Laporan Analisis Pelacakan Teknis Insiden Peretasan Kolam Penambangan LuBian yang Mengakibatkan Pencurian Bitcoin dalam Jumlah Besar

Penulis: National Computer Virus Emergency Response Center

 

Pada 29 Desember 2020, terjadi serangan peretas besar-besaran terhadap kolam penambangan LuBian, dengan total 127.272,06953176 bitcoin (senilai sekitar 3,5 miliar dolar AS saat itu, kini nilainya telah mencapai 15 miliar dolar AS) dicuri oleh pelaku. Pemilik bitcoin dalam jumlah besar ini adalah Chen Zhi, Ketua Prince Group Kamboja.

Setelah insiden peretasan, Chen Zhi dan Prince Group beberapa kali mengirim pesan di blockchain pada awal 2021 dan Juli 2022, menyerukan kepada peretas agar mengembalikan bitcoin yang dicuri dan bersedia membayar tebusan, namun tidak mendapat balasan apa pun.

Namun anehnya, setelah bitcoin dalam jumlah besar ini dicuri, aset tersebut tetap diam di alamat dompet bitcoin yang dikuasai pelaku selama 4 tahun tanpa pergerakan berarti, yang jelas tidak sesuai dengan perilaku peretas pada umumnya yang ingin segera mencairkan keuntungan. Hal ini lebih mirip operasi presisi yang dijalankan oleh "organisasi peretas tingkat negara". Hingga Juni 2024, bitcoin yang dicuri ini baru kembali dipindahkan ke alamat dompet bitcoin baru, dan hingga kini belum bergerak lagi.

Pada 14 Oktober 2025, Departemen Kehakiman Amerika Serikat mengumumkan tuntutan pidana terhadap Chen Zhi dan menyatakan telah menyita 127.000 bitcoin milik Chen Zhi dan Prince Group. Berbagai bukti menunjukkan bahwa bitcoin dalam jumlah besar yang disita pemerintah AS dari Chen Zhi dan Prince Group ini adalah bitcoin kolam penambangan LuBian yang telah dicuri oleh peretas melalui metode teknis sejak 2020. Dengan kata lain, pemerintah AS kemungkinan telah mencuri 127.000 bitcoin milik Chen Zhi melalui teknik peretasan sejak 2020, yang merupakan contoh klasik dari operasi "peretas tingkat negara" yang melakukan aksi "black eats black".

Laporan ini, dari sudut pandang teknis, melakukan penelusuran teknis untuk menganalisis secara mendalam detail teknis kunci dari insiden ini, dengan fokus pada asal-usul pencurian bitcoin ini, merekonstruksi garis waktu serangan secara lengkap, serta mengevaluasi mekanisme keamanan bitcoin, dengan harapan dapat memberikan wawasan keamanan yang berharga bagi industri dan pengguna kripto.

I. Latar Belakang Insiden

Kolam penambangan LuBian (LuBian mining pool) didirikan pada awal 2020, merupakan kolam penambangan bitcoin yang berkembang pesat dengan basis operasi utama di Tiongkok dan Iran. Pada Desember 2020, kolam penambangan LuBian mengalami serangan peretas besar-besaran yang menyebabkan lebih dari 90% kepemilikan bitcoin-nya dicuri. Total bitcoin yang dicuri sebanyak 127.272,06953176 BTC, sangat sesuai dengan angka 127.271 BTC yang disebutkan dalam surat dakwaan Departemen Kehakiman AS.

Model operasional kolam penambangan LuBian meliputi penyimpanan dan distribusi terpusat dari hadiah penambangan. Bitcoin di alamat kolam tidak disimpan di bursa terpusat yang diatur, melainkan di dompet non-kustodian. Dari sisi teknis, dompet non-kustodian (juga disebut cold wallet atau hardware wallet) dianggap sebagai tempat perlindungan utama aset kripto, tidak seperti akun bursa yang bisa dibekukan dengan perintah hukum, lebih mirip brankas bank pribadi milik pemegangnya, di mana kunci (private key) hanya dipegang oleh pemiliknya.

Bitcoin sebagai mata uang kripto, alamat on-chain digunakan untuk mengidentifikasi kepemilikan dan aliran aset bitcoin, dan menguasai private key alamat on-chain berarti dapat sepenuhnya mengendalikan bitcoin di alamat tersebut. Menurut laporan lembaga analisis on-chain, bitcoin dalam jumlah besar milik Chen Zhi yang dikuasai pemerintah AS sangat berkaitan dengan insiden peretasan kolam penambangan LuBian.

