Báo cáo phân tích truy vết kỹ thuật về sự cố LuBian Mining Pool bị hacker tấn công và đánh cắp lượng lớn bitcoin

Nguồn: Trung tâm Ứng phó Khẩn cấp Virus Máy tính Quốc gia

Vào ngày 29 tháng 12 năm 2020, LuBian mining pool đã xảy ra một vụ tấn công hacker nghiêm trọng, tổng cộng 127272.06953176 Bitcoin (giá trị thị trường lúc đó khoảng 3.5 tỷ USD, hiện tại đã đạt 15 tỷ USD) đã bị kẻ tấn công đánh cắp. Chủ sở hữu của số lượng lớn Bitcoin này chính là Chen Zhi, Chủ tịch Prince Group của Campuchia. Sau khi vụ tấn công xảy ra, Chen Zhi và Prince Group đã nhiều lần đăng thông điệp trên blockchain vào đầu năm 2021 và tháng 7 năm 2022, kêu gọi hacker trả lại số Bitcoin bị đánh cắp và sẵn sàng trả tiền chuộc, nhưng không nhận được bất kỳ phản hồi nào. Tuy nhiên, điều kỳ lạ là sau khi bị đánh cắp, số lượng lớn Bitcoin này đã nằm yên trong ví do kẻ tấn công kiểm soát suốt 4 năm, gần như không bị động đến, điều này rõ ràng không phù hợp với hành vi thông thường của hacker muốn nhanh chóng hiện thực hóa lợi ích, mà giống như một hành động chính xác do “tổ chức hacker cấp quốc gia” điều khiển. Mãi đến tháng 6 năm 2024, số Bitcoin bị đánh cắp này mới được chuyển sang địa chỉ ví Bitcoin mới và đến nay vẫn chưa bị động đến.

Ngày 14 tháng 10 năm 2025, Bộ Tư pháp Hoa Kỳ thông báo khởi tố hình sự đối với Chen Zhi và tuyên bố tịch thu 127,000 Bitcoin của Chen Zhi và Prince Group. Nhiều bằng chứng cho thấy, số lượng lớn Bitcoin mà chính phủ Hoa Kỳ tịch thu từ Chen Zhi và Prince Group chính là số Bitcoin của LuBian mining pool đã bị hacker đánh cắp từ năm 2020 bằng các biện pháp kỹ thuật. Nói cách khác, chính phủ Hoa Kỳ có thể đã sử dụng kỹ thuật hacker để đánh cắp 127,000 Bitcoin của Chen Zhi từ năm 2020, đây là một vụ “hắc ăn hắc” điển hình do tổ chức hacker cấp quốc gia điều khiển. Báo cáo này sẽ phân tích sâu các chi tiết kỹ thuật then chốt của sự kiện từ góc độ kỹ thuật, tập trung làm rõ nguồn gốc và quá trình bị đánh cắp của số Bitcoin này, tái hiện đầy đủ dòng thời gian tấn công, đánh giá cơ chế an toàn của Bitcoin, nhằm cung cấp những bài học quý giá về an ninh cho ngành công nghiệp tiền mã hóa và người dùng.

I. Bối cảnh sự kiện

LuBian mining pool được thành lập vào đầu năm 2020, là một mining pool Bitcoin phát triển nhanh chóng, chủ yếu hoạt động tại Trung Quốc và Iran. Tháng 12 năm 2020, LuBian mining pool đã bị tấn công quy mô lớn, dẫn đến hơn 90% lượng Bitcoin nắm giữ bị đánh cắp. Tổng số bị đánh cắp là 127272.06953176BTC, gần như trùng khớp với con số 127271BTC được nêu trong cáo trạng của Bộ Tư pháp Hoa Kỳ.

