LuBian kon hovuzi xakerlar hujumiga uchrab, katta miqdordagi bitcoin o'g'irlanishi voqeasining texnik izlanish tahlil hisobot

Manba: Milliy Kompyuter Viruslariga Qarshi Favqulodda Choralar Markazi

2020-yil 29-dekabrda, LuBian mining pool’da yirik xakerlik hujumi sodir bo‘ldi, jami 127272.06953176 dona bitcoin (o‘sha vaqtdagi qiymati taxminan 3.5 milliard AQSh dollari, hozirgi qiymati esa 15 milliard AQSh dollariga yetgan) xakerlar tomonidan o‘g‘irlandi. Ushbu katta miqdordagi bitcoin’larning egasi Kambodja Princely Group raisi Chen Zhi hisoblanadi. Xakerlik hujumi sodir bo‘lgandan so‘ng, Chen Zhi va uning Princely Group kompaniyasi 2021-yil boshida va 2022-yil iyul oyida bir necha bor blockchain’da xabarlar e’lon qilib, xakerlarga murojaat qilgan, o‘g‘irlangan bitcoin’larni qaytarib berishni so‘ragan va mukofot to‘lashga tayyorligini bildirgan, biroq hech qanday javob olmagan. Qizig‘i shundaki, bu katta miqdordagi bitcoin’lar o‘g‘irlangandan so‘ng, xakerlar nazoratidagi bitcoin hamyon manzillarida 4 yil davomida deyarli harakatsiz qolgan, bu esa odatda xakerlarning tezda foyda olishga intilishiga zid bo‘lib, ko‘proq “davlat darajasidagi xakerlar guruhi” tomonidan amalga oshirilgan aniq rejalashtirilgan harakatga o‘xshaydi. 2024-yil iyunigacha bu o‘g‘irlangan bitcoin’lar yana yangi bitcoin hamyon manzillariga ko‘chirildi va hozirgacha harakatsiz.

2025-yil 14-oktabrda, AQSh Adliya vazirligi Chen Zhi’ga qarshi jinoiy ayblov e’lon qildi va Chen Zhi hamda uning Princely Group kompaniyasining 127 ming dona bitcoin’ini musodara qilganini bildirdi. Turli dalillar AQSh hukumati tomonidan musodara qilingan Chen Zhi va uning Princely Group kompaniyasiga tegishli bu katta miqdordagi bitcoin’lar aslida 2020-yilda xakerlar tomonidan texnik vositalar yordamida o‘g‘irlangan LuBian mining pool bitcoin’lari ekanini ko‘rsatadi. Ya’ni, AQSh hukumati ehtimol 2020-yildayoq xakerlik texnologiyasi yordamida Chen Zhi’ga tegishli 127 ming dona bitcoin’ni o‘g‘irlagan, bu esa davlat darajasidagi xakerlar guruhi tomonidan amalga oshirilgan “qora ustidan qora” holatidir. Ushbu hisobot texnik nuqtai nazardan, texnik izlanish orqali ushbu hodisaning asosiy texnik tafsilotlarini chuqur tahlil qiladi, o‘g‘irlangan bitcoin’larning kelib chiqishi va to‘liq hujum vaqt jadvalini tiklaydi, bitcoin xavfsizlik mexanizmini baholaydi va kriptovalyuta sohasi hamda foydalanuvchilarga muhim xavfsizlik saboqlari beradi.

I. Hodisa fonidagi vaziyat

LuBian mining pool 2020-yil boshida tashkil etilgan bo‘lib, tez rivojlangan bitcoin mining pool hisoblanadi va asosan Xitoy hamda Eronni asosiy operatsion bazasi sifatida tanlagan. 2020-yil dekabr oyida LuBian mining pool keng ko‘lamli xakerlik hujumiga uchradi va natijada uning 90% dan ortiq bitcoin zaxirasi o‘g‘irlandi. O‘g‘irlangan jami miqdor 127272.06953176BTC bo‘lib, AQSh Adliya vazirligi ayblov xatida ko‘rsatilgan 127271BTC bilan deyarli mos keladi.

