Звіт про технічний аналіз джерел атаки на майнінговий пул LuBian 29 грудня 2020 року, майнінговий пул LuBian, основними операційними базами якого були Китай і Іран, зазнав значної хакерської атаки, в результаті якої було вкрадено 127272.06953176 біткоїнів (на той час вартість становила 3,5 мільярда доларів, зараз досягла 15 мільярдів доларів), власником яких є голова групи «Принц Камбоджі» Чен Чжі. Викрадені біткоїни залишалися в сплячому режимі протягом 4 років, а в червні 2024 року були переведені на нову адресу. 14 жовтня 2025 року Міністерство юстиції США оголосило про кримінальне обвинувачення проти Чен Чжі та конфіскацію цієї партії біткоїнів. Різні докази вказують на те, що це була атака "чорного на чорне", організована державним хакерським угрупуванням. У цьому звіті з технічної точки зору проаналізовано деталі події та безпекові висновки. 1. Контекст події Майнінговий пул LuBian був заснований на початку 2020 року, використовуючи неконтрольовані гаманці (холодні гаманці / апаратні гаманці) для зберігання винагород за майнінг і їх розподілу, вкрадена сума становила понад 90% від його біткоїн-активів, що в основному збігається з 127271 BTC, вказаними в обвинувальному акті Міністерства юстиції США. Принадність адреси біткоїну і напрямок можна відстежити, а приватний ключ є єдиним доказом контролю активів. Дані з блокчейну показують, що адреси викрадених біткоїнів мають високу ступінь збігу з адресами, контрольованими урядом США, але американська сторона поки не оприлюднила спосіб отримання приватного ключа. 2. Аналіз ланцюга атаки Приватний ключ біткоїна має бути 256 бітів повністю випадкових двійкових чисел для забезпечення безпеки, але в пулі LuBian генерування приватного ключа містило смертельну вразливість: воно залежало лише від генератора псевдовипадкових чисел (MT19937-32), ініціалізованого 32-бітним насінням, що забезпечує лише 32 біти ефективної ентропії, тому зловмисники могли зламати його методом грубої сили (близько 4.29 мільярда спроб) протягом 1-2 годин. Ця вразливість подібна до вразливості CVE-2023-39910, опублікованої іноземною командою безпеки MilkSad у 2023 році, адреси, які зазнали атаки, включають всі 25 адрес, вказані в обвинувальному акті США. Повна хронологія атаки Викрадення (2020.12.29): Хакери зламали більше 5000 слабких випадкових адрес гаманців, масово перевівши 127272.06953176 BTC, залишивши менше 200 BTC, транзакції виконувались автоматизованим скриптом. Фаза сну (2020.12.30-2024.6.22): Викрадені біткоїни залишалися в адресі зловмисників протягом 4 років, лише з незначною кількістю тестових транзакцій, що не відповідає звичайній поведінці хакерів. Спроби відновлення (початок 2021 року, 2022.7): Майнінговий пул LuBian надіслав більше 1500 повідомлень через функцію OP_RETURN біткоїна, витративши 1.4 BTC, просячи повернення та готовий сплатити викуп, але не отримавши відповіді. Активація і переведення (2024.6.22-7.23): Викрадені біткоїни були переведені на нову адресу, платформа трекінгу блокчейну позначила цю адресу як таку, що належить уряду США. Оголошення про конфіскацію (2025.10.14): Міністерство юстиції США оголосило про обвинувачення Чен Чжі та конфіскацію цієї партії біткоїнів. Крім того, аналіз блокчейну показує, що джерела викрадених біткоїнів включають майнінг, зарплату майнінгових пулів та біржі, що не відповідає твердженню американської сторони, що "всі джерела походять з незаконних доходів". 3. Технічні деталі вразливості В дефекті генерації приватних ключів: Майнінговий пул використовував некриптографічний безпечний генератор MT19937-32, ініціалізуючи його 32-бітним насінням, не дотримуючись стандарту BIP-39, приватні ключі можуть бути зворотно обчислені шляхом перебирання насіння, що є системною вразливістю. Моделювання процесу атаки: ідентифікація цільової адреси → перебирання 32-бітного насіння → генерація приватного ключа та відповідної адреси → після успішного співпадіння підписання крадіжки, подібно до вразливості низької ентропії, виявленої в Trust Wallet і Libbitcoin Explorer. Відсутність захисту: Не було використано мультипідписів, апаратних гаманців або ієрархічних детермінованих гаманців, що свідчить про відсутність механізмів захисту. Пов'язані докази: 25 адрес, вказані в обвинувальному акті США, прямо пов'язані з адресами викрадених біткоїнів, а "викрадені кошти з іранської компанії" відповідно до аналізу блокчейну підтверджують, що атаку організувала державна структура. 4. Вплив та рекомендації Ця подія призвела до розпуску майнінгового пулу LuBian, підкресливши ризики безпеки інструментів криптовалют та коливань цін. На рівні галузі слід використовувати криптографічно безпечні генератори псевдовипадкових чисел, впроваджувати мультипідписи, холодне зберігання та регулярні аудити, майнінгові пули повинні створити систему моніторингу та сигналізації про аномалії на блокчейні; звичайні користувачі повинні уникати використання неперевірених модулів для генерації ключів. Ця подія показує, що прозорість блокчейну не може компенсувати основні недоліки безпеки, а кібербезпека є основною передумовою розвитку цифрової економіки та криптовалют.