não quero dizer que foi você quem errou.”Explicando seu método de invasão usando injeção de falha eletromagnética, Grand nota que o risco é muito pequeno, mas não é nulo, e os dados podem ser apagados da carteira.Joe Grand mostra carteira que supostamente abriga US$ 66 milhões antes de abri-la. Fonte: Joe Grand/Reprodução.Hacker consegue acessar a carteiraRepetindo o processo feito nas outras carteiras, Kingpin abre a carcaça do dispositivo, retira o chip e o solda em sua placa personalizada. Na sequência, o hacker começa o ataque.“Então agora ele está tentando vários downgrades diferentes, em todas as posições, com diferentes níveis de voltagem e tudo mais”, comenta Kingpin sobre o processo.Pouco depois, o hacker afirma que eles possuem todos os dados necessários. “Agora podemos colocar isso na nossa ferramenta de quebra de PIN e tentar quebrar a senha”, explica Grand.“Nesse ponto, o processo em si eu praticamente consigo fazer de olhos fechados.”Joe Grand usando injeção de falha eletromagnética para invadir carteira Trezor. Fonte: Joe Grand/Reprodução.O próximo passo é fazer um ataque de força-bruta para encontrar o PIN da carteira, que pode ter entre 4 a 9 dígitos.“Não são 4 dígitos”, comenta Kingpin após o ataque. “Não são 5 dígitos.”“Quanto maior for o PIN, mais tempo é necessário para quebrar. Não são seis dígitos. A energia na sala meio que mudou. Sete dígitos levariam 12 minutos. Algo estava claramente diferente. Oito dígitos, acho que levam cerca de 40 minutos. Foi confirmado que o PIN era de quatro dígitos, mas não era o caso. Para nove dígitos, isso dá 42 horas. São 6.000 tentativas por segundo.”Ataque de força-bruta para encontrar PIN que dá acesso aos dados da carteira. Fonte: Joe Grand/Reprodução.Enquanto todos esperavam o computador encontrar o PIN, o cliente comenta que entregou o dispositivo para um amigo antes de entrar em contato com o hacker.“Ele estava tentando fazer algo com Python ou algo assim. Ele passou um mês em Dubai tentando, dia após dia, mas sempre surgia algum problema. Espero que ele não tenha feito nada [errado].”A espera pela quebra do PIN foi tão longa que os seguranças precisaram trocar de turno e todos fizeram uma pausa para lanchar. Nem mesmo o cliente aguentou a espera e voltou para seu hotel.“Eu encontrei finalmente o PIN”, afirma Grand, pedindo para seu cinegrafista ligar a câmera. “Você não vai acreditar qual é o PIN, nem mesmo sei se posso dizer… 123456789.”Kingpin usa o PIN para obter acesso às 24 palavras e então explica que estará recuperando o acesso através de outra carteira. Após um clique, o saldo aparece zerado, assim como o volume do som na sala.— Aqui fala zero, sem transações — diz o hacker.— Nenhuma transação sequer? — questiona o cliente.— Isso, não tem nada.— Até mesmo transações antigas, não mostra nada?— Isso, não mostra nada.“A única forma de isso estar completamente apagado, sem nenhuma transação, é se alguém tivesse reinicializado totalmente o dispositivo.”Ninguém na sala parecia acreditar no que estava acontecendo. Fonte: Joe Grand/Reprodução.“O amigo dele apagou [os dados] do dispositivo. Apagou e, para se encobrir, ele reinicializou tudo”, explicou o hacker ao seu cliente, notando que isso pode ter acontecido por diversas tentativas erradas do PIN, uso de ferramentas baratas ou algo do tipo.Finalizando, Grand explica que, se os dados foram apagados, não há nenhuma chance de recuperação.“Eu nem consigo… nem consigo descrever. A gente sabia que o dinheiro estava lá. A história era totalmente legítima. Fizemos toda a nossa investigação. Ao longo dos últimos anos, aprendemos quais perguntas fazer, como avaliar os clientes. Tudo nessa história batia. Ele voou do Nepal até o meu escritório em Portland, do outro lado do mundo. Todo mundo achava que aquilo era real.”Joe Grand finaliza vídeo reconhecendo trabalho da TrezorJoe Grand acreditava que poderia recuperar US$ 75 milhões em todas estas invasões. No final, o hacker conseguiu acesso a US$ 5,1 milhões, um valor muito menor que o esperado, mas que teve um grande impacto para diversas pessoas.Ao fim do vídeo, Kingpin afirma que agora consegue invadir as carteiras Model T da Trezor e todas as outras que usam o chip STM32F4, prometendo mais conteúdos do tipo.“A Trezor merece reconhecimento por continuar melhorando seus produtos e responder problemas de segurança conforme eles surgem”, diz uma nota no final do vídeo. “Transparência contínua e interação são essenciais para criar uma segurança mais forte para todos.”A Trezor já havia se pronunciado sobre essa vulnerabilidade em 2020. A nota pode ser encontrada no blog oficial da fabricante de carteiras.O segundo vídeo da série feita por Kingpin pode ser assistido na íntegra abaixo.Fonte: Hacker tenta recuperar US$ 66 milhões em criptomoedas, mas é surpreendido ao acessar a carteiraVeja mais notícias sobre Bitcoin. Siga o Livecoins no Facebook, Twitter, Instagram e YouTube.