Mô hình vận hành của LuBian mining pool bao gồm lưu trữ và phân phối tập trung phần thưởng đào. Bitcoin trong địa chỉ mining pool không được lưu trữ tại sàn giao dịch tập trung chịu sự quản lý, mà nằm trong ví không lưu ký. Về mặt kỹ thuật, ví không lưu ký (còn gọi là ví lạnh hoặc ví phần cứng) được coi là nơi trú ẩn cuối cùng của tài sản mã hóa, không giống như tài khoản sàn có thể bị đóng băng bởi lệnh pháp lý, mà giống như két sắt ngân hàng chỉ thuộc về chủ sở hữu, khóa (private key) chỉ nằm trong tay chủ sở hữu.

Bitcoin là tiền mã hóa, địa chỉ on-chain dùng để xác định quyền sở hữu và dòng chảy tài sản Bitcoin, ai nắm private key của địa chỉ on-chain sẽ kiểm soát hoàn toàn số Bitcoin trong địa chỉ đó. Theo báo cáo của các tổ chức phân tích on-chain, số lượng lớn Bitcoin của Chen Zhi do chính phủ Hoa Kỳ kiểm soát trùng khớp cao với sự kiện LuBian mining pool bị tấn công. Dữ liệu on-chain ghi nhận, vào ngày 29 tháng 12 năm 2020 (giờ Bắc Kinh), địa chỉ ví Bitcoin cốt lõi của LuBian đã có chuyển khoản bất thường, tổng số chuyển là 127272.06953176BTC, gần như trùng khớp với con số 127271BTC trong cáo trạng của Bộ Tư pháp Hoa Kỳ. Sau khi bị chuyển bất thường, số Bitcoin bị đánh cắp này đã nằm yên đến tháng 6 năm 2024. Từ ngày 22 tháng 6 đến 23 tháng 7 năm 2024 (giờ Bắc Kinh), số Bitcoin bị đánh cắp này lại được chuyển sang địa chỉ on-chain mới, đến nay vẫn chưa bị động đến. Nền tảng theo dõi blockchain nổi tiếng của Mỹ ARKHAM đã đánh dấu các địa chỉ cuối cùng này là do chính phủ Hoa Kỳ nắm giữ. Hiện tại, trong cáo trạng, chính phủ Hoa Kỳ chưa công bố cách họ lấy được private key của địa chỉ Bitcoin số lượng lớn của Chen Zhi.

Hình 1: Dòng thời gian các hoạt động then chốt

II. Phân tích chuỗi tấn công

Như đã biết, trong thế giới blockchain, số ngẫu nhiên là nền tảng của bảo mật mã hóa. Bitcoin sử dụng công nghệ mã hóa bất đối xứng, private key của Bitcoin là một chuỗi số nhị phân 256 bit ngẫu nhiên, số lần thử lý thuyết để phá là 2^256, gần như không thể. Nhưng nếu chuỗi private key 256 bit này không hoàn toàn ngẫu nhiên, ví dụ chỉ có 32 bit là ngẫu nhiên còn 224 bit có quy luật, thì độ mạnh của private key sẽ giảm rất nhiều, chỉ cần thử 2^32 (khoảng 4.29 tỷ) lần là có thể brute-force. Ví dụ, tháng 9 năm 2022, market maker tiền mã hóa của Anh là Wintermute đã bị đánh cắp 160 triệu USD do lỗ hổng số ngẫu nhiên giả tương tự.

Tháng 8 năm 2023, nhóm nghiên cứu bảo mật nước ngoài MilkSad lần đầu công bố phát hiện một công cụ tạo khóa bên thứ ba có lỗ hổng trình tạo số ngẫu nhiên giả (PRNG), và đã được cấp mã CVE (CVE-2023-39910). Trong báo cáo nghiên cứu của nhóm này có đề cập, LuBian mining pool có lỗ hổng tương tự, trong các địa chỉ Bitcoin mining pool bị hacker tấn công mà họ công bố, bao gồm toàn bộ 25 địa chỉ Bitcoin trong cáo trạng của Bộ Tư pháp Hoa Kỳ.