LuBian mining pool’ning ishlash modeli qazib olingan mukofotlarni markazlashgan tarzda saqlash va taqsimlashdan iborat. Mining pool manzillaridagi bitcoin’lar regulyatsiya qilinadigan markazlashgan birjalarda emas, balki non-custodial hamyonlarda saqlanadi. Texnik nuqtai nazardan, non-custodial hamyonlar (shuningdek, cold wallet yoki hardware wallet deb ham ataladi) kripto-aktivlar uchun eng xavfsiz joy hisoblanadi, chunki ular birja hisoblari kabi bir qaror bilan muzlatib qo‘yilmaydi va kalit (private key) faqat egasining qo‘lida bo‘ladi.

Bitcoin kriptovalyutasi sifatida, on-chain manzillar bitcoin aktivlarining egaligi va harakatini aniqlash uchun ishlatiladi, on-chain manzil private key’iga ega bo‘lgan kishi bitcoin’larni to‘liq boshqarishi mumkin. On-chain tahlil agentliklari hisobotlariga ko‘ra, AQSh hukumati nazoratidagi Chen Zhi’ning katta miqdordagi bitcoin’lari LuBian mining pool xakerlik hodisasi bilan yuqori darajada mos keladi. On-chain ma’lumotlar shuni ko‘rsatadiki, Pekin vaqti bilan 2020-yil 29-dekabrda LuBian’ning asosiy bitcoin hamyon manzillarida g‘ayrioddiy ko‘chirish sodir bo‘lgan, jami 127272.06953176BTC ko‘chirilgan, bu esa AQSh Adliya vazirligi ayblov xatidagi 127271BTC bilan deyarli bir xil. O‘g‘irlangan bitcoin’lar g‘ayrioddiy ko‘chirilgandan so‘ng, 2024-yil iyunigacha harakatsiz qolgan. Pekin vaqti bilan 2024-yil 22-iyundan 23-iyulgacha bu o‘g‘irlangan bitcoin’lar yana yangi on-chain manzillarga ko‘chirildi va hozirgacha harakatsiz. AQShning mashhur blockchain kuzatuv platformasi ARKHAM ushbu yakuniy manzillarni AQSh hukumati egaligida deb belgilagan. Hozircha AQSh hukumati ayblov xatida Chen Zhi’ning katta miqdordagi bitcoin on-chain manzil private key’ini qanday qo‘lga kiritganini oshkor qilmagan.

1-rasm: Asosiy faoliyat vaqt jadvali

II. Hujum zanjiri tahlili

Ma’lumki, blockchain olamida tasodifiy sonlar kriptografik xavfsizlikning asosi hisoblanadi. Bitcoin assimetrik shifrlash texnologiyasidan foydalanadi, bitcoin private key 256 bitli tasodifiy sonlar ketma-ketligidir, nazariy buzish urinishlari soni 2^256 bo‘lib, deyarli imkonsiz. Ammo agar bu 256 bitli private key to‘liq tasodifiy bo‘lmasa, masalan, undan 224 biti oldindan ma’lum bo‘lsa va faqat 32 biti tasodifiy bo‘lsa, private key kuchi ancha pasayadi va faqat 2^32 (taxminan 4.29 milliard) urinish bilan brute-force qilish mumkin bo‘ladi. Masalan, 2022-yil sentabr oyida Britaniyaning kriptovalyuta market-makeri Wintermute shunga o‘xshash pseudo-random sonlar zaifligi tufayli 160 million AQSh dollari yo‘qotgan.

2023-yil avgust oyida xorijdagi xavfsizlik tadqiqot guruhi MilkSad birinchi marta uchinchi tomon kalit generatsiya vositasida pseudo-random number generator (PRNG) zaifligi borligini aniqladi va CVE raqamini (CVE-2023-39910) oldi. Ushbu guruhning tadqiqot hisobotida LuBian bitcoin mining pool’da shunga o‘xshash zaiflik borligi, xakerlik hujumiga uchragan LuBian bitcoin mining pool manzillarida AQSh Adliya vazirligi ayblov xatidagi barcha 25 bitcoin manzili mavjudligi qayd etilgan.

