Немає достовірних доказів того, що уряд США зламав китайські Bitcoin-гаманці, щоб "вкрасти" 13 мільярдів доларів у BTC

Національний центр реагування на комп'ютерні віруси Китаю щойно звинуватив Сполучені Штати у здійсненні експлойту LuBian Bitcoin у 2020 році.

Однак західні дослідження пов'язують цю подію з вадою генератора випадкових чисел у гаманці та не називають державного актора.

Відкрите криміналістичне дослідження drain LuBian

Основні факти цього епізоду зараз добре задокументовані у відкритих джерелах. За даними Arkham, приблизно 127 000 BTC були виведені з гаманців, пов'язаних із майнінг-пулом LuBian, протягом приблизно двох годин 28–29 грудня 2020 року шляхом скоординованих виведень через сотні адрес.

Згідно з дослідницькою групою MilkSad та CVE-2023-39910, ці гаманці були створені за допомогою програмного забезпечення, яке ініціалізувало MT19937 лише з 32 бітами ентропії, що зменшило простір пошуку до приблизно 4,29 мільярдів seed-значень і зробило партії адрес P2SH-P2WPKH вразливими до brute-force атак.

Оновлення #14 від MilkSad пов'язує кластер, що містить приблизно 136 951 BTC, який почали виводити з 28.12.2020, з LuBian.com через ончейн-майнінгову активність і документує фіксований шаблон комісії у 75 000 сатоші для sweep-транзакцій. Відтворення Blockscope показує, що більшість коштів залишалися майже без руху протягом років.

Ті ж самі монети зараз знаходяться у гаманцях, контрольованих урядом США. За даними Міністерства юстиції США, прокурори домагаються конфіскації приблизно 127 271 BTC як доходів і інструментів ймовірного шахрайства та відмивання грошей, пов'язаних із Чен Чжі та Prince Group. DOJ заявляє, що активи наразі перебувають під контролем США.

Elliptic показує, що адреси у скарзі DOJ відповідають кластеру слабких ключів LuBian, який вже ідентифікували MilkSad та Arkham, і Arkham тепер позначає консолідовані гаманці як контрольовані урядом США. Ончейн-дослідники, включаючи ZachXBT, публічно відзначили перетин між конфіскованими адресами та попереднім набором слабких ключів.

Що показує криміналістика щодо експлойту LuBian

Щодо атрибуції, технічні команди, які першими ідентифікували ваду та відстежили потоки, не заявляють, що знають, хто здійснив drain у 2020 році. MilkSad неодноразово згадує про актора, який виявив і експлуатував слабкі приватні ключі, зазначаючи, що вони не знають його особу.

Arkham і Blockscope описують суб'єкта як хакера LuBian, зосереджуючись на методі та масштабі. Elliptic і TRM обмежують свої твердження лише трасуванням і відповідністю між відтоками 2020 року та подальшою конфіскацією DOJ. Жодне з цих джерел не називає державного актора для операції 2020 року.

CVERC, підсилений CCP-власною Global Times та місцевими ЗМІ, просуває інший наратив.

Він стверджує, що чотирирічний період бездіяльності відрізняється від звичайних злочинних схем виведення коштів і тому вказує на державну хакерську організацію.

Далі він пов'язує подальше перебування монет під контролем США з твердженням, що саме американські актори здійснили експлойт у 2020 році, а потім перетворили це на вилучення правоохоронними органами.

Технічні розділи звіту тісно співпадають із незалежними відкритими дослідженнями щодо слабких ключів, MT19937, пакетування адрес і шаблонів комісій.

Його стрибок в атрибуції ґрунтується на непрямих висновках щодо бездіяльності та остаточного контролю, а не на нових криміналістичних даних, зв'язках інструментів, інфраструктурних збігах чи інших стандартних індикаторах, які використовуються для атрибуції державних акторів.

Що ми насправді знаємо про drain LuBian Bitcoin

Є щонайменше три логічні трактування, які відповідають оприлюдненим фактам.

1. Перше — невідома сторона, злочинна чи ні, виявила шаблон слабких ключів, вивела кошти з кластера у 2020 році, залишила монети переважно без руху, а американські органи влади пізніше отримали ключі через вилучення пристроїв, співпрацюючих свідків або інші слідчі засоби, що завершилося консолідацією та поданням на конфіскацію у 2024–2025 роках.
2. Друге розглядає LuBian та пов'язані структури як частину внутрішньої скарбниці та мережі відмивання для Prince Group, де очевидний злам міг бути непрозорим внутрішнім переміщенням між гаманцями під контролем слабких ключів, що узгоджується з трактуванням DOJ цих гаманців як некастодіальних і під контролем відповідача, хоча публічні документи не повністю деталізують, як мережа Чена отримала контроль над конкретними ключами.
3. Третє, запропоноване CVERC, — що державний актор США був відповідальним за операцію 2020 року. Перші два трактування узгоджуються з доказовою позицією, представленою у документах MilkSad, Arkham, Elliptic, TRM та DOJ.

Третє є твердженням, яке не підтверджується незалежними технічними доказами у відкритому доступі.

Коротка хронологія беззаперечних подій наведена нижче.

Date (UTC) Event Approx. BTC Source

2020-12-28/29	Скоординовані drain з адрес під контролем LuBian	~127,000–127,426	Arkham; Blockscope; MilkSad Update #14
2021–2022	Повідомлення OP_RETURN з адрес, пов'язаних із LuBian, з проханням про повернення	N/A	MilkSad Update #14; Blockscope
2023-08	Розкриття CVE-2023-39910 (слабка ініціалізація MT19937 у Libbitcoin Explorer)	N/A	NVD CVE-2023-39910
2024	Консолідація неактивних монет у нові гаманці	~127,000	Blockscope; Arkham
2025	Дії DOJ щодо конфіскації та публічні заяви про контроль США	~127,271	DOJ; CBS News; Elliptic; TRM

З точки зору можливостей, brute force простору seed 2^32 цілком досяжний для мотивованих акторів. Приблизно за 1 мільйон спроб на секунду одна установка може пройти весь простір за кілька годин, а розподілені чи GPU-прискорені установки скорочують цей час ще більше.

Реалістичність є ключовою для слабкості класу MilkSad, пояснюючи, як один актор може одночасно очистити тисячі вразливих адрес. Фіксований шаблон комісії та деталі виведення адрес, опубліковані MilkSad і відображені у технічному описі CVERC, підсилюють цей метод експлуатації.

Залишаються суперечки лише щодо власності та контролю на кожному етапі, а не щодо механіки. DOJ розглядає гаманці як сховища злочинних доходів, пов'язаних із Ченом, і заявляє, що активи підлягають конфіскації згідно із законодавством США.

Китайська влада розглядає LuBian як жертву крадіжки та звинувачує державного актора США в оригінальному експлойті.

Незалежні групи з блокчейн-криміналістики пов'язують відтоки 2020 року з консолідацією та конфіскацією у 2024–2025 роках, але не називають того, хто натиснув кнопку у 2020 році. Це і є поточний стан справ.

Публікація No credible evidence US government hacked Chinese Bitcoin wallets to “steal” $13 billion BTC з'явилася вперше на CryptoSlate.