Hình 2: Danh sách 25 địa chỉ ví Bitcoin trong cáo trạng của Bộ Tư pháp Hoa Kỳ

LuBian mining pool là hệ thống ví không lưu ký, các địa chỉ ví Bitcoin trên đó dựa vào thuật toán tạo private key tùy chỉnh để quản lý tiền, việc tạo private key không dùng chuẩn số nhị phân ngẫu nhiên 256 bit được khuyến nghị, mà chỉ dựa vào số nhị phân ngẫu nhiên 32 bit, thuật toán này có lỗ hổng chí mạng: chỉ dựa vào timestamp hoặc đầu vào yếu làm seed cho “trình tạo số ngẫu nhiên giả” Mersenne Twister (MT19937-32), một PRNG tương đương với tính ngẫu nhiên của một số nguyên 4 byte, trong tính toán hiện đại có thể brute-force hiệu quả. Về mặt toán học, xác suất phá là 1/2^32, ví dụ, nếu script tấn công thử 10^6 khóa mỗi giây, thì thời gian phá khoảng 4200 giây (chỉ khoảng 1.17 giờ). Trong thực tế, các công cụ tối ưu như Hashcat hoặc script tùy chỉnh có thể tăng tốc hơn nữa. Kẻ tấn công đã lợi dụng lỗ hổng này để đánh cắp lượng lớn Bitcoin của LuBian mining pool.

Hình 3: Bảng so sánh lỗ hổng giữa LuBian mining pool và tiêu chuẩn an toàn ngành

Theo truy vết kỹ thuật, dòng thời gian đầy đủ và chi tiết liên quan đến vụ tấn công LuBian mining pool như sau:

1. Giai đoạn tấn công đánh cắp: Ngày 29 tháng 12 năm 2020 (giờ Bắc Kinh)

Sự kiện: Hacker lợi dụng lỗ hổng số ngẫu nhiên giả trong quá trình tạo private key của địa chỉ ví Bitcoin của LuBian mining pool, brute-force hơn 5,000 địa chỉ ví yếu (loại ví: P2WPKH-nested-in-P2SH, tiền tố 3). Trong khoảng 2 giờ, khoảng 127272.06953176BTC (giá trị lúc đó khoảng 3.5 tỷ USD) đã bị rút sạch khỏi các địa chỉ này, chỉ còn lại dưới 200BTC. Tất cả các giao dịch đáng ngờ đều có phí giao dịch giống nhau, cho thấy cuộc tấn công được thực hiện bằng script tự động chuyển hàng loạt.

Bên gửi: Nhóm địa chỉ ví Bitcoin yếu của LuBian mining pool (do thực thể vận hành LuBian mining pool kiểm soát, thuộc Prince Group của Chen Zhi);

Bên nhận: Nhóm địa chỉ ví Bitcoin do hacker kiểm soát (địa chỉ chưa công khai);

Đường chuyển: Nhóm địa chỉ ví yếu → Nhóm địa chỉ ví hacker;

Phân tích liên quan: Tổng số bị đánh cắp là 127272.06953176BTC, gần như trùng khớp với con số 127271BTC trong cáo trạng của Bộ Tư pháp Hoa Kỳ.

2. Giai đoạn ngủ đông: Từ ngày 30 tháng 12 năm 2020 đến ngày 22 tháng 6 năm 2024 (giờ Bắc Kinh)

Sự kiện: Số Bitcoin này sau khi bị đánh cắp qua lỗ hổng số ngẫu nhiên giả đã nằm trong ví do hacker kiểm soát suốt 4 năm, ở trạng thái ngủ đông, chỉ có một số giao dịch bụi nhỏ có thể dùng để thử nghiệm.

Phân tích liên quan: Số Bitcoin này gần như không bị động đến cho đến trước khi bị chính phủ Hoa Kỳ tiếp quản toàn bộ vào ngày 22 tháng 6 năm 2024, điều này rõ ràng không phù hợp với bản chất của hacker thông thường là muốn nhanh chóng hiện thực hóa lợi ích, mà giống như một hành động chính xác do tổ chức hacker cấp quốc gia điều khiển.