2-rasm: AQSh Adliya vazirligi ayblov xatidagi 25 ta bitcoin hamyon manzili ro‘yxati

LuBian bitcoin mining pool non-custodial hamyon tizimi sifatida, undagi bitcoin hamyon manzillari maxsus private key generatsiya algoritmiga tayanadi, private key generatsiyasi tavsiya etilgan 256 bitli tasodifiy sonlar standartiga emas, balki 32 bitli tasodifiy sonlarga asoslangan, bu esa halokatli zaiflikka olib kelgan: faqat timestamp yoki zaif kiruvchi sifatida “pseudo-random generator” Mersenne Twister (MT19937-32) dan foydalanilgan, bu PRNG zamonaviy hisoblashda samarali tarzda brute-force qilinishi mumkin bo‘lgan 4 baytli butun son randomligiga teng. Matematik jihatdan, buzish ehtimoli 1/2^32, masalan, agar hujum skripti har soniyada 10^6 kalitni tekshirsa, buzish vaqti taxminan 4200 soniya (faqat 1.17 soat) bo‘ladi. Amalda, Hashcat yoki maxsus skriptlar yordamida tezlik yanada oshirilishi mumkin. Xakerlar aynan shu zaiflikdan foydalanib, LuBian bitcoin mining pool’ning katta miqdordagi bitcoin’larini o‘g‘irlashgan.

3-rasm: LuBian mining pool va soha xavfsizlik standartlari zaifliklari taqqoslama jadvali

Texnik izlanish natijasida, LuBian mining pool xakerlik hujumining to‘liq vaqt jadvali va tegishli tafsilotlari quyidagicha:

1. Hujum va o‘g‘irlash bosqichi: Pekin vaqti bilan 2020-yil 29-dekabr

Hodisa: Xakerlar LuBian mining pool bitcoin hamyon manzillarining private key generatsiyasidagi pseudo-random sonlar zaifligidan foydalanib, 5 000 dan ortiq zaif random wallet manzillarini (wallet turi: P2WPKH-nested-in-P2SH, prefiksi 3) brute-force qilishgan. Taxminan 2 soat ichida 127272.06953176BTC (o‘sha vaqtdagi qiymati 3.5 milliard AQSh dollari) ushbu manzillardan chiqarib yuborilgan, atigi 200BTC qolgan. Barcha shubhali tranzaksiyalar bir xil tranzaksiya to‘loviga ega bo‘lib, hujum avtomatlashtirilgan ko‘chirish skripti yordamida amalga oshirilganini ko‘rsatadi.

Yuboruvchi: LuBian mining pool zaif random bitcoin hamyon manzillari guruhi (LuBian mining pool operatsion subyekti tomonidan boshqariladi, Chen Zhi’ning Princely Group kompaniyasiga tegishli);

Qabul qiluvchi: Xakerlar nazoratidagi bitcoin hamyon manzillari guruhi (manzillar oshkor qilinmagan);

Ko‘chirish yo‘li: Zaif wallet manzillari guruhi → Xakerlar hamyon manzillari guruhi;

Bog‘liq tahlil: O‘g‘irlangan jami miqdor 127272.06953176BTC bo‘lib, AQSh Adliya vazirligi ayblov xatidagi 127271BTC bilan deyarli mos keladi.

2. Uyqu bosqichi: Pekin vaqti bilan 2020-yil 30-dekabrdan 2024-yil 22-iyungacha

Hodisa: Ushbu bitcoin’lar 2020-yilda pseudo-random sonlar zaifligi orqali o‘g‘irlangandan so‘ng, xakerlar nazoratidagi bitcoin hamyon manzillarida 4 yil davomida harakatsiz saqlangan, faqat juda kichik miqdordagi chang tranzaksiyalar test uchun ishlatilgan bo‘lishi mumkin.

Bog‘liq tahlil: Bu bitcoin’lar 2024-yil 22-iyungacha AQSh hukumati to‘liq nazoratiga o‘tguniga qadar deyarli harakatsiz qolgan, bu esa odatda xakerlarning tezda foyda olishga intilishiga zid bo‘lib, ko‘proq davlat darajasidagi xakerlar guruhi tomonidan amalga oshirilgan aniq harakatga o‘xshaydi.

