29 декабря 2020 года майнинг-пул LuBian, основной операционной базой которого являются Китай и Иран, подвергся крупной хакерской атаке, в результате которой было украдено 127272,06953176 биткоинов (рыночная стоимость $3,5 млрд на тот момент, сейчас $15 млрд), а держателем является Чэнь Чжи, председатель Prince Group of Cambodia. После 4 лет молчания украденные биткоины были перемещены на новый адрес в июне 2024 года, а 14 октября 2025 года Министерство юстиции США объявило об уголовных обвинениях против Чэнь Чжи и конфисковало партию биткоинов. В этом отчете прослеживается происхождение инцидента с технической точки зрения, анализируются детали инцидента и последствия для безопасности. 1. Предыстория инцидентаМайнинг-пул LuBian был создан в начале 2020 года с использованием некастодиальных кошельков (холодных кошельков/аппаратных кошельков) для хранения и распределения вознаграждений за майнинг, а украденная сумма составила более 90% его биткоин-активов, что в основном соответствует 127 271 BTC в обвинительном заключении Министерства юстиции США. Можно отследить право собственности и поток адресов в цепочке Биткойна, а закрытый ключ является единственным удостоверением для управления активами. Ончейн-данные показывают, что украденный биткоин-адрес сильно пересекается с адресом, контролируемым правительством США, и США еще не объявили, как получить приватный ключ. Во-вторых, для анализа связи атаки приватного ключа биткоина для обеспечения безопасности требуется 256 бит полностью случайных двоичных чисел, а также существует фатальная уязвимость при генерации приватного ключа майнинг-пула LuBian: полагаясь на генератор псевдослучайных чисел (MT19937-32), инициализированный всего 32 битами, эффективная энтропия составляет всего 32 бита, и злоумышленник может взломать ее в течение 1-2 часов за счет истощения методом перебора (около 4,29 миллиарда раз). Эта уязвимость аналогична уязвимости CVE-2023-39910, опубликованной MilkSad, зарубежной исследовательской группой по безопасности, в 2023 году, а опубликованные адреса атак включают все 25 адресов в обвинительном заключении США. Атака на полную временную шкалу (2020.12.29): Хакеры взломали более 5 000 слабых случайных адресов кошельков, перевели 127272,06953176 BTC партиями, а остальные менее 200 BTC, а транзакция была выполнена с помощью автоматизированного скрипта. Фаза покоя (2020.12.30-2024.6.22): Украденный биткоин молчит в адресе злоумышленника в течение 4 лет, проведя лишь небольшое количество тестовых транзакций, что не соответствует привычкам монетизации обычных хакеров. Попытка восстановления (начало 2021 г., июль 2022 г.): майнинговый пул LuBian отправил более 1 500 сообщений через функцию Bitcoin OP_RETURN, потратив 1,4 BTC на просьбу о возмещении и выплате выкупа, но не получил ответа. Перенос активации (2024.6.22-7.23): Украденные биткойны переводятся на новый адрес, и платформа отслеживания блокчейна помечает адрес как принадлежащий правительству США. Объявление об аресте (2025.10.14): Министерство юстиции США объявило, что Чэнь Чжи предъявлено обвинение, а партия биткоинов конфискована. Кроме того, ончейн-прослеживаемость показывает, что источниками украденных биткоинов являются майнинг, зарплаты майнинг-пулов и биржи, что отличается от утверждения американской стороны о том, что «все они получены из незаконных доходов». 3. Технические детали уязвимости: Майнинг-пул использует некриптографически безопасный генератор MT19937-32 и инициализируется 32-битным сидом, который не соответствует стандарту BIP-39, а приватный ключ может быть выведен обратно пропорционально путем перечисления сида, что является систематической уязвимостью. Смоделируйте процесс атаки: определите целевой адрес→ перечислите 32-битное начальное значение→ сгенерируйте приватный ключ и подпишите украденные монеты после успешного совпадения с соответствующими адресными →, аналогично уязвимостям с низкой энтропией, обнаруженным в Trust Wallet и Libbitcoin Explorer. Отсутствие защиты: отсутствие мультиподписей, аппаратных кошельков или иерархических детерминированных кошельков, а также отсутствие защиты безопасности. 25 адресов в обвинительном заключении США напрямую связаны с украденными адресами, а упомянутые в обвинительном заключении «украденные средства из Yizhong Mining» согласуются с анализом в сети, подтверждая, что атака проводилась организацией государственного уровня. 4. Влияние и советИнцидент привел к роспуску майнингового пула LuBian, что подчеркивает безопасность криптовалютного инструментария и риск колебаний цен. На отраслевом уровне криптографические генераторы псевдослучайных чисел должны использоваться для реализации мультиподписи, холодного хранения и регулярных аудитов, а майнинговые пулы должны создавать ончейн-мониторинг и системы аварийной сигнализации. Обычным пользователям следует избегать использования неаутентифицированных ключей для генерации модулей. Инцидент показывает, что прозрачность блокчейна не может компенсировать недостатки основы безопасности, а сетевая безопасность является основной предпосылкой развития цифровой экономики и криптовалюты.