Vào ngày 29 tháng 12 năm 2020, nhóm khai thác LuBian với Trung Quốc và Iran là cơ sở hoạt động chính đã bị tin tặc tấn công lớn và 127272.06953176 bitcoin (giá trị thị trường 3,5 tỷ USD vào thời điểm đó, hiện là 15 tỷ USD) đã bị đánh cắp và chủ sở hữu là Chen Zhi, chủ tịch Tập đoàn Prince của Campuchia. Sau 4 năm im lặng, những bitcoin bị đánh cắp đã được chuyển đến một địa chỉ mới vào tháng 6 năm 2024 và vào ngày 14 tháng 10 năm 2025, Bộ Tư pháp Hoa Kỳ đã công bố các cáo buộc hình sự đối với Chen Zhi và tịch thu lô bitcoin. Báo cáo này theo dõi nguồn gốc từ góc độ kỹ thuật, phân tích chi tiết của sự cố và các tác động bảo mật. 1. Bối cảnh của sự cốNhóm đào LuBian được thành lập vào đầu năm 2020, sử dụng ví không lưu ký (ví lạnh/ví cứng) để lưu trữ và phân phối phần thưởng khai thác, và số tiền bị đánh cắp chiếm hơn 90% lượng Bitcoin nắm giữ, về cơ bản phù hợp với 127.271 BTC trong bản cáo trạng của Bộ Tư pháp Hoa Kỳ. Quyền sở hữu và luồng địa chỉ trên chuỗi Bitcoin có thể được theo dõi và khóa riêng tư là thông tin xác thực duy nhất để kiểm soát tài sản. Dữ liệu on-chain cho thấy địa chỉ Bitcoin bị đánh cắp trùng lặp nhiều với địa chỉ do chính phủ Mỹ kiểm soát và Mỹ vẫn chưa công bố cách lấy khóa riêng tư. Thứ hai, phân tích liên kết tấn công Khóa riêng tư Bitcoin yêu cầu 256 bit số nhị phân hoàn toàn ngẫu nhiên để đảm bảo tính bảo mật, và có một lỗ hổng chết người trong việc tạo khóa riêng của nhóm đào LuBian: dựa vào trình tạo số giả ngẫu nhiên (MT19937-32) được khởi tạo chỉ 32 bit, entropy hiệu quả chỉ là 32 bit và kẻ tấn công có thể bẻ khóa nó trong vòng 1-2 giờ thông qua cạn kiệt vũ phu (khoảng 4,29 tỷ lần). Lỗ hổng này tương tự như lỗ hổng CVE-2023-39910 do MilkSad, một nhóm nghiên cứu bảo mật ở nước ngoài, công bố vào năm 2023 và các địa chỉ bị tấn công được công bố bao gồm tất cả 25 địa chỉ trong bản cáo trạng của Hoa Kỳ. Cuộc tấn công theo dòng thời gian đầy đủ (29/12/2020): Tin tặc đã hack hơn 5.000 địa chỉ ví ngẫu nhiên yếu, chuyển 127272.06953176 BTC theo lô và số còn lại dưới 200 BTC và giao dịch được thực hiện bằng một tập lệnh tự động. Giai đoạn không hoạt động (2020.12.30-2024.6.22): Bitcoin bị đánh cắp đã im lặng trong địa chỉ của kẻ tấn công trong 4 năm, chỉ với một số lượng nhỏ các giao dịch thử nghiệm, điều này không phù hợp với thói quen kiếm tiền của các hacker thông thường. Nỗ lực phục hồi (đầu năm 2021, tháng 7 năm 2022): Nhóm đào LuBian đã gửi hơn 1.500 tin nhắn thông qua tính năng Bitcoin OP_RETURN, chi 1,4 BTC để yêu cầu bồi thường và trả tiền chuộc, nhưng không nhận được phản hồi. Chuyển khoản kích hoạt (2024.6.22-7.23): Các bitcoin bị đánh cắp được chuyển đến một địa chỉ mới và nền tảng theo dõi blockchain đánh dấu địa chỉ là do chính phủ Hoa Kỳ nắm giữ. Thông báo thu giữ (2025.10.14): Bộ Tư pháp Hoa Kỳ thông báo rằng Chen Zhi đã bị buộc tội và lô bitcoin đã bị tịch thu. Ngoài ra, truy xuất nguồn gốc on-chain cho thấy nguồn gốc của bitcoin bị đánh cắp bao gồm khai thác, lương nhóm khai thác và trao đổi, khác với tuyên bố của phía Mỹ rằng "tất cả đều có nguồn gốc từ thu nhập bất hợp pháp". 3. Chi tiết kỹ thuật của lỗ hổng: Nhóm khai thác sử dụng trình tạo MT19937-32 không an toàn về mặt mật mã và được khởi tạo bằng hạt giống 32 bit, không tuân theo tiêu chuẩn BIP-39 và khóa riêng có thể được suy ra nghịch đảo bằng cách liệt kê hạt giống, đây là một lỗ hổng có hệ thống. Mô phỏng quá trình tấn công: xác định địa chỉ mục tiêu→ liệt kê hạt giống 32 bit→ tạo khóa riêng tư và ký các đồng tiền bị đánh cắp sau khi khớp thành công → địa chỉ tương ứng, tương tự như các lỗ hổng entropy thấp được tiết lộ bởi Trust Wallet và Libbitcoin Explorer. Thiếu biện pháp phòng thủ: Thiếu ví đa chữ ký, ví cứng hoặc ví xác định phân cấp và thiếu các biện pháp bảo vệ bảo mật. Chứng thực tương quan: 25 địa chỉ trong bản cáo trạng của Hoa Kỳ có liên quan trực tiếp đến các địa chỉ bị đánh cắp và "số tiền bị đánh cắp từ Yizhong Mining" được đề cập trong bản cáo trạng phù hợp với phân tích trên chuỗi, xác nhận rằng cuộc tấn công được điều hành bởi một tổ chức cấp nhà nước. 4. Tác động và lời khuyênSự cố dẫn đến việc giải thể nhóm đào LuBian, làm nổi bật tính bảo mật của chuỗi công cụ tiền điện tử và rủi ro biến động giá. Ở cấp độ ngành, trình tạo số giả ngẫu nhiên bảo mật mã nên được sử dụng để thực hiện đa chữ ký, lưu trữ lạnh và kiểm tra thường xuyên, đồng thời các nhóm khai thác nên xây dựng hệ thống giám sát trên chuỗi và cảnh báo bất thường. Người dùng thông thường nên tránh sử dụng các khóa chưa được xác thực để tạo mô-đun. Sự cố cho thấy tính minh bạch của blockchain không thể bù đắp cho những thiếu sót của nền tảng bảo mật, và an ninh mạng là tiền đề cốt lõi cho sự phát triển của nền kinh tế kỹ thuật số và tiền điện tử.