-
La IA va identificar el mecanisme de xifratge analitzant el codi font de l’app.
-
Amb 5 servidors al núvol, el PIN es va trobar en 14,5 hores.
Un investigador de seguretat va recuperar l’accés a un wallet de Bitcoin per Android després d’utilitzar Claude, el model d’intel·ligència artificial desenvolupat per Anthropic, per desxifrar el PIN de vuit dígits que el protegia.
El cas va ser documentat per Pavol Lupták, especialista en ciberseguretat, que va detallar el procés al compte de X.
Segons Lupták, un usuari li va demanar ajuda per recuperar l’accés al seu wallet a l’aplicació Bitcoin Wallet —disponible públicament a GitHub—, on tenia emmagatzemada una quantitat significativa de BTC. L’única dada disponible era que el PIN tenia vuit dígits, cosa que representa 100 milions de combinacions possibles.
L’investigador va indicar que va demanar a Claude analitzar el codi font de l’aplicació per entendre com estava xifrada la wallet. El model va identificar el mecanisme de protecció i va establir la seqüència de passos que havia de complir cada intent per verificar si un PIN era el correcte.
Amb aquesta informació, Claude va escriure un programa que provava combinacions de manera automàtica. Lupták assenyala que, al seu portàtil, el sistema arribava a 80 intents per segonel que equival a entre dues i tres setmanes de treball manual per esgotar totes les possibilitats.
Claude escala l’atac a infraestructura al núvol
A causa de les limitacions del maquinari, la IA va proposar llavors repartir el treball entre diversos servidors remots. Després de rebre credencials d’accés a Hetzner Cloud (servei de desenvolupament al núvol), Claude va proveir de forma autònoma cinc màquinesles va configurar, va dividir les combinacions entre els nodes i va executar un programa per reportar l’avenç en temps real.
Segons el relat de Lupták, el PIN va ser trobat després de 14,5 hores d?operació. L’investigador sosté que en cap moment va revisar el codi generat per la IA per a l’algorisme ni va accedir directament als servidors: «només vaig esperar el resultat, que vaig obtenir al primer intent». El temps total actiu de Claude no va superar mitja hora.
El cas s’inscriu en una tendència que la mateixa Anthropic ha documentat. El desembre del 2025, segons ho va reportar CriptoNoticias, la companyia va publicar un experiment en què agents d’IA van aconseguir explotar vulnerabilitats en contractes intel·ligents reals en xarxes com Ethereum i BNB Chain. Les pèrdues simulades van ser properes als 550 milions de dòlars.
En aquest estudi, els models van generar atacs funcionals contra el 51,1% dels 405 contractes avaluats.
Lupták conclou que la capacitat de Claude per combinar anàlisis de codi, programació i gestió d’infraestructura redueix de setmanes a hores el temps necessari per a aquest tipus doperacions.
El factor determinant, segons l?investigador, no va ser una falla de l?aplicació sinó una limitació d?origen: un PIN de vuit dígits ofereix una protecció insuficient quan l?atacant compta amb prou capacitat de còmput.
