Дело в том, что у тебя в алгоритме между именем и пассом стоит двоеточие! Так что тебе его надо обязательно приписать к концу имени (чтоб sha1 в пасспро вычислялся правильно, иемнно как sha1($username.":".$pass), а не sha1($username.$pass)
ЗЫ проеверяем SHA-1(GAMER:123)=4bc519957be9bd812c78332dcdbd5a20a4b43 8b7 - всё верно!

Кроме того брутить надо только по заглавным символам в имени и пароле (не забудь и про это), так как используется функция strtoupper, переводящая строку в верхний регистр.