3. Tiklashga urinish bosqichi: Pekin vaqti bilan 2021-yil boshida, 2022-yil 4-iyul va 26-iyul

Hodisa: Bitcoin’lar o‘g‘irlangandan so‘ng, uyqu davrida, 2021-yil boshida LuBian mining pool Bitcoin OP_RETURN funksiyasi orqali 1 500 dan ortiq xabar yuborgan (taxminan 1.4 BTC komissiya sarflangan), blockchain ma’lumot maydoniga joylashtirilgan va xakerlardan mablag‘larni qaytarishni iltimos qilgan. Xabar namunasi: “Please return our funds, we'll pay a reward”. 2022-yil 4-iyul va 26-iyulda LuBian mining pool yana Bitcoin OP_RETURN funksiyasi orqali xabar yuborgan, xabar namunasi: “MSG from LB. To the whitehat who is saving our asset, you can contact us through to discuss the return of asset and your reward.”

Yuboruvchi: Lubian zaif random bitcoin hamyon manzillari (Lubian mining pool operatsion subyekti tomonidan boshqariladi, Chen Zhi’ning Princely Group kompaniyasiga tegishli);

Qabul qiluvchi: Xakerlar nazoratidagi bitcoin hamyon manzillari guruhi;

Ko‘chirish yo‘li: Zaif wallet manzillari guruhi → Xakerlar hamyon manzillari guruhi; kichik tranzaksiyalar OP_RETURN orqali yuborilgan;

Bog‘liq tahlil: O‘g‘irlikdan so‘ng, ushbu xabarlar LuBian mining pool tomonidan bir necha bor “uchinchi tomon xakeri” bilan bog‘lanishga va aktivlarni qaytarib olish hamda tovon puli masalasini muhokama qilishga urinish bo‘lganini tasdiqlaydi.

4. Faollashuv va ko‘chirish bosqichi: Pekin vaqti bilan 2024-yil 22-iyundan 23-iyulgacha

Hodisa: Xakerlar nazoratidagi bitcoin hamyon manzillari guruhi tarkibidagi bitcoin’lar uyqu holatidan faollashib, yakuniy bitcoin hamyon manzillariga ko‘chirilgan. Yakuniy hamyon manzillari AQShning mashhur blockchain kuzatuv platformasi ARKHAM tomonidan AQSh hukumati egaligida deb belgilangan.

Yuboruvchi: Xakerlar nazoratidagi bitcoin hamyon manzillari guruhi;

Qabul qiluvchi: Yangi integratsiyalashgan yakuniy hamyon manzillari guruhi (oshkor qilinmagan, ammo AQSh hukumati nazoratidagi manzillar guruhi ekanligi tasdiqlangan)

Ko‘chirish yo‘li: Xakerlar nazoratidagi bitcoin hamyon manzillari guruhi → AQSh hukumati nazoratidagi hamyon manzillari guruhi;

Bog‘liq tahlil: Ushbu o‘g‘irlangan katta miqdordagi bitcoin’lar 4 yil davomida deyarli harakatsiz qolganidan so‘ng, oxir-oqibat AQSh hukumati nazoratiga o‘tgan.

5. E’lon va musodara bosqichi: AQSh mahalliy vaqti bilan 2025-yil 14-oktabr

Hodisa: AQSh Adliya vazirligi e’lon chiqarib, Chen Zhi’ga qarshi ayblov qo‘yganini va uning 127 ming dona bitcoin’ini “musodara” qilganini bildirgan.

Shu bilan birga, blockchain’ning ochiq mexanizmi orqali bitcoin tranzaksiya yozuvlari to‘liq ochiq va izlanadigan. Shu asosda, ushbu hisobot LuBian zaif random bitcoin hamyon manzillari (LuBian mining pool operatsion subyekti tomonidan boshqariladi, ehtimol Chen Zhi’ning Princely Group kompaniyasiga tegishli) o‘g‘irlangan katta miqdordagi bitcoin’larning kelib chiqishini izlab chiqdi, jami o‘g‘irlangan bitcoin soni 127272.06953176 dona bo‘lib, manbalari quyidagilar: mustaqil “mining” orqali taxminan 17 800 dona, mining pool ish haqi sifatida taxminan 2 300 dona va birja hamda boshqa kanallardan 107 100 dona, dastlabki natijalarga ko‘ra AQSh Adliya vazirligi ayblov xatida ko‘rsatilgan barcha noqonuniy daromad manbalaridan farq qiladi.

