150億ドル相当のbitcoinの秘密鍵、アメリカが偶然にも解読

2025年10月、アメリカ・ニューヨーク東地区連邦地方裁判所は、前例のない規模の暗号資産差し押さえ事件を明らかにしました。アメリカ政府は127,271枚のbitcoinを押収し、市場価格で約150億ドルに相当します。

Coboの共同創業者である神魚氏は、法執行機関が暴力的なクラッキングやハッキングによって秘密鍵を入手したのではなく、ランダム性の脆弱性を利用したと述べています。また、一部のフォーラムでは、法執行機関がPrince Groupの幹部であるChen Zhiおよびその家族が管理するサーバーやハードウェアウォレットから直接ウォレットのニーモニックや秘密鍵ファイルを押収したとも言われていますが、具体的な事実はまだ公表されていません。

これらのハードウェアウォレットはその後、アメリカ財務省傘下のUS Marshals Service（USMS）が管理するマルチシグコールドストレージに移されました。そして2025年10月15日、USMSの署名によって公式カストディアドレスに送金された9,757BTCのトランザクションがこれに該当します。アメリカ司法省は起訴状の中でLubianをカンボジアPrince Groupのマネーロンダリングネットワークの一部と位置付け、犯罪組織がマイニングプールで掘り出した「新しいコイン」を使って詐欺資金を洗浄しようとしたことを強調しています。

一部のコミュニティメンバーはオンチェーンデータを追跡し、これが2020年末にLubianマイニングプールで脆弱性により盗まれたbitcoinであると判断しています。Lubianマイニングプールは2020年に突如登場し、チームの背景情報や運営モデルは公表されていませんでしたが、そのハッシュレートはわずか数ヶ月で世界トップ10のマイニングプールに躍進し、一時は世界全体の約6%のハッシュレートを占めていました。

報告書によると、Chen Zhiは他のPrince Groupの関係者に「コストがかからないので利益が大きい」と自慢していたとされていますが、これがChen Zhi自身が設立したものなのか、それとも後にコントロールしたのかはまだ明らかになっていません。しかし、この事件は眠っていた巨大なクジラを再び表舞台に引きずり出し、2020年前後に潜んでいたウォレット秘密鍵のセキュリティ災害を再考させるものとなりました。

その後、研究者が再調査した際、壊れた鍵生成プロセスで作られた最初のニーモニックの最初の2単語がMilk Sadであったことから、この事件はMilk Sad事件と呼ばれるようになりました。

弱い乱数がもたらすリスク

すべての発端はMersenne Twister MT19937-32という擬似乱数生成器にあります。

bitcoinの秘密鍵は本来256ビットの乱数で構成されるべきで、理論上2^256通りの組み合わせが存在します。完全に一致するシーケンスを生成するには、256回の「コイントス」の表裏がすべて一致しなければならず、その確率はゼロとは言えませんが、ほぼゼロに等しいです。ウォレットのセキュリティは運ではなく、この膨大な可能性空間に由来します。

しかし、Lubianマイニングプールなどのツールが使用していたMersenne Twister MT19937-32乱数生成器は、真の「コイントスマシン」ではなく、限られた規則的な範囲内で番号を選ぶ癖のあるデバイスのようなものでした。

ハッカーがこの規則を把握すると、ブルートフォースで弱い秘密鍵のすべての可能性を素早く列挙し、対応するbitcoinウォレットをアンロックできるようになります。

一部のウォレットやマイニングプールユーザーがセキュリティを誤解していたため、2019年から2020年にかけて、この「弱い乱数アルゴリズム」で生成されたbitcoinウォレットには驚くほどの資産が蓄積され、多額の資金がこの脆弱な領域に流れ込みました。

Milk Sadチームの統計によると、2019年から2020年にかけて、これらの弱い鍵ウォレットが保有していたbitcoinの総数は一時53,500枚を超えていました。

資金の出所にはクジラ級の集中送金もあり、2019年4月には4つの弱いウォレットが短期間で約24,999枚のbitcoinを受け取っています。日常的なマイニング収益もあり、あるアドレスは1年で14,000枚以上の「lubian.com」とマークされたマイナー報酬を受け取っていました。この種のウォレットは現在22万個あることが判明しており、保有者は秘密鍵生成時のリスクに気付かず、今もなお資産を投入し続けています。