Data on-chain menunjukkan bahwa pada 29 Desember 2020 (zona waktu GMT+8), alamat dompet bitcoin inti LuBian mengalami transfer abnormal dengan total 127.272,06953176 BTC, sangat sesuai dengan angka 127.271 BTC dalam surat dakwaan Departemen Kehakiman AS. Setelah transfer abnormal, bitcoin yang dicuri ini tetap diam hingga Juni 2024.

Pada periode 22 Juni hingga 23 Juli 2024 (zona waktu GMT+8), bitcoin yang dicuri ini kembali dipindahkan ke alamat on-chain baru dan hingga kini belum bergerak. Platform pelacakan blockchain ternama AS, ARKHAM, telah menandai alamat akhir ini sebagai milik pemerintah AS. Saat ini, pemerintah AS dalam surat dakwaannya belum mengungkapkan bagaimana mereka memperoleh private key alamat on-chain bitcoin milik Chen Zhi.

Gambar 1: Garis Waktu Aktivitas Kunci

II. Analisis Jalur Serangan

Seperti diketahui, di dunia blockchain, bilangan acak adalah fondasi keamanan kriptografi. Bitcoin menggunakan teknologi enkripsi asimetris, private key bitcoin adalah deretan 256 bit bilangan biner acak, dengan kemungkinan brute force 2^256 kali, yang hampir mustahil. Namun jika private key 256 bit ini tidak sepenuhnya dihasilkan secara acak, misalnya hanya 32 bit yang benar-benar acak dan 224 bit lainnya dapat diprediksi, maka kekuatan private key akan sangat berkurang dan hanya perlu mencoba 2^32 (sekitar 4,29 miliar) kali untuk brute force. Contohnya, pada September 2022, market maker kripto Inggris Wintermute kehilangan 160 juta dolar AS akibat kerentanan pseudo-random serupa.

Pada Agustus 2023, tim riset keamanan luar negeri MilkSad pertama kali mengumumkan ditemukannya kerentanan pseudo-random number generator (PRNG) pada alat pembuat kunci pihak ketiga dan berhasil mendapatkan nomor CVE (CVE-2023-39910). Dalam laporan hasil penelitian tim ini disebutkan bahwa kolam penambangan bitcoin LuBian memiliki kerentanan serupa, dan dalam daftar alamat kolam penambangan bitcoin LuBian yang terkena serangan peretas, terdapat semua 25 alamat bitcoin yang disebutkan dalam surat dakwaan Departemen Kehakiman AS.

Gambar 2: Daftar 25 Alamat Dompet Bitcoin dalam Surat Dakwaan Departemen Kehakiman AS

Kolam penambangan bitcoin LuBian sebagai sistem dompet non-kustodian, alamat dompet bitcoin-nya bergantung pada algoritma pembuatan private key kustom untuk mengelola dana. Pembuatan private key tidak menggunakan standar acak 256 bit yang direkomendasikan, melainkan hanya mengandalkan 32 bit bilangan acak, yang merupakan cacat fatal: hanya mengandalkan timestamp atau input lemah sebagai seed untuk "pseudo-random generator" Mersenne Twister (MT19937-32), di mana PRNG ini setara dengan acak integer 4 byte, yang dapat dieksplorasi secara efisien dalam komputasi modern. Secara matematis, probabilitas brute force adalah 1/2^32; misalnya, jika skrip serangan menguji 10^6 kunci per detik, waktu brute force sekitar 4.200 detik (hanya sekitar 1,17 jam). Dalam praktiknya, alat optimasi seperti Hashcat atau skrip kustom dapat mempercepat proses. Pelaku memanfaatkan kerentanan ini untuk mencuri bitcoin dalam jumlah besar dari kolam penambangan LuBian.

