pin

Сегодня хотим поделиться с вами первой частью небольшой истории о том, как бывший редактор журнала WIRED и сооснователь сайта BoingBoing, Марк Фрауэнфельдер, чуть было не потерял свои 7,4 BTC из-за нелепого стечения обстоятельств.

Trezor: 4 января 2016 г.: 7,4 BTC = $3 000

В январе 2016 г. я потратил $3 000 на покупку 7,4 BTC. В то время дело казалось вполне стоящим. Я только начал работать директором отдела исследований в Blockchain Futures Lab Института будущего (Institute for the Future) и хотел лично познакомиться с Биткоином – криптовалютой, использующей блокчейн для записи транзакций в своей сети. Я и не догадывался, что эта транзакция приведёт к тому, что я здорово перенервничаю и чуть не лишусь небольшого состояния.

Мои эксперименты с Биткоином прошли замечательно. Делать покупки за криптовалюту оказалось на удивление просто. С помощью приложения airBitz я купил кредиты в Starbucks. С помощью Purse.io я купил беспроводной дверной звонок с камерой видеонаблюдения на Amazon. В Лос-Анджелесе в Meltdown Comics я купил за биткоины комиксы.

С января по ноябрь стоимость Биткоина почти удвоилась и продолжала расти практически ежедневно. Моя криптовалютная заначка начала превращаться в реальные деньги. Я хранил свои биткоин-ключи в веб-кошельке, но хотел перенести их в более надёжное место. Многие биткоиновые онлайн-сервисы хранят приватные ключи своих клиентов, а это значит, что аккаунты уязвимы для хакеров и мошенников (помните, как биржа Mt. Gox в 2014 г. потеряла со счетов своих клиентов 700 000 биткоинов?) или правительств (как в случае захвата в августе американским окружным судом Нью-Джерси домена российской биткоин-биржи BTC-e с замораживанием активов пользователей).

Я побеседовал с рядом экспертов по Биткоину, и все они сказали, что самый надёжный способ защитить свои запасы – использовать так называемый «аппаратный кошелёк». Данное небольшое устройство – это, по сути, прославленная USB-флешка, хранящая ваши приватные биткоин-ключи и позволяющая вам авторизовать транзакции без раскрытия этих ключей в интернете, где их могут украсть злоумышленники. Я остановился на аппаратном кошельке Trezor (что с чешского переводится как «сейф»), описываемого производителем как «пуленепробиваемый». Я купил его 22 ноября за $100 на Amazon (опять же, через Purse.io).

Когда Trezor приехал, я подключил его к своему компьютеру и зашёл на сайт Trezor, чтобы задать настройки. Небольшой монохромный экран гаджета (размером с два моих ногтя больших пальцев) ожил, показав значок с замком. Сайт посоветовал мне записать 24 слова, сгенерированных Trezor случайным образом, по одному. Это были слова типа «aware», «move», «fashion» и «bitter». Я записал их на оранжевом листе бумаги. Далее меня попросили создать ПИН-код. Я записал его (используя несколько знакомых мне коротких числовых комбинаций, которые мог легко вспомнить) на том же бумажном листе, что и список из 24 слов.

Сайт Trezor объяснил, что эти 24 слова – это код восстановления, с помощью которого можно сгенерировать главный приватный ключ для моих биткоинов. Если я потеряю свой Trezor или он перестанет работать, то смогу восстановить свои биткоины, введя эти 24 слова на новом Trezor или в любом другом аппаратном или онлайн-кошельке, использующем тот же стандартный алгоритм генерации ключей. Для меня было важно надёжно спрятать бумажку, потому что с ней любой смог бы украсть мои 7,4 BTC. Я перенёс криптовалюту из веб-кошелька на Trezor и положил Trezor вместе с оранжевой бумажкой в ящик стола в домашнем кабинете. Сразу после праздников я планировал купить алюминиевый лист и выгравировать на нём 24 слова, после чего спрятать его в надёжном месте.

Ошибка: 16 марта 2017 г.: 7,4 BTC = $8 799

Было 6:30 утра. Моя 14-летняя дочь Джейн уехала на школьную экскурсию в Лондон, а старшая дочь Сарина была в колледже в Колорадо. Мы с женой Карлой готовились отправиться в аэропорт, чтобы провести отпуск в Токио. Роясь в ящике стола в поиске зарядки от телефона, я увидел оранжевую бумажку со словами для восстановления и ПИН-кодом. Что я должен был с ней сделать? Если наш самолёт рухнет в океан, то я бы хотел, чтобы мои дочери смогли получить биткоины. Стоимость биткоинов уже почти утроилась с тех пор, как я их купил, и я представлял себе, что однажды они будут стоить $50 000. Я взял ручку и написал на бумажке:

Джейн, ели что-нибудь случится, покажи эту бумажку Кори. Он поймёт, что с ней делать. С любовью, папа.

