LuBian Havuz Hacking Olayı Teknik İzleme Analiz Raporu 29 Aralık 2020'de, Çin ve İran'ı ana işletim üssü olarak kullanan LuBian havuzu büyük bir siber saldırıya uğradı. 127272.06953176 Bitcoin (o dönemdeki piyasa değeri 3.5 milyar dolar, şimdi 15 milyar dolara ulaştı) çalındı ve sahipleri Kamboçya Prens Grubu Başkanı Chen Zhi'dir. Çalınan Bitcoin, 4 yıl boyunca sessiz kaldıktan sonra, 2024 Haziran ayında yeni bir adrese aktarıldı, 14 Ekim 2025'te ABD Adalet Bakanlığı Chen Zhi'ye karşı ceza davası açtı ve bu Bitcoin'leri el koydu. Tüm kanıtlar, bu olayın bir devlet düzeyinde hacker organizasyonu tarafından yürütülen "beyaz şapkalı" bir olay olduğunu göstermektedir. Bu rapor, teknik açıdan izleme yaparak olayın ayrıntılarını ve güvenlik ipuçlarını analiz etmektedir. I. Olayın Arka Planı LuBian havuzu 2020 yılının başında kurulmuş olup, madencilik ödüllerini depolamak ve dağıtmak için merkeziyetsiz cüzdanlar (soğuk cüzdan / donanım cüzdanı) kullanmaktadır. Çalınan miktar, Bitcoin varlıklarının %90'ından fazlasını kapsamaktadır ve ABD Adalet Bakanlığı'nın iddianamesindeki 127271 BTC ile örtüşmektedir. Bitcoin zincirindeki adreslerin ait olduğu yer ve akışı izlenebilir, özel anahtar varlıkların kontrolü için tek geçerli belgedir. Zincir üzerindeki veriler, çalınan Bitcoin adresinin ABD hükümeti tarafından kontrol edilen adreslerle yüksek örtüşme gösterdiğini, ancak ABD tarafının özel anahtarın nasıl elde edildiğini henüz açıklamadığını göstermektedir. II. Saldırı Zinciri Analizi Bitcoin özel anahtarı, güvenliği sağlamak için 256 bit tamamen rastgele ikili sayılara ihtiyaç duymaktadır. Ancak LuBian havuzunun özel anahtar üretiminde ciddi bir güvenlik açığı bulunmaktadır: yalnızca 32 bit tohum kullanarak başlatılan sahte rastgele sayı üreticisine (MT19937-32) bağımlıdır; bu nedenle etkin entropi sadece 32 bit olup, saldırganlar yaklaşık 4.29 milyar deneme ile 1-2 saat içinde kırabilir. Bu güvenlik açığı, yabancı güvenlik araştırma ekibi MilkSad tarafından 2023 yılında yayımlanan CVE-2023-39910 açığına benzemektedir; bu açığın yayımladığı saldırıya uğramış adresler, ABD tarafının iddianamesindeki 25 adresin tamamını içermektedir. Tam Zaman Çizelgesi Saldırı ve Çalma (2020.12.29): Hacker, 5000'den fazla zayıf rastgele cüzdan adresini kırarak, 127272.06953176 BTC'yi toplu olarak transfer etti ve geriye 200 BTC'den daha azı kaldı; işlem otomatikleştirilmiş bir betik tarafından gerçekleştirildi. Uyku Dönemi (2020.12.30-2024.6.22): Çalınan Bitcoin, saldırgan adresinde 4 yıl boyunca sessiz kaldı, sadece az miktarda test işlemi yapıldı ve bu durum sıradan bir hackerın nakit dönme alışkanlığına uymamaktadır. Geri Dönüş Denemeleri (2021 başı, 2022.7): LuBian havuzu, Bitcoin OP_RETURN işlevini kullanarak 1500'den fazla mesaj gönderdi ve 1.4 BTC harcayarak geri iade talep etti ve fidye ödemeye istekli olduğunu belirtti, ancak yanıt alamadı. Aktif Transfer (2024.6.22-7.23): Çalınan Bitcoin yeni bir adrese aktarıldı ve blok zinciri izleme platformu bu adresi ABD hükümeti tarafından sahiplenilen olarak işaretledi. İlan Edilen El Koyma (2025.10.14): ABD Adalet Bakanlığı, Chen Zhi'ye yönelik suçlamalar duyurdu ve bu Bitcoin'leri el koydu. Ayrıca, zincir üzerindeki izleme, çalınan Bitcoin'in kaynağının madencilik, havuz maaşları ve borsa gibi kanalları içerdiğini, ABD tarafının belirttiği "tamamen yasadışı gelirlerden kaynaklandığı" ifadesiyle çelişkili olduğunu göstermektedir. III. Açık Teknik Ayrıntılar Özel Anahtar Üretim Açığı: Havuz, şifrelenmemiş güvenli bir MT19937-32 üreticisi kullanarak 32 bit tohum ile başlatmaktadır, BIP-39 standartlarına uymamakta ve özel anahtar, tohumları sıralayarak geri dönüştürülebilmektedir, bu da sistematik bir güvenlik açığıdır. Saldırı Süreci Simülasyonu: Hedef adresin tespiti → 32 bit tohumun sıralanması → Özel anahtar ve ilgili adresin üretilmesi → Başarıyla eşleştikten sonra imzalanarak hırsızlık yapılması; Trust Wallet ve Libbitcoin Explorer tarafından ortaya çıkan düşük entropi açıklarına benzemektedir. Savunma Eksiklikleri: Çoklu imza, donanım cüzdanı veya hiyerarşik belirlenebilir cüzdan kullanılmamış; güvenlik koruma mekanizmaları yetersizdir. İlgili Kanıt: ABD tarafının iddianamesindeki 25 adres, çalınan adreslerle doğrudan ilişkilidir; iddianamede bahsedilen "İran-Çin madencilikte çalınan fonlar" ve zincir üzerindeki analizler tutarlıdır, bu da saldırının devlet düzeyinde bir organizasyon tarafından yürütüldüğünü doğrulamaktadır. IV. Etki ve Öneriler Bu olay, LuBian havuzunun dağılmasına neden olmuş olup, kripto para araç zinciri güvenliği ve fiyat dalgalanma riskini vurgulamaktadır. Sektör düzeyinde, kripto güvenlik sahte rastgele sayı üreticileri kullanılmalı, çoklu imza, soğuk depolama ve periyodik denetimler uygulanmalıdır; havuzlar, zincir üzerindeki izleme ve anormal uyarı sistemleri kurmalıdır; sıradan kullanıcılar doğrulanmamış anahtar üretim modüllerini kullanmaktan kaçınmalıdır. Olay, blok zincirinin şeffaflığının güvenlik temeli eksikliklerini telafi edemeyeceğini ve siber güvenliğin dijital ekonomi ve kripto para gelişiminin temel ön koşulu olduğunu göstermektedir.