Le 29 décembre 2020, le pool minier de LuBian avec la Chine et l’Iran comme principale base d’exploitation a subi une attaque de pirates informatiques majeure, et 127272.06953176 bitcoins (valeur marchande de 3,5 milliards de dollars à l’époque, maintenant 15 milliards de dollars) ont été volés, et le détenteur est Chen Zhi, président du Prince Group of Cambodia. Après 4 ans de silence, les bitcoins volés ont été déplacés à une nouvelle adresse en juin 2024, et le 14 octobre 2025, le ministère américain de la Justice a annoncé des accusations criminelles contre Chen Zhi et confisqué le lot de bitcoins. Ce rapport retrace l’origine d’un point de vue technique, analyse les détails de l’incident et les implications en matière de sécurité. 1. Contexte de l’incidentLe pool de minage LuBian a été créé au début de l’année 2020, en utilisant des portefeuilles non dépositaires (portefeuilles froids/portefeuilles matériels) pour stocker et distribuer des récompenses de minage, et le montant volé représentait plus de 90 % de ses avoirs en bitcoins, ce qui est fondamentalement cohérent avec les 127 271 BTC de l’acte d’accusation du ministère américain de la Justice. La propriété et le flux d’adresses sur la chaîne Bitcoin peuvent être tracés, et la clé privée est la seule identification pour contrôler les actifs. Les données on-chain montrent que l’adresse Bitcoin volée chevauche fortement l’adresse contrôlée par le gouvernement américain, et les États-Unis n’ont pas encore annoncé comment obtenir la clé privée. Deuxièmement, l’analyse des liens d’attaque La clé privée Bitcoin nécessite 256 bits de nombres binaires complètement aléatoires pour assurer la sécurité, et il existe une vulnérabilité fatale dans la génération de la clé privée du pool minier LuBian : s’appuyant sur un générateur de nombres pseudo-aléatoires (MT19937-32) initialisé par seulement 32 bits, l’entropie effective n’est que de 32 bits, et l’attaquant peut le craquer en 1 à 2 heures par épuisement par force brute (environ 4,29 milliards de fois). Cette vulnérabilité est similaire à la vulnérabilité CVE-2023-39910 publiée par MilkSad, une équipe de recherche en sécurité à l’étranger, en 2023, et les adresses attaquées publiées incluent les 25 adresses de l’acte d’accusation américain. Attaque (2020.12.29) : Les pirates ont piraté plus de 5 000 adresses de portefeuille aléatoires faibles, transféré 127272.06953176 BTC par lots, et les autres moins de 200 BTC, et la transaction a été exécutée par un script automatisé. Phase dormante (2020.12.30-2024.6.22) : Le bitcoin volé est resté silencieux dans l’adresse de l’attaquant pendant 4 ans, avec seulement un petit nombre de transactions de test, ce qui n’est pas conforme aux habitudes de monétisation des pirates ordinaires. Tentative de récupération (début 2021, juillet 2022) : Le pool de minage LuBian a envoyé plus de 1 500 messages via la fonction Bitcoin OP_RETURN, dépensant 1,4 BTC pour plaider en faveur de la restitution et payer la rançon, mais n’a reçu aucune réponse. Transfert d’activation (2024.6.22-7.23) : Les bitcoins volés sont transférés à une nouvelle adresse, et la plateforme de suivi blockchain marque l’adresse comme détenue par le gouvernement américain. Annonce saisie (2025.10.14) : Le ministère américain de la Justice a annoncé que Chen Zhi avait été inculpé et que le lot de bitcoins avait été confisqué. En outre, la traçabilité on-chain montre que les sources des bitcoins volés comprennent le minage, les salaires des pools de minage et les échanges, ce qui diffère de l’affirmation de la partie américaine selon laquelle « tous proviennent de revenus illégaux ». 3. Détails techniques de la vulnérabilité : Le pool de minage utilise un générateur MT19937-32 non sécurisé cryptographiquement et est initialisé avec une graine de 32 bits, qui ne suit pas la norme BIP-39, et la clé privée peut être déduite à l’inverse en énumérant la graine, ce qui est une vulnérabilité systématique. Simulez le processus d’attaque : identifiez l’adresse cible→ énumérez la graine de 32 bits→ générez une clé privée et signez les pièces volées après avoir réussi à faire correspondre l’adresse correspondante →, à l’instar des vulnérabilités à faible entropie exposées par Trust Wallet et Libbitcoin Explorer. Manque de défenses : manque de multi-signatures, de portefeuilles matériels ou de portefeuilles déterministes hiérarchiques, et manque de protections de sécurité. Corroboration : Les 25 adresses de l’acte d’accusation américain sont directement liées aux adresses volées, et les « fonds volés à Yizhong Mining » mentionnés dans l’acte d’accusation sont compatibles avec l’analyse on-chain, confirmant que l’attaque a été menée par une organisation au niveau de l’État. 4. Impact et conseilsL’incident a conduit à la dissolution du pool de minage LuBian, mettant en évidence la sécurité de la chaîne d’outils de crypto-monnaie et le risque de fluctuations de prix. Au niveau de l’industrie, des générateurs de nombres pseudo-aléatoires de sécurité cryptographique devraient être utilisés pour mettre en œuvre des signatures multiples, un stockage à froid et des audits réguliers, et les pools de minage devraient mettre en place des systèmes de surveillance on-chain et d’alarme anormale. Les utilisateurs réguliers doivent éviter d’utiliser des clés non authentifiées pour générer des modules. L’incident montre que la transparence de la blockchain ne peut pas compenser les lacunes de la base de sécurité, et que la sécurité du réseau est la prémisse centrale du développement de l’économie numérique et de la crypto-monnaie.