3. Giai đoạn thử phục hồi: Đầu năm 2021, ngày 4 và 26 tháng 7 năm 2022 (giờ Bắc Kinh)

Sự kiện: Sau khi bị đánh cắp, trong thời gian ngủ đông, đầu năm 2021, LuBian mining pool đã gửi hơn 1,500 thông điệp qua chức năng Bitcoin OP_RETURN (tiêu tốn khoảng 1.4 BTC phí giao dịch), nhúng vào vùng dữ liệu blockchain, khẩn cầu hacker trả lại tiền. Ví dụ thông điệp: “Please return our funds, we'll pay a reward”. Ngày 4 và 26 tháng 7 năm 2022, LuBian mining pool lại gửi thông điệp qua OP_RETURN, ví dụ: “MSG from LB. To the whitehat who is saving our asset, you can contact us through to discuss the return of asset and your reward.”

Bên gửi: Địa chỉ ví Bitcoin yếu của Lubian (do thực thể vận hành Lubian mining pool kiểm soát, thuộc Prince Group của Chen Zhi);

Bên nhận: Nhóm địa chỉ ví Bitcoin do hacker kiểm soát;

Đường chuyển: Nhóm địa chỉ ví yếu → Nhóm địa chỉ ví hacker; giao dịch nhỏ nhúng OP_RETURN);

Phân tích liên quan: Sau khi bị đánh cắp, các thông điệp này xác nhận Lubian mining pool đã nhiều lần cố gắng liên hệ “hacker bên thứ ba”, yêu cầu trả lại tài sản và thương lượng tiền chuộc.

4. Giai đoạn kích hoạt và chuyển tiếp: Từ ngày 22 tháng 6 đến 23 tháng 7 năm 2024 (giờ Bắc Kinh)

Sự kiện: Số Bitcoin trong nhóm địa chỉ ví do hacker kiểm soát được kích hoạt khỏi trạng thái ngủ đông, chuyển sang địa chỉ ví Bitcoin cuối cùng. Địa chỉ ví cuối cùng này đã được nền tảng theo dõi blockchain nổi tiếng của Mỹ ARKHAM đánh dấu là do chính phủ Hoa Kỳ nắm giữ.

Bên gửi: Nhóm địa chỉ ví Bitcoin do hacker kiểm soát;

Bên nhận: Nhóm địa chỉ ví cuối cùng mới tích hợp (chưa công khai, nhưng xác nhận là nhóm ví do chính phủ Hoa Kỳ kiểm soát)

Đường chuyển: Nhóm địa chỉ ví do hacker kiểm soát → Nhóm địa chỉ ví do chính phủ Hoa Kỳ kiểm soát;

Phân tích liên quan: Số lượng lớn Bitcoin bị đánh cắp này, sau 4 năm gần như không bị động đến, cuối cùng đã bị chính phủ Hoa Kỳ kiểm soát.

5. Giai đoạn thông báo tịch thu: Ngày 14 tháng 10 năm 2025 (giờ địa phương Hoa Kỳ)

Sự kiện: Bộ Tư pháp Hoa Kỳ ra thông báo, tuyên bố khởi tố Chen Zhi và “tịch thu” 127,000 Bitcoin mà ông nắm giữ.

Đồng thời, thông qua cơ chế công khai của blockchain, toàn bộ lịch sử giao dịch Bitcoin đều có thể truy vết công khai. Theo đó, báo cáo này đã truy vết nguồn gốc số lượng lớn Bitcoin bị đánh cắp từ địa chỉ ví Bitcoin yếu của LuBian (do thực thể vận hành LuBian mining pool kiểm soát, có thể thuộc Prince Group của Chen Zhi), tổng số bị đánh cắp là 127272.06953176 Bitcoin, nguồn gốc bao gồm: đào độc lập khoảng 17,800 Bitcoin, thu nhập lương mining pool khoảng 2,300 Bitcoin và từ sàn giao dịch cùng các kênh khác là 107,100 Bitcoin, kết quả sơ bộ cho thấy không hoàn toàn trùng khớp với cáo trạng của Bộ Tư pháp Hoa Kỳ khi cho rằng toàn bộ đều từ thu nhập bất hợp pháp.