Gambar 3: Tabel Perbandingan Cacat Standar Keamanan Industri dan Kolam Penambangan LuBian

Melalui penelusuran teknis, garis waktu lengkap dan detail terkait serangan terhadap kolam penambangan LuBian adalah sebagai berikut:

1. Tahap Pencurian: 29 Desember 2020 (zona waktu GMT+8)

Peristiwa: Peretas memanfaatkan kerentanan pseudo-random pada pembuatan private key alamat dompet bitcoin kolam penambangan LuBian untuk brute force lebih dari 5.000 alamat dompet acak lemah (jenis dompet: P2WPKH-nested-in-P2SH, prefiks 3). Dalam waktu sekitar 2 jam, sekitar 127.272,06953176 BTC (senilai sekitar 3,5 miliar dolar AS saat itu) terkuras dari alamat dompet ini, tersisa kurang dari 200 BTC. Semua transaksi mencurigakan menggunakan biaya transaksi yang sama, menandakan serangan dilakukan oleh skrip transfer otomatis massal.

Pihak pengirim: Kelompok alamat dompet bitcoin acak lemah kolam penambangan LuBian (dikendalikan oleh entitas operasi tambang LuBian, bagian dari Prince Group milik Chen Zhi);

Pihak penerima: Kelompok alamat dompet bitcoin yang dikuasai peretas (alamat tidak dipublikasikan);

Jalur transfer: Kelompok alamat dompet lemah → kelompok alamat dompet peretas;

Analisis keterkaitan: Total bitcoin yang dicuri sebanyak 127.272,06953176 BTC, sangat sesuai dengan angka 127.271 BTC dalam surat dakwaan Departemen Kehakiman AS.

2. Tahap Dormansi: 30 Desember 2020 hingga 22 Juni 2024 (zona waktu GMT+8)

Peristiwa: Bitcoin ini, setelah dicuri melalui kerentanan pseudo-random pada 2020, disimpan di alamat dompet bitcoin yang dikuasai peretas selama 4 tahun dalam keadaan dorman, hanya ada transaksi debu kurang dari seperseribu yang mungkin digunakan untuk pengujian.

Analisis keterkaitan: Bitcoin ini hampir tidak bergerak hingga 22 Juni 2024 sebelum akhirnya diambil alih sepenuhnya oleh pemerintah AS, yang jelas tidak sesuai dengan sifat peretas pada umumnya yang ingin segera mencairkan keuntungan, lebih mirip operasi presisi oleh organisasi peretas tingkat negara.

3. Tahap Upaya Pemulihan: Awal 2021, 4 dan 26 Juli 2022 (zona waktu GMT+8)

Peristiwa: Setelah bitcoin ini dicuri, selama masa dormansi, pada awal 2021, kolam penambangan LuBian mengirim lebih dari 1.500 pesan melalui fitur Bitcoin OP_RETURN (menghabiskan sekitar 1,4 BTC biaya transaksi), menyisipkan pesan ke area data blockchain, memohon kepada peretas untuk mengembalikan dana. Contoh pesan: "Please return our funds, we'll pay a reward". Pada 4 dan 26 Juli 2022, kolam penambangan LuBian kembali mengirim pesan melalui fitur Bitcoin OP_RETURN.

Pihak pengirim: Alamat dompet bitcoin acak lemah LuBian (dikendalikan oleh entitas operasi tambang LuBian, bagian dari Prince Group milik Chen Zhi);

Pihak penerima: Kelompok alamat dompet bitcoin yang dikuasai peretas;

Jalur transfer: Kelompok alamat dompet lemah → kelompok alamat dompet peretas; transaksi kecil disisipkan dalam OP_RETURN);

Analisis keterkaitan: Setelah insiden pencurian, pesan-pesan ini dikonfirmasi sebagai upaya kolam penambangan LuBian untuk menghubungi "peretas pihak ketiga", meminta pengembalian aset dan negosiasi tebusan.

4. Tahap Aktivasi dan Transfer: 22 Juni hingga 23 Juli 2024 (zona waktu GMT+8)

Peristiwa: Bitcoin di kelompok alamat dompet yang dikuasai peretas diaktifkan dari keadaan dorman dan dipindahkan ke alamat dompet bitcoin akhir. Alamat dompet akhir ini ditandai oleh platform pelacakan blockchain ternama AS, ARKHAM, sebagai milik pemerintah AS.

Pihak pengirim: Kelompok alamat dompet bitcoin yang dikuasai peretas;

Pihak penerima: Kelompok alamat dompet akhir baru (tidak dipublikasikan, namun dipastikan sebagai kelompok dompet yang dikuasai pemerintah AS)

Jalur transfer: Kelompok alamat dompet bitcoin yang dikuasai peretas → kelompok dompet yang dikuasai pemerintah AS;

Analisis keterkaitan: Bitcoin dalam jumlah besar yang dicuri ini, setelah diam selama 4 tahun tanpa pergerakan berarti, akhirnya dikuasai oleh pemerintah AS.

