Informe de análisis técnico sobre el evento de ataque de hackers en el grupo de minería LuBian. El 29 de diciembre de 2020, el grupo de minería LuBian, con base de operaciones principal en China e Irán, sufrió un importante ataque de hackers, en el que se robaron 127272.06953176 bitcoins (valorados en 3.5 mil millones de dólares en ese momento, ahora alcanzan los 15 mil millones de dólares), cuyo poseedor es Chen Zhi, presidente del grupo Príncipe de Camboya. Los bitcoins robados permanecieron inactivos durante 4 años y fueron transferidos a una nueva dirección en junio de 2024. El 14 de octubre de 2025, el Departamento de Justicia de EE. UU. anunció cargos criminales contra Chen Zhi y confiscó ese lote de bitcoins. Diversas evidencias indican que se trata de un evento de "hackeo negro" orquestado por una organización de hackers de nivel estatal. Este informe rastrea el evento desde una perspectiva técnica, analizando los detalles del incidente y las implicaciones de seguridad. 1. Antecedentes del evento El grupo de minería LuBian se estableció a principios de 2020, utilizando billeteras no custodiadas (billetera fría / billetera de hardware) para almacenar y distribuir las recompensas de minería, con el monto robado que representa más del 90% de su tenencia de bitcoins, coincidiendo básicamente con los 127271 BTC mencionados en la acusación del Departamento de Justicia de EE. UU. La pertenencia y el flujo de las direcciones en la cadena de bloques son rastreables, y la clave privada es el único comprobante de control de los activos. Los datos en la cadena muestran que la dirección de los bitcoins robados coincide en gran medida con las direcciones controladas por el gobierno estadounidense, que aún no ha publicado el método para obtener la clave privada. 2. Análisis de la cadena de ataque La clave privada de bitcoin debe ser un número binario aleatorio de 256 bits para garantizar la seguridad, mientras que la generación de claves privadas del grupo de minería LuBian presenta una vulnerabilidad fatal: depende de un generador de números pseudoaleatorios (MT19937-32) inicializado con solo 32 bits de semilla, con una entropía efectiva de solo 32 bits. Los atacantes pueden romperla mediante un ataque de fuerza bruta (aproximadamente 4.29 mil millones de intentos) en 1-2 horas. Esta vulnerabilidad es similar a la CVE-2023-39910 publicada en 2023 por el equipo de investigación de seguridad en el extranjero MilkSad, cuya dirección atacada incluye las 25 direcciones mencionadas en la acusación del gobierno de EE. UU. Línea de tiempo completa del ataque y robo (29.12.2020): los hackers rompieron más de 5000 direcciones de billeteras débiles aleatorias y transferieron en bloque 127272.06953176 BTC, quedando menos de 200 BTC, con la transacción ejecutada por un script automatizado. Fase de inactividad (30.12.2020-22.06.2024): los bitcoins robados permanecieron inactivos en la dirección del atacante durante 4 años, con solo algunas transacciones de prueba, que no cumplen con el comportamiento típico de monetización de hackers comunes. Intentos de recuperación (principios de 2021, julio de 2022): LuBian envió más de 1500 mensajes a través de la función OP_RETURN de bitcoin, gastando 1.4 BTC, solicitando la devolución y ofreciendo pagar un rescate, sin recibir respuesta. Activación de la transferencia (22.06.2024-23.07.2024): los bitcoins robados fueron transferidos a una nueva dirección, y la plataforma de seguimiento de la cadena de bloques marcó esa dirección como propiedad del gobierno de EE. UU. Anuncio de confiscación (14.10.2025): el Departamento de Justicia de EE. UU. anunció los cargos contra Chen Zhi y confiscó ese lote de bitcoins. Además, el rastreo en la cadena muestra que la procedencia de los bitcoins robados incluye minería, salarios de grupos de minería y bolsas de intercambio, lo que contradice la afirmación del gobierno de EE. UU. de que "todo proviene de ingresos ilegales". 3. Detalles técnicos de la vulnerabilidad Defecto en la generación de claves privadas: el grupo de minería utiliza el generador MT19937-32, que no es seguro por encriptación, inicializado con una semilla de 32 bits, sin seguir el estándar BIP-39, permitiendo que la clave privada sea deducida mediante enumeración de semillas, constituyendo un defecto sistémico. Proceso de ataque simulado: identificar la dirección objetivo → enumerar la semilla de 32 bits → generar la clave privada y la dirección correspondiente → tras un emparejamiento exitoso, firmar la transacción de robo; similar a las vulnerabilidades de baja entropía expuestas por Trust Wallet y Libbitcoin Explorer. Falta de defensa: no se utilizaron billeteras multifirma, billeteras de hardware o billeteras deterministas jerárquicas, careciendo de mecanismos de protección de seguridad. Evidencia asociada: las 25 direcciones en la acusación del gobierno de EE. UU. están directamente relacionadas con las direcciones robadas, y los "fondos robados de la minería de Irán y China" mencionados en la acusación son consistentes con el análisis de la cadena, corroborando que el ataque fue orquestado por una organización de nivel estatal. 4. Impacto y recomendaciones Este evento llevó a la disolución del grupo de minería LuBian, destacando los riesgos de seguridad de la cadena de herramientas de criptomonedas y la volatilidad de precios. A nivel industrial, se debe utilizar generadores de números aleatorios seguros por encriptación, implementar multifirma, almacenamiento en frío y auditorías periódicas; los grupos de minería deben establecer sistemas de monitoreo en la cadena y alertas de anomalías; los usuarios comunes deben evitar el uso de módulos de generación de claves no verificados. El evento muestra que la transparencia de la cadena de bloques no puede compensar las deficiencias fundamentales de seguridad, y la ciberseguridad es un requisito central para el desarrollo de la economía digital y las criptomonedas.