Laporan Analisis Sumber Teknologi Insiden Peretasan Kolam LuBian Pada 29 Desember 2020, kolam LuBian yang beroperasi terutama di Tiongkok dan Iran mengalami peretasan besar-besaran, di mana 127272.06953176 Bitcoin (pada saat itu senilai 3,5 miliar dolar AS, kini mencapai 15 miliar dolar AS) dicuri, pemiliknya adalah Chen Zhi, ketua Grup Pangeran Kamboja. Bitcoin yang dicuri terpendam selama 4 tahun, lalu pada Juni 2024 dipindahkan ke alamat baru, pada 14 Oktober 2025, Departemen Kehakiman AS mengumumkan penuntutan pidana terhadap Chen Zhi dan menyita Bitcoin tersebut, berbagai bukti menunjukkan bahwa ini adalah insiden "hitam memakan hitam" yang dioperasikan oleh organisasi peretasan tingkat negara. Laporan ini melacak dari perspektif teknologi, menganalisis rincian kejadian dan pelajaran keamanan. I. Latar Belakang Kejadian Kolam LuBian didirikan pada awal tahun 2020, menggunakan dompet non-kustodian (dompet dingin / dompet perangkat keras) untuk menyimpan hadiah penambangan dan distribusi, jumlah yang dicuri mewakili lebih dari 90% dari total kepemilikan Bitcoin-nya, yang sesuai dengan 127271 BTC dalam surat dakwaan Departemen Kehakiman AS. Kepemilikan alamat Bitcoin di blockchain dapat dilacak, kunci pribadi adalah satu-satunya bukti untuk mengontrol aset. Data di blockchain menunjukkan bahwa alamat Bitcoin yang dicuri sangat tumpang tindih dengan alamat yang dikendalikan oleh pemerintah AS, namun pihak AS belum mempublikasikan cara untuk mendapatkan kunci pribadi tersebut. II. Analisis Rantai Serangan Kunci pribadi Bitcoin memerlukan 256-bit angka biner acak sepenuhnya untuk menjamin keamanan, sementara pembuatan kunci pribadi kolam LuBian memiliki celah fatal: bergantung pada generator angka acak pseudo yang diinisialisasi hanya dengan 32-bit benih (MT19937-32), entropi efektif hanya 32-bit, sehingga penyerang dapat memecahkan dengan eksposisi kekerasan (sekitar 4,29 miliar kali) dalam waktu 1-2 jam. Kerentanan ini mirip dengan kerentanan CVE-2023-39910 yang diumumkan oleh tim penelitian keamanan luar negeri MilkSad pada tahun 2023, alamat yang diserang yang mereka umumkan mencakup semua 25 alamat yang disebutkan dalam surat dakwaan AS. Garis waktu lengkap pencurian serangan (29.12.2020): Penyerang membobol lebih dari 5000 alamat dompet acak yang lemah, memindahkan 127272.06953176 BTC secara massal, dengan sisa kurang dari 200 BTC, transaksi dilakukan oleh skrip otomatis. Fase tidur (30.12.2020-22.6.2024): Bitcoin yang dicuri terpendam di alamat penyerang selama 4 tahun, hanya melakukan sedikit transaksi percobaan, tidak sesuai dengan kebiasaan umum peretas untuk mencairkan hasil curian. Upaya pemulihan (awal 2021, 7.2022): Kolam LuBian mengirim lebih dari 1500 pesan melalui fungsi OP_RETURN Bitcoin, menghabiskan 1,4 BTC untuk meminta pengembalian dan bersedia membayar tebusan, namun tidak mendapatkan respon. Aktivasi pemindahan (22.6.2024-23.7.2024): Bitcoin yang dicuri dipindahkan ke alamat baru, platform pelacakan blockchain menandai alamat tersebut sebagai milik pemerintah AS. Pengumuman penyitaan (14.10.2025): Departemen Kehakiman AS mengumumkan penuntutan terhadap Chen Zhi dan menyita Bitcoin tersebut. Selain itu, pelacakan di blockchain menunjukkan bahwa asal Bitcoin yang dicuri termasuk dari penambangan, gaji kolam, dan bursa, yang bertentangan dengan klaim pihak AS bahwa "semuanya berasal dari pendapatan ilegal". III. Rincian Teknologi Kerentanan Cipta Kunci: Kolam menggunakan generator MT19937-32 yang tidak aman secara kriptografi, diinisialisasi dengan 32-bit benih, tidak mengikuti standar BIP-39, kunci pribadi dapat dibalikkan dengan enumerasi benih, termasuk dalam kerentanan sistematis. Proses simulasi serangan: Identifikasi alamat target → Enumerasi benih 32-bit → Menghasilkan kunci pribadi dan alamat terkait → Setelah berhasil mencocokkan, tanda tangan untuk mencuri koin, mirip dengan kerentanan entropi rendah yang pernah terungkap oleh Trust Wallet dan Libbitcoin Explorer. Kekurangan pertahanan: Tidak menggunakan multisignature, dompet perangkat keras, atau dompet deterministik bertingkat, kurangnya mekanisme perlindungan keamanan. Bukti terkait: 25 alamat dalam surat dakwaan AS terkait langsung dengan alamat yang dicuri, dan "dana yang dicuri dari industri pertambangan Iran dan China" yang disebutkan dalam surat dakwaan konsisten dengan analisis di blockchain, membuktikan bahwa serangan ini dioperasikan oleh organisasi tingkat negara. IV. Dampak dan Rekomendasi Insiden ini menyebabkan pembubaran kolam LuBian, menyoroti risiko keamanan rantai alat cryptocurrency dan fluktuasi harga. Di tingkat industri, perlu menggunakan generator angka acak kriptografi yang aman, menerapkan multisignature, penyimpanan dingin, dan audit berkala, kolam perlu membangun sistem pemantauan dan peringatan anomali di blockchain; pengguna biasa harus menghindari penggunaan modul pembuatan kunci yang tidak terverifikasi. Insiden ini menunjukkan bahwa transparansi blockchain tidak dapat menutupi kekurangan dasar keamanan, keamanan jaringan adalah prasyarat inti untuk perkembangan ekonomi digital dan cryptocurrency.