III. Zaiflik texnik tafsilotlari tahlili

1. Bitcoin hamyon manzili private key generatsiyasi:

LuBian mining pool zaifligining asosi shundaki, uning private key generatsiya qiluvchisi Libbitcoin Explorer’dagi “MilkSad” zaifligiga o‘xshash xatolikdan foydalanadi. Aniq qilib aytganda, tizim Mersenne Twister (MT19937-32) pseudo-random number generator’dan foydalanadi va faqat 32 bitli seed bilan ishga tushiriladi, natijada faqat 32 bitli entropiya mavjud bo‘ladi. Bu PRNG kriptografik jihatdan xavfsiz emas (non-cryptographic), oson bashorat qilinadi va teskari muhandislik qilinadi. Xakerlar barcha 32 bitli seed (0 dan 2^32-1 gacha) variantlarini ko‘rib chiqib, mos private key’ni yaratadi va u mos keladigan wallet manzili public key hash’ini tekshiradi.

Bitcoin ekotizimida private key generatsiyasi odatda quyidagicha: random seed → SHA-256 hash → ECDSA private key.

LuBian mining pool asosiy kutubxonasi ehtimol maxsus kod yoki ochiq manbali kutubxona (masalan, Libbitcoin) asosida ishlab chiqilgan, ammo entropiya xavfsizligi e’tiborga olinmagan. MilkSad zaifligi bilan o‘xshash jihati shundaki, Libbitcoin Explorer’dagi “bx seed” buyrug‘i ham MT19937-32 random number generator’dan foydalanadi va faqat timestamp yoki zaif kiruvchi sifatida seed oladi, natijada private key brute-force qilinishi mumkin. LuBian hujumida 5 000 dan ortiq wallet ta’sirlangan, bu esa tizimli zaiflik ekanini va wallet’larni ommaviy yaratishda koddan qayta foydalanilganini ko‘rsatadi.

2. Hujumni simulyatsiya qilish jarayoni:

(1) Maqsad wallet manzillarini aniqlash (on-chain’da LuBian mining pool faoliyatini kuzatish orqali);

(2) 32 bitli seed’larni ko‘rib chiqish: for seed in 0 to 4294967295;

(3) Private key yaratish: private_key = SHA256(seed);

(4) Public key va manzil hosil qilish: ECDSA SECP256k1 curve yordamida hisoblash;

(5) Moslik: Agar hosil qilingan manzil maqsadga mos kelsa, private key yordamida tranzaksiyani imzolash va mablag‘larni o‘g‘irlash;

O‘xshash zaifliklar bilan taqqoslash: Ushbu zaiflik Trust Wallet’dagi 32 bitli entropiya zaifligiga o‘xshaydi, bu ham bitcoin wallet manzillarining ommaviy buzilishiga olib kelgan; Libbitcoin Explorer’dagi “MilkSad” zaifligi ham past entropiya tufayli private key’ni fosh qilgan. Ushbu holatlar dastlabki kod kutubxonalaridagi muammolar natijasida yuzaga kelgan va BIP-39 standarti (12-24 so‘zli seed phrase, yuqori entropiya beradi) ishlatilmagan. LuBian mining pool ehtimol boshqaruvni soddalashtirish uchun maxsus algoritmdan foydalangan, ammo xavfsizlikni e’tibordan chetda qoldirgan.

Himoya yetishmasligi: LuBian mining pool multisig, hardware wallet yoki hierarchical deterministic wallet (HD wallets) kabi himoya choralarini joriy qilmagan, bu esa xavfsizlikni oshirgan bo‘lardi. On-chain ma’lumotlar ko‘rsatadiki, hujum bir nechta wallet’larni qamrab olgan, bu esa tizimli zaiflik ekanini bildiradi.

3. On-chain dalillar va tiklashga urinishlar:

OP_RETURN xabarlari: LuBian mining pool Bitcoin’ning OP_RETURN funksiyasi orqali 1 500 dan ortiq xabar yuborgan, 1.4 BTC sarflangan, xakerlardan mablag‘larni qaytarishni iltimos qilgan. Ushbu xabarlar blockchain’ga joylashtirilgan va haqiqiy egalar tomonidan yuborilganini isbotlaydi. Xabar namunalariga “Please return our funds” yoki shunga o‘xshash iltimoslar kiradi, bir nechta tranzaksiyalarda tarqatilgan.