(Кори – это Кори Докторов, мой друг и деловой партнёр по сайту Boing Boing. Он не интересуется Биткоином, но я знал, что он сможет догадаться, как получить из списка слов главный приватный ключ).

Я отнёс бумажку в комнату Джейн, положил под подушку, и мы отправились на машине, найденной через сервис Lyft, в аэропорт Лос-Анджелеса.

Мусор: 4 апреля 2017 г.: 7,4 BTC = $8 384

Мы вернулись из Токио 24 марта, но я совсем не думал об оранжевой бумажке до 4 апреля, когда вспомнил, что положил её под подушку Джейн. Забавно, подумал я. Она вот уже более чем неделю как вернулась, и ничего мне об этом не сказала.

Я пошёл в её комнату и заглянул под подушку. Бумажки там не было. Я посмотрел под кровать, вытаскивая оттуда ящики, чтобы было лучше видно, и подсвечивая телефоном.

«Карла? – спросил я. – Ты не видела оранжевую бумажку с моим паролем от Биткоина? Не могу найти её в комнате Джейн».
«Возможно, Джейн положила её в свой стол», – сказала она. Джейн была в школе, но я написал ей сообщение, спросив об этом. Она ответила, что не видела никакой оранжевой бумажки.
«Минутку, – сказала Карла. – Ведь наш дом убирали, пока нас не было. Я им позвоню».

Карла позвонила в клининговый сервис, которым мы пользовались, и попросила связать её с женщиной, убиравшей наш дом. Та сказала Карле, что помнит, что действительно находила оранжевую бумажку.

«Где же она?» – спросила Карла.
«Я её выбросила».

Я знал, что мусор уже вывозили, но всё равно надел нитрильные перчатки и проверил мусорные баки на улице. Там не было ничего, кроме картонок из-под яиц, кофейной гущи и коробок из-под посылок с Amazon. Оранжевая бумажка разлагалась где-то под горой мусора на свалке Лос-Анджелеса.

Карла спросила, насколько серьёзна потеря бумажки.

«Не очень, – сказал я. – Просто придётся повозиться. Мне надо отправить все биткоины с Trezor на онлайн-кошелёк, повторно инициализировать Trezor, сгенерировать новый список слов и перевести биткоины обратно на Trezor. Плохо было бы, если бы я не смог вспомнить свой ПИН, но я его знаю. 551445».

Забытый ПИН: 4 апреля 2017 г.: 7,4 BTC = $8 384

Я подключил Trezor к ноутбуку и ввёл 551445.

Неверный ПИН.

Я подумал, что, наверное, ошибся, вводя ПИН. Я снова попробовал 551445, в этот раз внимательно набирая цифры.

Неверный ПИН.

Ой. Я опробовал немного по-другому: 554445.

Неверный ПИН.

Это же смешно, подумал я. Я знал ПИН. В последние месяцы я вводил его не менее десятка раз без всякой бумажки. Ладно, наверное, должно быть 554145.

Неверный ПИН.

Я посмотрел на маленький монохромный дисплей биткоинового кошелька и заметил, что на нём появился таймер с обратным отсчётом. Я должен был подождать несколько секунд, прежде чем снова попытаться ввести ПИН. Моё сердце затрепетало. Я зашёл на сайт производителя кошелька, чтобы узнать о задержке перед вводом ПИН-кода, и прочитал плохие новости: задержка удваивается после каждого неверного ввода. На сайте говорится:

«Число неудачных вводов ПИН-кода хранится в памяти Trezor. Это значит, что перезагрузка Trezor не поможет волшебным образом сбросить время ожидания до нуля. Выключив и снова включив Trezor, вы просто перезапустите таймер. Вору придётся вводить ПИН-коды до конца жизни. Между тем у вас есть достаточно времени, чтобы перевести ваши средства на новое устройство или кошелёк с помощью бумажной резервной копии».

Проблема в том, что вором оказался я сам, пытаясь украсть собственные биткоины со своего Trezor. Я почувствовал недомогание. После шестой неудачной попытки ввести ПИН надвигающийся ужас перерос в панику – я мог попрощаться со своими 7,4 BTC.