III. Phân tích chi tiết kỹ thuật lỗ hổng

1. Tạo private key địa chỉ ví Bitcoin:

Lỗ hổng cốt lõi của LuBian mining pool nằm ở trình tạo private key sử dụng lỗ hổng “MilkSad” tương tự trong Libbitcoin Explorer. Cụ thể, hệ thống này sử dụng trình tạo số ngẫu nhiên giả Mersenne Twister (MT19937-32), chỉ khởi tạo bằng seed 32 bit, dẫn đến entropy hiệu quả chỉ là 32 bit. PRNG này không an toàn về mặt mã hóa (non-cryptographic), dễ dự đoán và đảo ngược. Hacker có thể liệt kê tất cả các seed 32 bit (từ 0 đến 2^32-1), tạo private key tương ứng và kiểm tra xem có khớp với public key hash của địa chỉ ví đã biết không.

Trong hệ sinh thái Bitcoin, quá trình tạo private key thường là: seed ngẫu nhiên → SHA-256 hash → ECDSA private key.

Thư viện nền tảng của LuBian mining pool có thể dựa trên code tùy chỉnh hoặc thư viện mã nguồn mở (như Libbitcoin), nhưng đã bỏ qua vấn đề an toàn entropy. Tương tự lỗ hổng MilkSad, lệnh “bx seed” của Libbitcoin Explorer cũng dùng trình tạo số ngẫu nhiên MT19937-32, chỉ dựa vào timestamp hoặc đầu vào yếu làm seed, khiến private key dễ bị brute-force. Trong sự kiện tấn công LuBian, hơn 5,000 ví bị ảnh hưởng, cho thấy lỗ hổng là hệ thống, có thể do tái sử dụng code khi tạo hàng loạt ví.

2. Quy trình mô phỏng tấn công:

(1) Xác định địa chỉ ví mục tiêu (theo dõi hoạt động của LuBian mining pool trên chain);

(2) Liệt kê seed 32 bit: for seed in 0 to 4294967295;

(3) Tạo private key: private_key = SHA256(seed);

(4) Dẫn xuất public key và địa chỉ: sử dụng đường cong ECDSA SECP256k1;

(5) So khớp: nếu địa chỉ dẫn xuất trùng với mục tiêu, dùng private key ký giao dịch để đánh cắp tiền;

So sánh với lỗ hổng tương tự: Lỗ hổng này giống với lỗi entropy 32 bit của Trust Wallet, từng dẫn đến việc phá hàng loạt địa chỉ ví Bitcoin; lỗ hổng “MilkSad” của Libbitcoin Explorer cũng lộ private key do entropy thấp. Các trường hợp này đều xuất phát từ vấn đề tồn đọng của codebase cũ, không dùng chuẩn BIP-39 (cụm từ seed 12-24 từ, cung cấp entropy cao). LuBian mining pool có thể đã sử dụng thuật toán tùy chỉnh để đơn giản hóa quản lý, nhưng bỏ qua an toàn.

Thiếu phòng thủ: LuBian mining pool không triển khai multisig, ví phần cứng hoặc ví HD, những biện pháp này đều có thể tăng cường an toàn. Dữ liệu on-chain cho thấy cuộc tấn công bao phủ nhiều ví, chứng tỏ lỗ hổng hệ thống chứ không phải lỗi đơn lẻ.

3. Bằng chứng on-chain và nỗ lực phục hồi:

Thông điệp OP_RETURN: LuBian mining pool đã gửi hơn 1,500 thông điệp qua chức năng OP_RETURN của Bitcoin, tiêu tốn 1.4 BTC, khẩn cầu hacker trả lại tiền. Các thông điệp này được nhúng vào blockchain, chứng minh là hành động của chủ sở hữu thực sự, không phải giả mạo. Ví dụ thông điệp gồm “please return funds” hoặc lời khẩn cầu tương tự, phân bố ở nhiều giao dịch.

