Nenhuma evidência credível de que o governo dos EUA invadiu carteiras chinesas de Bitcoin para “roubar” 13 bilhões de dólares em BTC

O Centro Nacional de Resposta a Emergências de Vírus Informáticos da China acaba de acusar os Estados Unidos de terem realizado o ataque LuBian Bitcoin em 2020.

No entanto, pesquisas ocidentais relacionam o evento a uma falha no gerador de números aleatórios das carteiras e não mencionam nenhum agente estatal.

Forense de código aberto sobre o escoamento LuBian

Os factos centrais do episódio estão agora bem documentados em fontes abertas. Segundo a Arkham, aproximadamente 127.000 BTC foram transferidos de carteiras associadas ao mining pool LuBian durante cerca de duas horas entre 28 e 29 de dezembro de 2020, através de levantamentos coordenados em centenas de endereços.

De acordo com a equipa de pesquisa MilkSad e o CVE-2023-39910, essas carteiras foram criadas com software que inicializava o MT19937 com apenas 32 bits de entropia, reduzindo o espaço de busca para aproximadamente 4,29 mil milhões de seeds e expondo lotes de endereços P2SH-P2WPKH a ataques de força bruta.

A atualização #14 do MilkSad liga um cluster contendo cerca de 136.951 BTC, que começou a ser drenado em 2020-12-28, ao LuBian.com através de atividade de mineração on-chain e documenta o padrão fixo de taxa de 75.000 sat nas transações de sweep. A reconstrução da Blockscope mostra que a maior parte dos fundos permaneceu praticamente imóvel durante anos.

Essas mesmas moedas estão agora em carteiras controladas pelo governo dos EUA. Segundo o Departamento de Justiça dos EUA, os procuradores estão a perseguir a perda de aproximadamente 127.271 BTC como produto e instrumento de alegada fraude e branqueamento de capitais ligados a Chen Zhi e ao Prince Group. O DOJ afirma que os ativos estão atualmente sob custódia dos EUA.

A Elliptic mostra que os endereços mencionados na queixa do DOJ correspondem ao cluster de chaves fracas do LuBian já identificado por MilkSad e Arkham, e a Arkham agora marca as carteiras de destino consolidadas como controladas pelo governo dos EUA. Investigadores on-chain, incluindo ZachXBT, notaram publicamente a sobreposição entre os endereços apreendidos e o conjunto anterior de chaves fracas.

O que o registo forense mostra sobre o ataque LuBian

Quanto à atribuição, as equipas técnicas que primeiro identificaram a falha e rastrearam os fluxos não afirmam saber quem executou o escoamento de 2020. O MilkSad refere-se repetidamente a um agente que descobriu e explorou as chaves privadas fracas, afirmando não conhecer a identidade.

Arkham e Blockscope descrevem a entidade como o hacker do LuBian, focando no método e na escala. Elliptic e TRM limitam as suas afirmações ao rastreamento e à correspondência entre as saídas de 2020 e a posterior apreensão do DOJ. Nenhuma destas fontes nomeia um agente estatal para a operação de 2020.

O CVERC, amplificado pelo Global Times, propriedade do CCP, e por meios locais, avança uma narrativa diferente.

Argumenta que o período de dormência de quatro anos diverge dos padrões comuns de cash-out criminoso e, portanto, aponta para uma organização de hacking a nível estatal.

Depois, liga a posterior custódia das moedas pelos EUA à alegação de que agentes dos EUA executaram o ataque em 2020 antes de o converterem numa apreensão policial.

As secções técnicas do relatório acompanham de perto a pesquisa independente sobre chaves fracas, MT19937, agrupamento de endereços e padrões de taxas.

O salto de atribuição baseia-se em inferências circunstanciais sobre dormência e custódia final, em vez de novas análises forenses, ligações de ferramentas, sobreposições de infraestrutura ou outros indicadores padrão usados na atribuição a agentes estatais.

O que realmente sabemos sobre o escoamento de Bitcoin do LuBian

Existem pelo menos três leituras coerentes que se encaixam no que é público.

1. Uma é que uma parte desconhecida, criminosa ou não, encontrou o padrão de chaves fracas, drenou o cluster em 2020, deixou as moedas maioritariamente dormentes, e as autoridades dos EUA mais tarde obtiveram as chaves através de apreensão de dispositivos, testemunhas colaborantes ou outros meios investigativos relacionados, culminando na consolidação e pedidos de perda em 2024–2025.
2. A segunda trata LuBian e entidades relacionadas como parte de uma rede interna de tesouraria e branqueamento para o Prince Group, onde um aparente hack poderia ter sido um movimento interno opaco entre carteiras controladas por chaves fracas, consistente com a descrição do DOJ das carteiras como não hospedadas e na posse do arguido, embora os documentos públicos não detalhem totalmente como a rede de Chen passou a controlar as chaves específicas.
3. A terceira, avançada pelo CVERC, é que um agente estatal dos EUA foi responsável pela operação de 2020. As duas primeiras alinham-se com a postura probatória apresentada nos relatórios do MilkSad, Arkham, Elliptic, TRM e do DOJ.

A terceira é uma alegação não fundamentada por provas técnicas independentes disponíveis publicamente.

Segue-se uma breve linha temporal dos eventos incontestados.

Date (UTC) Event Approx. BTC Source

2020-12-28/29	Escoamento coordenado de endereços controlados pelo LuBian	~127.000–127.426	Arkham; Blockscope; MilkSad Update #14
2021–2022	Mensagens OP_RETURN de endereços ligados ao LuBian a pedir devolução	N/A	MilkSad Update #14; Blockscope
2023-08	Divulgação do CVE-2023-39910 (semente MT19937 fraca no Libbitcoin Explorer)	N/A	NVD CVE-2023-39910
2024	Consolidação das moedas dormentes em novas carteiras	~127.000	Blockscope; Arkham
2025	Ação de perda do DOJ e declarações públicas de custódia dos EUA	~127.271	DOJ; CBS News; Elliptic; TRM

Do ponto de vista da capacidade, forçar um espaço de seeds de 2^32 está perfeitamente ao alcance de agentes motivados. A cerca de 1 milhão de tentativas por segundo, uma única configuração pode percorrer o espaço em poucas horas, e rigs distribuídos ou acelerados por GPU reduzem ainda mais esse tempo.

A viabilidade é central para a fraqueza do tipo MilkSad, explicando como um único agente pode varrer milhares de endereços vulneráveis simultaneamente. O padrão de taxa fixa e os detalhes de derivação de endereços publicados pelo MilkSad e refletidos na análise técnica do CVERC reforçam este método de exploração.

As disputas restantes prendem-se com a propriedade e o controlo em cada etapa, não com a mecânica. O DOJ enquadra as carteiras como repositórios de proventos criminais ligados a Chen e afirma que os ativos são passíveis de perda ao abrigo da lei dos EUA.

As autoridades chinesas enquadram o LuBian como vítima de roubo e acusam um agente estatal dos EUA do ataque original.

Grupos independentes de forense blockchain ligam as saídas de 2020 à consolidação e apreensão de 2024–2025, e não chegam a nomear quem pressionou o botão em 2020. Esse é o estado do registo.

O post No credible evidence US government hacked Chinese Bitcoin wallets to “steal” $13 billion BTC apareceu primeiro em CryptoSlate.