Я предпринял ещё несколько попыток, и после каждой неудачи моё чувство нереальности происходящего росло пропорционально задержке перед вводом ПИН-кода, составлявшей теперь 2048 секунд, или примерно 34 минуты. Я открыл калькулятор и быстро подсчитал, что не доживу до 31-й попытки (34 года). На 100 попыток понадобится более 80 секстильонов лет.

Я сообщил новости Карле. Я сказал ей, что не могу вспомнить свой ПИН, и что за каждый неверный ввод несу наказание. Она спросила, не сохранил ли я ПИН в 1Password (приложение для безопасного хранения паролей). Я ответил, что нет. Когда она спросила почему, я не нашёл что ответить.

Я знал, что будет ошибкой тратить драгоценную догадку в моём возбуждённом состоянии. Мой ум был загрязнён путаными комбинациями ПИН-кодов. Я пошёл на кухню, чтобы нарезать овощи для карри, который мы готовили на обед. Но не мог думать ни о чём, кроме ПИН-кода. Нарезая картофель кубиками, я мысленно перебирал числа, словно детали головоломки. Через какое-то время мне в голову пришло число: 55144545. Вот оно! Я пошёл с кухни в кабинет. На таймере Trezor всё ещё оставалось несколько сотен секунд. Пока я не мог повторить попытку, я занялся электронной почтой. Затем я ввёл 55144545.

Неверный ПИН. Пожалуйста, подождите 4096 секунд…

Той ночью я почти не спал. А когда мне на короткое время всё же удалось заснуть, мне снились кошмары с комбинациями цифр 1, 4 и 5. Меня беспокоили не столько $8 000, сколько чувство стыда из-за того, что я был настолько глуп, чтобы потерять бумажку и забыть ПИН. Меня также бесило то, что биткоины могут вырасти в стоимости, а у меня не будет к ним доступа. Если я не смогу вспомнить ПИН, Trezor до конца моей жизни не даст мне покоя.

Поиск: 5 апреля 2017 г.: 7,4 BTC = $8 325

В то утро, с сонными глазами, я стал искать способы вернуть мои биткоины без необходимости вспоминать ПИН или слова для восстановления. Если бы я потерял ПИН от своей дебетовой карты, я мог связаться с банком и вернуть доступ к своим средствам. С Биткоином всё по-другому. Сеть транзакций Биткоина не принадлежит никому. Вместо этого на тысячах компьютеров по всему миру запущены программы, подтверждающие транзакции системы. Любой может установить на свой компьютер биткоиновое ПО и принять участие в сети. Такой децентрализованный характер сети Биткоина имеет свои ограничения, среди которых главное то, что если ты оплошал, то это твоя проблема.

Я зашёл в ветку /r/TREZOR/ на Reddit и написал:

Можете надо мной смеяться – я это заслужил. Я записал свой ПИН и код восстановления на одной и той же бумажке. Я планировал выгравировать код на металлическом листе и спрятать, но, прежде чем я успел это сделать, мой клининговый сервис выбросил бумажку. Теперь я не могу вспомнить пароль, и я пробовал угадать его примерно 13 раз. Теперь, чтобы попробовать снова, мне нужно ждать больше часа. Очень скоро между попытками надо будет ждать годы. Могу ли я что-нибудь сделать, или мне стоит попрощаться со своими биткоинами?

Большинство ответов были сочувственными, но бесполезными. Кто-то написал, что мне следует связаться с Wallet Recovery Services, занимающимися грубой расшифровкой зашифрованных биткоиновых кошельков. Я написал им письмо с просьбой о помощи. На следующий день ответил некто «Дейв Биткоин»:

Я был бы рад вам помочь… но я не вижу решений вашей проблемы. Вам нужно либо верно угадать ваш ПИН, либо найти код восстановления.

Ответ на форуме Reddit от пользователя zero404cool меня заинтриговал:

…вся ваша информация всё ещё хранится на Trezor, и есть люди, знающие, как получить всю информацию, необходимую для восстановления работы вашего кошелька. Я видел такое.

В другом сообщении он добавил:

Просто храните свой Trezor в безопасности. Ничего с ним не делайте. Не нужно пробовать вводить разные ПИН-коды. Вы можете вернуть все ваши биткоины.

Другие пользователи форума думали, что zero404cool врёт. Кто-то сказал, что он может быть мошенником; другой обвинил его в распространении страха, неуверенности и сомнений насчёт надёжности Trezor. Я склонялся к тому, чтобы с ними согласиться, особенно после прочтения о том, какие усилия Trezor приложил, чтобы сделать своё устройство неуязвимым для хакеров. Производитель уверенно заявлял, что Trezor способен противостоять любым попыткам взлома. Самый очевидный способ взлома – установка неофициальной прошивки с целью разблокировать ПИН и ключевые слова, – согласно информации на сайте, окончится стиранием информации на Trezor.