4. Hujum bilan bog‘liq tahlil:

AQSh Adliya vazirligi AQSh mahalliy vaqti bilan 2025-yil 14-oktabrda Chen Zhi’ga qarshi jinoiy ayblov (ish raqami 1:25-cr-00416) e’lon qilgan va 25 ta bitcoin hamyon manzilini ko‘rsatgan, bu manzillar jami 127,271 BTC (taxminan 15 milliard AQSh dollari) saqlagan va musodara qilingan. Blockchain tahlili va rasmiy hujjatlarni ko‘rib chiqish natijasida, ushbu manzillar LuBian mining pool xakerlik hodisasi bilan yuqori darajada bog‘liq:

To‘g‘ridan-to‘g‘ri bog‘liqlik: Blockchain tahlili AQSh Adliya vazirligi ayblov xatidagi 25 ta manzil LuBian mining pool 2020-yilgi hujumida o‘g‘irlangan bitcoin’larning yakuniy manzillari ekanini ko‘rsatadi. Elliptic hisobotida bu bitcoin’lar 2020-yilda LuBian mining pool mining faoliyatidan “o‘g‘irlangan” deb qayd etilgan. Arkham Intelligence AQSh Adliya vazirligi musodara qilgan mablag‘lar to‘g‘ridan-to‘g‘ri LuBian mining pool o‘g‘irlik hodisasidan kelib chiqqanini tasdiqlagan.

Ayblov xatidagi dalillar: AQSh Adliya vazirligi ayblov xatida to‘g‘ridan-to‘g‘ri “LuBian hack” nomi keltirilmagan, ammo mablag‘lar “Eron va Xitoy bitcoin mining faoliyatidan o‘g‘irlangan hujum” natijasida kelib chiqqani aytilgan, bu esa Elliptic va Arkham Intelligence on-chain tahlillari bilan mos keladi.

Hujum harakati bog‘liqligi: Hujum usulidan kelib chiqib, LuBian mining pool katta miqdordagi bitcoin’lari 2020-yilda texnik hujum orqali o‘g‘irlangandan so‘ng, 4 yil davomida harakatsiz qolgan, faqat juda kichik chang tranzaksiyalar sodir bo‘lgan, 2024-yilda AQSh hukumati to‘liq nazoratiga o‘tguniga qadar deyarli harakatsiz, bu esa odatda xakerlarning tezda foyda olishga intilishiga zid bo‘lib, ko‘proq davlat darajasidagi xakerlar guruhi tomonidan amalga oshirilgan aniq harakatga o‘xshaydi. Tahlilga ko‘ra, AQSh hukumati ehtimol 2020-yil dekabridayoq ushbu bitcoin’larni nazorat qilgan.

IV. Ta’siri va tavsiyalar

LuBian mining pool 2020-yilgi xakerlik hodisasi chuqur ta’sir ko‘rsatdi, mining pool amalda tarqatib yuborildi, jami aktivlarning 90% dan ortig‘i yo‘qotildi, o‘g‘irlangan bitcoin’larning hozirgi qiymati esa 15 milliard AQSh dollariga yetdi, bu esa narx o‘zgarishining xavfni kuchaytirishini ko‘rsatadi.

LuBian mining pool hodisasi kriptovalyuta vositalar zanjirida random sonlar generatsiyasidagi tizimli xavfni ochib berdi. Shunga o‘xshash zaifliklarning oldini olish uchun blockchain sohasi kriptografik xavfsiz pseudo-random number generator (CSPRNG) ishlatishi, ko‘p qatlamli himoya, jumladan, multisig, cold storage va muntazam audit joriy qilishi, maxsus private key generatsiya algoritmlaridan voz kechishi, mining pool’lar esa real vaqtli on-chain monitoring va g‘ayrioddiy ko‘chirish signalizatsiya tizimini integratsiya qilishi lozim. Oddiy foydalanuvchilar esa ochiq manbali hamjamiyat tomonidan tekshirilmagan kalit generatsiya modullaridan foydalanishdan saqlanishlari kerak. Ushbu hodisa shuni ham eslatadiki, blockchain yuqori darajada shaffof bo‘lsa ham, xavfsizlik asoslari zaif bo‘lsa, halokatli oqibatlarga olib kelishi mumkin. Bu raqamli iqtisodiyot va raqamli valyutalar rivojlanishida kiberxavfsizlikning muhimligini ham ko‘rsatadi.