Il “colpo di fortuna” (e la tecnica) che ha riportato indietro 3 milioni di dollari in Bitcoin. Un wallet perduto e ritrovato grazie a un bug in un password manager

Immagina di aver messo via 43,6 BTC nel 2013, aver generato una password lunghissima con un password manager “per sicurezza”, poi perdere il file che la conteneva — e risvegliarti 11 anni dopo con la possibilità concreta di non rivedere mai più quei soldi. È successo davvero, e la storia è un perfetto mix tra noir informatico, reverse engineering e una lezione pratica di cyber-igiene.

La vicenda ha come protagonista un utente anonimo che aveva usato RoboForm per creare una password di 20 caratteri e salvarla in un file cifrato. Quel file, col tempo, si è corrotto e l’accesso al wallet è diventato impossibile. Anni dopo, due ricercatori — tra cui l’ingegnere Joe Grand, noto come “Kingpin” — hanno preso in mano la situazione. Analizzando una vecchia versione del software, hanno scoperto che il generatore di password dipendeva in modo prevedibile dalla data e dall’ora del computer. In pratica, il sistema non era così casuale come sembrava: conoscendo il periodo di utilizzo e i parametri scelti, si poteva restringere enormemente lo spazio delle possibili combinazioni.

Quello che all’apparenza sembrava un buco nero crittografico si è trasformato in una caccia al tesoro informatica. Dopo mesi di test e simulazioni, gli hacker sono riusciti a ricostruire esattamente la password generata l’ormai lontano 15 maggio 2013 alle 16:10:40 GMT. Il wallet si è riaperto e i bitcoin sono tornati nelle mani del legittimo proprietario, che ha riconosciuto ai ricercatori una percentuale come compenso. Oggi il valore di quei 43,6 BTC sfiora i 3 milioni di dollari.

La lezione di sicurezza è chiara: non è stata la crittografia del wallet a cedere, bensì il password manager. Il generatore usato allora aveva un algoritmo pseudo-casuale debole, corretto solo nel 2015. In altre parole, non basta affidarsi a strumenti che “promettono sicurezza”; serve anche la consapevolezza che versioni vecchie, non aggiornate o usate senza criterio, possono trasformarsi in vere e proprie falle. E chi ha password generate in quegli anni con lo stesso software dovrebbe seriamente considerare l’idea di cambiarle.

Il caso mostra anche quanto sia fragile il nostro rapporto con la gestione delle chiavi. Non basta generare una password lunga e complicata per sentirsi al sicuro. Serve conservarla in modo affidabile, fare backup ridondanti, verificare che i file non siano corrotti e soprattutto aggiornare gli strumenti quando vengono segnalate vulnerabilità. La sicurezza non è un atto unico, ma una pratica continua.

Chi gestisce wallet crittografici dovrebbe pensare non solo a password complesse, ma anche a soluzioni hardware, seed phrase conservate offline e copie distribuite in luoghi diversi. Anche i dettagli più banali — come ricordare la data e le impostazioni con cui è stata creata una password — possono diventare fondamentali in un eventuale processo di recupero. E quando ci si rivolge a un esperto esterno, meglio scegliere figure di cui si conosce la reputazione, definire chiaramente compensi e procedure, e non affidarsi al primo contatto trovato online.

Infine, c’è un messaggio più ampio: la tecnologia evolve e con essa devono evolvere anche le nostre pratiche. Password manager più moderni, passkeys e chiavi hardware riducono molti dei rischi che in passato potevano sembrare inevitabili. Vale la pena conoscerli e integrarli gradualmente nella propria routine di sicurezza.

Quella che a prima vista sembra una storia da film — un wallet dimenticato, un hacker-eroe che riesce a decifrarlo e milioni recuperati come per magia — in realtà è un promemoria molto concreto. La sicurezza informatica non è fatta solo di algoritmi impenetrabili, ma di disciplina, processi e attenzione ai dettagli. È una pratica spesso noiosa, fatta di backup, aggiornamenti e checklist. Ma è proprio quella noia operativa a evitare notti insonni… o il rimpianto di aver perso 3 milioni di dollari.