Чтобы удостовериться, я написал Trezor и объяснил своё затруднение. Мне ответила представитель службы поддержки, прислав ссылку на «инструкцию на случай чрезвычайных ситуаций», но там ничто не соответствовало моей чрезвычайной ситуации. Она гласила:

Во всех этих ситуациях, чтобы получить доступ к вашим средствам, нужен либо ПИН, либо код восстановления. К сожалению, не зная хотя бы чего-то одного из этого, никто не может получить доступ к счёту с хранимыми на нём средствами. Могу ли я ещё чем-нибудь вам помочь, Марк?

Ситуация начинала казаться безнадёжной. Между тем zero404cool прислал мне личное сообщение на Reddit, предлагая помощь:

Да, я могу вам помочь, если вы желаете принять мою помощь. Разумеется, нигде в сети вы этих инструкций не найдёте. Чтобы их правильно выполнить, необходимы определённые технические навыки. Профессионал может извлечь всю нужную вам информацию за каких-то 10 секунд. Но это не общедоступная информация и не должно ею стать. Проблема в том, что я вас не знаю. Я не знаю, правдива ли ваша история. Я не знаю даже, действительно ли вы реальный человек, владеющий Trezor. Например, вы могли спросить об этом, чтобы взломать чужое устройство. Я такого не могу допустить. Так что, чтобы это сработало, полагаю, нам нужно заручиться доверием друг друга.

Я посоветовал zero404cool погуглить моё имя, чтобы решить, можно ли мне доверять. Он увидит, что я был одним из первых редакторов Wired, присоединившимся к команде в 1993 г. Я основал популярный сайт Boing Boing, имеющий 5 млн уникальных читателей в месяц. Я основатель и главный редактор журнала о технических проектах Make. Через какое-то время zero404cool ответил:

Привет, Марк. Похоже, вы не боитесь пайки и командной строки. Думаю, в таком случае мы можем приступить к восстановлению в режиме «сделай сам»? Я сейчас несколько занят; надеюсь, вы не слишком торопитесь?

Я ответил, что не тороплюсь. После этого он больше не появлялся.

Гипнотизёр: 25 мая 2017 г.: 7,4 BTC = $12 861

«Гипноз позволяет нам открыть все каналы, всю информацию», – сказала Мишель Гузи.

Я сидел в откидном кресле в её офисе в Энсино, укрытый одеялом, концентрируясь на её успокаивающей болтовне. Моя жена, журналист и редактор, несколько лет назад брала у Мишель интервью для статьи о гипнозе в фильмах, и я так отчаянно хотел вспомнить свой ПИН, что записался к ней на приём.

В начале сеанса Мишель попросила меня воспроизвести опыт записывания ПИН-кода на оранжевой бумажке. Она положила бумажку в ящик своего стола и приказала мне сесть, открыть ящик и посмотреть на бумажку. Она объяснила, что мы пробуем разные методы, чтобы спровоцировать вспоминание ПИН-кода.

Эти упражнения не помогли ничему всплыть в моём сознании, но Мишель сказала, что мы просто готовим моё подсознание к предстоящему гипнозу. Она погасила свет и перешла на приятный монотонный шёпот. Она попросила меня представить, что я спускаюсь по очень длинному эскалатору, каждый раз погружаясь во всё более глубокий транс. Эта прогулка длилась не менее 15 минут. Я чувствовал себя расслабленным – но не загипнотизированным. Я решил, что мне следует просто смириться, и, возможно, всё и так сработает.

Проведя в её офисе почти 4 часа, я решил, что ПИН – 5514455.

Понадобилось несколько дней, прежде чем я набрался смелости попробовать его ввести. Каждый раз, когда я думал о Trezor, у меня в голове сильно била кровь, и я начинал потеть. Когда я ввёл это число, Trezor сказал, что оно неверно. Мне нужно было ждать 16 384 секунды, или примерно 4 с половиной часа, прежде чем устройство позволит мне попробовать снова.

Последняя попытка: 12 августа 2017 г.: 7,4 BTC = $28 749

Я пытался перестать думать о биткоинах, но не мог ничего с собой поделать. Что ещё хуже, их цена летом круто ползла вверх, словно не собираясь останавливаться. В июле эксцентричный программист-предприниматель Джон Макафи написал твит о том, что через три года один биткоин будет стоить больше $500 000: «Если нет, я съем свой член в эфире национального телевидения», – сказал он с типичной для него скромностью. Я не верил, что цена вырастет настолько впечатляюще (или что Макафи выполнит своё обещание), но это усилило мою тревогу.