5. Tahap Pengumuman Penyitaan: 14 Oktober 2025 (waktu setempat AS)

Peristiwa: Departemen Kehakiman AS mengumumkan tuntutan terhadap Chen Zhi dan "menyita" 127.000 bitcoin miliknya.

Pada saat yang sama, melalui mekanisme publik blockchain, semua catatan transaksi bitcoin dapat dilacak secara terbuka. Berdasarkan hal ini, laporan ini menelusuri asal-usul bitcoin dalam jumlah besar yang dicuri dari alamat dompet bitcoin acak lemah LuBian (dikendalikan oleh entitas operasi tambang LuBian, kemungkinan bagian dari Prince Group milik Chen Zhi), dengan total 127.272,06953176 bitcoin yang dicuri, berasal dari: penambangan independen sekitar 17.800 bitcoin, pendapatan gaji kolam sekitar 2.300 bitcoin, serta 107.100 bitcoin dari bursa dan saluran lain. Hasil awal menunjukkan bahwa sumber dana ini tidak sepenuhnya berasal dari pendapatan ilegal seperti yang disebutkan dalam surat dakwaan Departemen Kehakiman AS.

III. Analisis Detail Teknis Kerentanan

1. Pembuatan Private Key Alamat Dompet Bitcoin:

Inti dari kerentanan kolam penambangan LuBian terletak pada generator private key-nya yang menggunakan cacat serupa "MilkSad" pada Libbitcoin Explorer. Secara spesifik, sistem ini menggunakan pseudo-random number generator Mersenne Twister (MT19937-32) yang hanya diinisialisasi dengan seed 32 bit, sehingga entropi efektif hanya 32 bit. PRNG ini tidak aman secara kriptografi (non-cryptographic), mudah diprediksi dan direkayasa balik. Pelaku dapat mengeksplorasi semua kemungkinan seed 32 bit (0 hingga 2^32-1), menghasilkan private key yang sesuai, dan memeriksa apakah cocok dengan hash public key alamat dompet yang diketahui.

Dalam ekosistem bitcoin, proses pembuatan private key biasanya: seed acak → hash SHA-256 → private key ECDSA.

Implementasi pustaka dasar kolam penambangan LuBian mungkin berbasis kode kustom atau pustaka open source (seperti Libbitcoin), namun mengabaikan keamanan entropi. Kesamaan dengan cacat MilkSad adalah perintah "bx seed" pada Libbitcoin Explorer juga menggunakan generator acak MT19937-32, hanya mengandalkan timestamp atau input lemah sebagai seed, sehingga private key dapat di-brute force. Dalam insiden LuBian, lebih dari 5.000 dompet terdampak, menandakan kerentanan ini bersifat sistemik, kemungkinan berasal dari penggunaan kode yang sama saat membuat dompet massal.

2. Simulasi Proses Serangan:

(1) Identifikasi alamat dompet target (melalui pemantauan on-chain aktivitas kolam penambangan LuBian);

(2) Enumerasi seed 32 bit: for seed in 0 to 4294967295;

(3) Hasilkan private key: private_key = SHA256(seed);

(4) Turunkan public key dan alamat: menggunakan kurva ECDSA SECP256k1;

(5) Cocokkan: jika alamat turunan cocok dengan target, gunakan private key untuk menandatangani transaksi dan mencuri dana;

Dibandingkan dengan kerentanan serupa: Kerentanan ini mirip dengan cacat entropi 32 bit pada Trust Wallet yang pernah menyebabkan pembobolan alamat dompet bitcoin secara massal; cacat "MilkSad" pada Libbitcoin Explorer juga mengekspos private key karena entropi rendah. Kasus-kasus ini berasal dari masalah kode lama yang tidak menggunakan standar BIP-39 (seed phrase 12-24 kata, menyediakan entropi tinggi). Kolam penambangan LuBian kemungkinan menggunakan algoritma kustom untuk menyederhanakan manajemen, namun mengabaikan keamanan.