2020年末の大規模撤退

長らく潜んでいたセキュリティリスクは2020年末に爆発しました。2020年12月28日（UTC+8）、オンチェーンで異常なトランザクションが発生し、Lubianの弱い鍵区間に属する多数のウォレットが数時間以内に空になり、約136,951枚のbitcoinが一度に送金されました。当時の価格で約2.6万ドル/枚、総額約37億ドルに相当します。

送金手数料は一律75,000satsで、金額の大小にかかわらず同じであり、オペレーターがbitcoinネットワークの操作に精通していたことを示しています。一部の資金はその後Lubianマイニングプールに戻され、マイナー報酬として使われたため、すべての資産がハッカーの手に渡ったわけではありません。しかし、被害者にとって損失は現実のものとなりました。

さらに奇妙なことに、一部のオンチェーントランザクションにはメッセージが添えられていました。

これはハッカーの悪ふざけなのか、被害者の救援要請なのか、今も分かっていません。致命的なのは、この巨額送金が当時すぐに盗難と認識されなかったことです。

Milk Sadの研究者は後の分析で、当時bitcoin価格が高騰し、マイニングプールの収益が停止したため、ハッカーの仕業なのか、Lubianの運営陣が高値で売却しウォレットを再編したのか判断できなかったと述べています。「もし2020年に盗難が発生していたなら、確認されているMersenne Twisterの弱い鍵攻撃のタイムラインよりも早いことになるが、その可能性を排除できない」と指摘しています。

この不確実性のため、2020年末の資金撤退は業界の警報を引き起こせず、巨額のbitcoinはその後何年もオンチェーンで眠り続け、未解決の謎となりました。

この問題に巻き込まれたのはLubianだけでなく、旧バージョンのTrust Walletも同様でした。2022年11月17日（UTC+8）、セキュリティ研究チームLedger Donjonが初めてBinanceにTrust Walletの乱数脆弱性を報告し、チームは迅速に対応し、翌日にはGitHubで修正をプッシュし、影響を受けたユーザーに順次通知しました。

しかし2023年4月22日（UTC+8）になってようやく、Trust Walletは脆弱性の詳細と補償措置を正式に公表しました。この間、ハッカーは脆弱性を利用して複数回攻撃を行い、2023年1月11日（UTC+8）には約50枚のbitcoinが盗まれました。

遅れた警報

同時に、脆弱性は別のプロジェクトでも進行していました。

Libbitcoin Explorer 3.xバージョンのbx seedコマンドは、MT19937擬似乱数アルゴリズムと32ビットのシステム時間をシードとして使用し、生成される鍵空間はわずか2^32通りしかありません。

ハッカーはすぐに試験的な攻撃を開始し、2023年5月からオンチェーンで複数の小規模な盗難が発生しました。7月12日（UTC+8）には攻撃がピークに達し、bxで生成された多数のウォレットが一斉に空になりました。7月21日（UTC+8）、Milk Sadの研究者がユーザーの損失調査を支援する中で問題の根源を突き止め、それがbx seedの弱い乱数によるもので秘密鍵がブルートフォースで列挙可能であることをLibbitcoinチームに報告しました。

しかし、このコマンドは公式にはテストツールと見なされていたため、初期のコミュニケーションは円滑ではありませんでした。チームは最終的にプロジェクト側を迂回し、8月8日（UTC+8）に脆弱性を公開し、CVE番号を申請しました。

2023年のこの発見があったからこそ、Milk Sadチームは過去のデータを逆に掘り下げ始めました。彼らは2019年から2020年にかけて巨額資金が蓄積された弱い鍵区間がLubianと関連しており、2020年12月28日（UTC+8）に上述の大規模な移動が発生したことに驚きました。

当時、約136,951枚のbitcoinがこれらの弱いウォレットに存在し、その日の大規模な送金は約37億ドルに相当しました。最後に確認された動きは2024年7月（UTC+8）のウォレット統合でした。

言い換えれば、Lubian事件の疑わしい点は弱い乱数の脆弱性が明らかになって初めて浮かび上がり、当時見逃された警報のタイミングは二度と戻らず、当時のbitcoinの行方も消えてしまいました。5年の時を経て、今回のアメリカ司法省（DOJ）とイギリス当局によるPrince GroupとChen Zhiの共同起訴によって、ようやく事態が明らかになりました。

そして私たちにとって、今や「Not your Wallet, Not Your Money」という言葉は、ランダム性という大前提のもとで初めて有効となるのです。