Я не мог выбросить из головы тот факт, что единственное, что отделяет меня от небольшого состояния, – это простое число, которое мне удавалось вспомнить без усилий, и которое теперь спряталось в моём мозгу, не поддаваясь ни гипнозу, ни медитации, ни самобичеванию. Я чувствовал беспомощность. Попытки моих дочерей застать меня врасплох вопросом: «Быстро, какой пароль от биткоинов?» – не помогали. Иногда перед сном я лежал в кровати и просил свой мозг найти в себе ПИН. Но я просыпался ни с чем. Каждый ПИН, какой я мог себе представить, казался не лучше и не хуже любого другого. Стоимость биткоинов росла, и они всё больше отдалялись от меня. Я представлял их как сундук с сокровищами, уходящий от меня к тусклому горизонту. Я мог умереть, так и не найдя его.

Как-то вечером, когда мы с Карлой складывали бельё для стрики, вошла Сарина. Она приехала домой из колледжа на летние каникулы.

«Я знаю пароль от биткоинов! – сказала она. – 55445!»
«Почему ты так думаешь?» – спросил я.
«Ну, ты иногда используешь в качестве пароля 5054, но так как на Trezor нет нуля, то ты мог просто его пропустить, ничем не заменив. Ты не мог вести 5154, ты должен был использовать просто 554 и добавить  45». (Я иногда добавляю к своим паролям 45, потому что это число имеет для меня значение).

Карла посмотрела на меня и сказала:

«Твои глаза загорелись. Возможно, это действительно это число». Я подумал, что, возможно, она права.

Сарина сказала:

«Если не 55445, значит, 554455, потому что ты иногда добавляешь в конце пароля 455».
«Может, и так, – сказал я. – Я поразмышляю об этом ночью, и если мне это понравится, то завтра я попробую».

Утром я решил попробовать эти числа. Мне они были больше по душе, чем какие-либо другие числа, какие я мог придумать. Я подключил Trezor. Мне пришлось прождать 16 384 секунды, или около 4 с половиной часов, прежде чем я смог ввести ПИН. Было воскресенье, поэтому я сделал кое-какую работу по дому и решил несколько дел.

Когда Trezor был готов, я попросил Карлу, Сарину и Джейн собраться вокруг моего компьютера вместе со мной. Я нуждался в их моральной поддержке, чтобы удостовериться, что я ввёл ПИН правильно, и хотел разделить с ними радость, если ПИН окажется верным.

Я сел в кресло, а Джейн, Сарина и Карла стояли вокруг меня. Моё сердце билось так сильно, что я чувствовал, как у меня пульсирует голова. Я пытался контролировать своё дыхание. Я медленно ввёл ПИН. После ввода каждой цифры я ждал, чтобы кто-нибудь из членов моей семьи подтвердил, что я ничего не перепутал. После ввода 55445 я подвёл курсор мыши к кнопке «Ввод» на сайте Trezor. «Готовы?» – спросил я. Они ответили утвердительно. Я нажал кнопку.

Неверный ПИН. Пожалуйста, подождите 32768 секунд…

«Чёрт», – сказал я.
«Всё нормально, пап, – сказала Сарина. – Когда мы можем попробовать 554455?»

Я открыл калькулятор.

«Через девять часов».

trezor-pin

Карла положила руку мне на плечо.

«Если после ещё нескольких попыток ничего не получится, тебе стоит просто его поломать», – сказала она.

Это казалось верным решением. Скоро должен был наступить момент, когда мне пришлось бы держать Trezor воткнутым во включенный компьютер месяцы (отсчёт начинается каждый раз сначала, если его вынуть), а затем годы и десятилетия. С тех пор как мы переехали в наш дом 10 лет назад, у нас как минимум раз в год пропадало электричество из-за срабатывания автоматического выключателя, дождя или ремонтных работ. Я мог купить источник бесперебойного питания, чтобы поддерживать работу Trezor в течение его многолетнего отсчёта, но желание с этим покончить и уничтожить Trezor было сильнее.

На следующее утро до завтрака я один пошёл в кабинет и попробовал 554455.

Неверный ПИН. Пожалуйста, подождите 65536 секунд…

На этом мы завершаем первую часть увлекательной истории о потере 7,4 BTC по нелепой случайности.