美國竟然意外破解了價值 150 億美元的比特幣私鑰

2025 年 10 月，美國紐約東區聯邦地方法院揭露了一起史上最大規模的加密資產查扣案，美國政府沒收了 127,271 枚比特幣，市值約 150 億美元。

Cobo 聯合創辦人神魚指出，執法機關並非以暴力破解或駭侵方式取得私鑰，而是利用了隨機性漏洞。有論壇傳言執法機關直接自太子集團高層陳志及其家族掌控的伺服器和硬體錢包中扣押助記詞或私鑰檔案，但確切事實尚未公開。

這些硬體錢包後續被移入美國法警署（US Marshals Service, USMS）保管的多重簽名冷錢包。2025 年 10 月 15 日 USMS 簽名轉入官方託管地址的 9,757 BTC 正是源自該案。美國司法部於訴狀中將 Lubian 定位為柬埔寨太子集團洗錢網路的一環，強調其犯罪組織企圖藉礦池產出的「新幣」漂白詐騙所得。

部分社群成員追查鏈上數據，認為這正是 2020 年底 Lubin 礦池因漏洞失竊的那批比特幣。Lubin 礦池於 2020 年橫空出世，未公開團隊背景與運作模式，卻在短短幾個月內躍升全球前十大礦池，一度佔有近 6% 全球算力。

報告指出，陳志曾向其他太子集團人士誇口「利潤可觀，因為沒有成本」，但目前尚不明確究竟是其創立或後續掌控，不過此案讓沉寂多時的巨鯨重現市場，重新審視 2020 年前後錢包私鑰安全的災難。

事後研究人員重啟調查時發現，首組助記詞的前兩個詞即是 Milk Sad，因而後被稱為 Milk Sad 事件。

弱隨機數的潛在風險

一切皆源自 Mersenne Twister MT19937-32（梅森旋轉演算法，簡稱 MT19937-32）這個偽隨機數生成器。

比特幣私鑰理論上應由 256 位隨機數組成，擁有 2^256 種組合。若要完全重現序列，需 256 次「擲硬幣」結果均一致，機率極低，錢包安全性依賴於龐大可能空間，而非運氣。

然而 Lubian 礦池等工具所用的 MT19937-32 隨機數生成器並非真正的「公平擲硬幣機」，而是如機械故障般，在有限且規律的範圍中挑選號碼。

駭客掌握此規律後，可透過暴力枚舉迅速列舉所有可能的弱隨機私鑰，進而解鎖對應比特幣錢包。

由於部分錢包或礦池用戶誤解安全性，2019 至 2020 年間，採用「弱隨機演算法」生成的比特幣錢包累積大量資產，資金大量湧入脆弱區間。

Milk Sad 團隊統計，2019 至 2020 年間，這些弱隨機私鑰錢包一度持有逾 53,500 枚比特幣。

資金來源包括鯨魚級大額轉帳：2019 年 4 月，四個弱錢包短時間內獲得約 24,999 枚比特幣；亦有日常挖礦回報，部分地址一年內收到逾 14,000 枚標記為「lubian.com」的礦工獎勵。目前此類錢包已知達22 萬個，持有人顯然未察覺私鑰生成流程的潛在危機，至今仍不斷投入資產。

2020 年底的大規模撤資

長期隱伏的安全問題於 2020 年底爆發。2020 年 12 月 28 日，鏈上異常交易頻發，Lubian 弱隨機私鑰區間大量錢包數小時內被清空，約 136,951 枚比特幣一次性轉出，依當時每枚約 2.6 萬美元計算，總值約 37 億美元。

每筆轉帳手續費皆為 75,000 sats（聰），與金額大小無關，顯示操作者精通比特幣網路。部分資金隨後流回 Lubian 礦池用於後續挖礦獎勵，並非所有資金皆遭駭客竊取，然而受害者損失已成定局。

更詭異的是，部分用戶在鏈上交易中夾帶訊息，如「致拯救我們資產的白帽，請聯繫 1228btc@ gmail.com」。由於弱隨機私鑰地址已公開，任何人都能發送帶留言的交易，此類訊息不一定出自真正受害者。

目前尚無法確定該訊息為駭客戲弄或受害者求援。致命的是，當時這筆巨額轉帳並未立刻被視為竊盜事件。

Milk Sad 研究人員於後續分析坦言，當時比特幣價格飆升、礦池收益停滯，他們無法判斷是駭客所為，還是 Lubian 管理層於高點賣出並重組錢包。他們指出：「若竊盜發生於 2020 年，則早於已確認的 Mersenne Twister 弱隨機私鑰攻擊時間線，但無法排除此可能性。」

正因如此，2020 年底的資金撤離未曾引發業界警示，巨額比特幣多年來在鏈上沉寂，成為一宗懸案。

受害者不僅包括 Lubian，還有舊版 Trust Wallet。2022 年 11 月 17 日，安全研究團隊 Ledger Donjon 首度向 Binance 通報 Trust Wallet 隨機數漏洞，專案方隔日即在 GitHub 推送修復，並陸續通知受影響用戶。

直到 2023 年 4 月 22 日，Trust Wallet 才正式公開漏洞細節及賠償方案。期間駭客多次利用漏洞發起攻擊，包括 2023 年 1 月 11 日竊取約 50 枚比特幣。

遲來的警訊

同一時間，另一專案也潛藏漏洞。

Libbitcoin Explorer 3.x 版 bx seed 命令採用 MT19937 偽隨機數演算法，並以 32 位元系統時間為種子，產生的密鑰空間僅 2^32 組。

駭客很快開始試探性攻擊，自 2023 年 5 月起鏈上陸續出現小額竊案。7 月 12 日攻擊達高峰，大量 bx 生成錢包遭一併掃空。7 月 21 日，Milk Sad 研究者於協助用戶追查損失時發現問題根源，正是 bx seed 的弱隨機數讓私鑰可被暴力枚舉，隨即通報 Libbitcoin 團隊。

由於該命令被官方定位為測試工具，初期溝通未果，團隊最終於 8 月 8 日公開漏洞並申請 CVE 編號（漏洞編號），繞過原專案方。

正是 2023 年這項發現，Milk Sad 團隊開始逆向挖掘歷史資料。意外發現 2019 至 2020 年間累積巨額資金的弱隨機私鑰區間與 Lubian 有關，並在 2020 年 12 月 28 日發生大規模資產轉移。

當時約 136,951 枚比特幣分散於這些弱錢包，當日大規模轉出總值約 37 億美元，最後一次已知動向為 2024 年 7 月的錢包整合。

換句話說，Lubian 事件的疑點直至弱隨機漏洞曝光後才浮現，當時錯失的警示窗口已無法追回，比特幣去向亦成謎。五年之後，直到本次美國司法部（DOJ）和英國當局聯手起訴太子集團及陳志，事件才逐漸明朗。

對我們而言，如今「非你錢包，非你資產」（Not your Wallet, Not Your Money）這句話，唯有建立在隨機性安全的大前提下才真正適用。

聲明：

1. 本文摘自 [BlockBeats]，著作權歸原作者 [BUBBLE] 所有，如對轉載有疑慮，請聯繫 Gate Learn 團隊，團隊將依流程儘速處理。
2. 免責聲明：本文所述觀點及意見僅代表作者個人，並不構成任何投資建議。
3. 文章其他語言版本由 Gate Learn 團隊翻譯，未經授權不得於未註明 Gate 的情況下複製、傳播或抄襲本譯文。