Kekurangan pertahanan: Kolam penambangan LuBian tidak menerapkan multi-signature (multisig), hardware wallet, atau hierarchical deterministic wallet (HD wallet), yang semuanya dapat meningkatkan keamanan. Data on-chain menunjukkan serangan mencakup banyak dompet, menandakan kerentanan sistemik, bukan kegagalan satu titik.

3. Bukti On-Chain dan Upaya Pemulihan:

Pesan OP_RETURN: Kolam penambangan LuBian mengirim lebih dari 1.500 pesan melalui fitur OP_RETURN Bitcoin, menghabiskan 1,4 BTC, memohon pelaku mengembalikan dana. Pesan-pesan ini disisipkan di blockchain, membuktikan tindakan pemilik asli, bukan rekayasa. Contoh pesan termasuk "please return our funds" atau permohonan serupa, tersebar di banyak transaksi.

4. Analisis Keterkaitan Serangan:

Pada 14 Oktober 2025 (waktu setempat AS), surat dakwaan pidana Departemen Kehakiman AS terhadap Chen Zhi (nomor kasus 1:25-cr-00416) mencantumkan 25 alamat dompet bitcoin yang memegang sekitar 127.271 BTC, dengan total nilai sekitar 15 miliar dolar AS, dan telah disita. Melalui analisis blockchain dan pemeriksaan dokumen resmi, alamat-alamat ini sangat terkait dengan insiden serangan terhadap kolam penambangan LuBian:

Keterkaitan langsung: Analisis blockchain menunjukkan bahwa 25 alamat dalam surat dakwaan Departemen Kehakiman AS adalah alamat akhir kepemilikan bitcoin yang dicuri dalam serangan kolam penambangan LuBian pada 2020. Laporan Elliptic menyebutkan bahwa bitcoin ini "dicuri" dari operasi penambangan kolam LuBian pada 2020. Arkham Intelligence mengonfirmasi bahwa dana yang disita Departemen Kehakiman AS berasal langsung dari insiden pencurian kolam penambangan LuBian.

Keterkaitan bukti surat dakwaan: Surat dakwaan Departemen Kehakiman AS memang tidak secara langsung menyebut "LuBian hack", namun menyebut dana berasal dari "serangan pencurian terhadap operasi penambangan bitcoin di Iran dan Tiongkok", yang konsisten dengan analisis on-chain Elliptic dan Arkham Intelligence.

Keterkaitan perilaku serangan: Dari metode serangan, bitcoin dalam jumlah besar milik kolam penambangan LuBian yang dicuri secara teknis sejak 2020 tetap dorman selama 4 tahun, hanya terjadi transaksi debu kurang dari seperseribu, hingga akhirnya diambil alih sepenuhnya oleh pemerintah AS pada 2024, tidak sesuai dengan sifat peretas pada umumnya yang ingin segera mencairkan keuntungan, lebih mirip operasi presisi oleh organisasi peretas tingkat negara. Analisis menunjukkan pemerintah AS kemungkinan telah mengendalikan bitcoin ini sejak Desember 2020.

IV. Dampak dan Saran

Insiden peretasan kolam penambangan LuBian pada 2020 berdampak luas, menyebabkan kolam benar-benar bubar, dengan kerugian lebih dari 90% dari total aset saat itu, dan nilai bitcoin yang dicuri kini telah naik menjadi 15 miliar dolar AS, menyoroti risiko yang diperbesar oleh volatilitas harga.

Insiden kolam penambangan LuBian mengungkap risiko sistemik dalam rantai alat kripto terkait pembuatan bilangan acak. Untuk mencegah kerentanan serupa, industri blockchain harus menggunakan generator bilangan acak semu yang aman secara kriptografi (CSPRNG); menerapkan pertahanan berlapis, termasuk multi-signature (multisig), cold storage, dan audit rutin, serta menghindari algoritma pembuatan private key kustom; kolam penambangan harus mengintegrasikan pemantauan on-chain real-time dan sistem peringatan transfer abnormal. Pengguna biasa harus menghindari penggunaan modul pembuat kunci dari komunitas open source yang belum diverifikasi. Insiden ini juga mengingatkan kita bahwa meskipun blockchain sangat transparan, fondasi keamanan yang lemah tetap dapat menyebabkan konsekuensi bencana. Hal ini juga menunjukkan pentingnya keamanan siber dalam perkembangan ekonomi digital dan mata uang digital di masa depan.