Em 29 de dezembro de 2020, o pool de mineração LuBian com a China e o Irã como sua principal base operacional sofreu um grande ataque hacker, e 127272.06953176 bitcoins (valor de mercado de US$ 3,5 bilhões na época, agora US$ 15 bilhões) foram roubados, e o titular é Chen Zhi, presidente do Grupo Prince do Camboja. Após 4 anos de silêncio, os bitcoins roubados foram transferidos para um novo endereço em junho de 2024 e, em 14 de outubro de 2025, o Departamento de Justiça dos EUA anunciou acusações criminais contra Chen Zhi e confiscou o lote de bitcoins. Este relatório rastreia a origem de uma perspetiva técnica, analisa os detalhes do incidente e as implicações de segurança. 1. Antecedentes do incidente O pool de mineração LuBian foi estabelecido no início de 2020, usando carteiras não custodiais (carteiras frias/carteiras de hardware) para armazenar e distribuir recompensas de mineração, e o valor roubado representou mais de 90% de suas participações em Bitcoin, o que é basicamente consistente com os 127.271 BTC na acusação do Departamento de Justiça dos EUA. A propriedade e o fluxo de endereços na cadeia Bitcoin podem ser rastreados, e a chave privada é a única credencial para controlar ativos. Dados on-chain mostram que o endereço Bitcoin roubado é altamente sobreposto ao endereço controlado pelo governo dos EUA, e os EUA ainda não anunciaram como obter a chave privada. Em segundo lugar, a análise do link de ataque A chave privada do Bitcoin requer 256 bits de números binários completamente aleatórios para garantir a segurança, e há uma vulnerabilidade fatal na geração da chave privada do pool de mineração LuBian: contando com um gerador de números pseudoaleatórios (MT19937-32) inicializado por apenas 32 bits, a entropia efetiva é de apenas 32 bits, e o invasor pode quebrá-la dentro de 1-2 horas através da exaustão da força bruta (cerca de 4,29 bilhões de vezes). Esta vulnerabilidade é semelhante à vulnerabilidade CVE-2023-39910 publicada pela MilkSad, uma equipa de investigação de segurança no estrangeiro, em 2023, e os endereços atacados publicados incluem todos os 25 endereços da acusação dos EUA. Full Timeline Attack (2020.12.29): Os hackers hackearam mais de 5.000 endereços de carteira aleatórios fracos, transferiram 127272.06953176 BTC em lotes, e o restante menos de 200 BTC, e a transação foi executada por um script automatizado. Fase adormecida (2020.12.30-2024.6.22): O bitcoin roubado permanece silencioso no endereço do atacante há 4 anos, com apenas um pequeno número de transações de teste, o que não está de acordo com os hábitos de monetização de hackers comuns. Tentativa de recuperação (início de 2021, julho de 2022): O pool de mineração LuBian enviou mais de 1.500 mensagens através do recurso Bitcoin OP_RETURN, gastando 1,4 BTC para pleitear a restituição e pagar o resgate, mas não recebeu resposta. Transferência de ativação (2024.6.22-7.23): Os bitcoins roubados são transferidos para um novo endereço, e a plataforma de rastreamento blockchain marca o endereço como mantido pelo governo dos EUA. Anúncio de apreensão (2025.10.14): O Departamento de Justiça dos EUA anunciou que Chen Zhi foi acusado e o lote de bitcoins foi confiscado. Além disso, a rastreabilidade on-chain mostra que as fontes dos bitcoins roubados incluem mineração, salários de pool de mineração e trocas, que são diferentes da alegação do lado dos EUA de que "todos eles são derivados de renda ilegal". 3. Detalhes técnicos da vulnerabilidade: O pool de mineração usa um gerador MT19937-32 não criptograficamente seguro e é inicializado com uma semente de 32 bits, que não segue o padrão BIP-39, e a chave privada pode ser deduzida inversamente enumerando a semente, que é uma vulnerabilidade sistemática. Simule o processo de ataque: identifique o endereço alvo→ enumere a semente de 32 bits→ gere uma chave privada e assine as moedas roubadas depois de corresponder com sucesso ao endereço correspondente →, semelhante às vulnerabilidades de baixa entropia expostas pelo Trust Wallet e Libbitcoin Explorer. Falta de defesas: Falta de multiassinaturas, carteiras de hardware ou carteiras determinísticas hierárquicas e falta de proteções de segurança. Corroboração de correlação: Os 25 endereços na acusação dos EUA estão diretamente relacionados com os endereços roubados, e os "fundos roubados da Yizhong Mining" mencionados na acusação são consistentes com a análise on-chain, confirmando que o ataque foi operado por uma organização de nível estatal. 4. Impacto e conselhosO incidente levou à dissolução do pool de mineração LuBian, destacando a segurança da cadeia de ferramentas de criptomoedas e o risco de flutuações de preços. A nível da indústria, geradores de números pseudoaleatórios de segurança criptográfica devem ser usados para implementar multiassinaturas, armazenamento a frio e auditorias regulares, e pools de mineração devem construir sistemas de monitoramento on-chain e alarme anormal. Os usuários regulares devem evitar o uso de chaves não autenticadas para gerar módulos. O incidente mostra que a transparência do blockchain não pode compensar as deficiências da base de segurança, e a segurança da rede é a premissa central do desenvolvimento da economia digital e da criptomoeda.