4. Phân tích liên quan đến tấn công:

Bộ Tư pháp Hoa Kỳ vào ngày 14 tháng 10 năm 2025 (giờ địa phương Hoa Kỳ) trong cáo trạng hình sự đối với Chen Zhi (số vụ 1:25-cr-00416) đã liệt kê 25 địa chỉ ví Bitcoin, các địa chỉ này nắm giữ khoảng 127,271 BTC, tổng giá trị khoảng 15 tỷ USD, và đã bị tịch thu. Qua phân tích blockchain và kiểm tra tài liệu chính thức, các địa chỉ này có liên quan chặt chẽ đến sự kiện LuBian mining pool bị tấn công:

Liên quan trực tiếp: Phân tích blockchain cho thấy 25 địa chỉ trong cáo trạng của Bộ Tư pháp Hoa Kỳ chính là địa chỉ cuối cùng nắm giữ số Bitcoin bị đánh cắp trong vụ tấn công LuBian mining pool năm 2020. Báo cáo của Elliptic chỉ ra, số Bitcoin này đã bị “đánh cắp” từ hoạt động mining của LuBian mining pool năm 2020. Arkham Intelligence xác nhận, số tiền bị Bộ Tư pháp Hoa Kỳ tịch thu xuất phát trực tiếp từ vụ trộm LuBian mining pool.

Liên quan bằng chứng cáo trạng: Dù cáo trạng của Bộ Tư pháp Hoa Kỳ không trực tiếp nêu tên “LuBian hack”, nhưng có đề cập nguồn tiền là từ “các cuộc tấn công đánh cắp mining Bitcoin tại Iran và Trung Quốc”, trùng khớp với phân tích on-chain của Elliptic và Arkham Intelligence.

Liên quan hành vi tấn công: Xét về phương thức tấn công, số lượng lớn Bitcoin của LuBian mining pool sau khi bị đánh cắp bằng kỹ thuật từ năm 2020 đã ngủ đông 4 năm, chỉ có một số giao dịch bụi nhỏ, cho đến khi bị chính phủ Hoa Kỳ tiếp quản toàn bộ vào năm 2024 gần như không bị động đến, không phù hợp với bản chất hacker thông thường, mà giống như một hành động chính xác do tổ chức hacker cấp quốc gia điều khiển, phân tích cho rằng chính phủ Hoa Kỳ có thể đã kiểm soát số Bitcoin này từ tháng 12 năm 2020.

IV. Ảnh hưởng và khuyến nghị

Sự kiện LuBian mining pool bị tấn công năm 2020 có ảnh hưởng sâu rộng, dẫn đến mining pool thực tế bị giải thể, thiệt hại hơn 90% tổng tài sản lúc đó, số Bitcoin bị đánh cắp hiện đã tăng giá lên 15 tỷ USD, cho thấy biến động giá làm tăng rủi ro.

Sự kiện LuBian mining pool đã phơi bày rủi ro hệ thống trong chuỗi công cụ tiền mã hóa về tạo số ngẫu nhiên. Để phòng tránh lỗ hổng tương tự, ngành blockchain nên sử dụng trình tạo số ngẫu nhiên giả an toàn mã hóa (CSPRNG); triển khai phòng thủ nhiều lớp, bao gồm multisig, lưu trữ lạnh và kiểm toán định kỳ, tránh dùng thuật toán tạo private key tùy chỉnh; mining pool cần tích hợp hệ thống giám sát on-chain thời gian thực và cảnh báo chuyển khoản bất thường. Người dùng phổ thông nên tránh sử dụng module tạo khóa chưa được kiểm chứng từ cộng đồng mã nguồn mở. Sự kiện này cũng nhắc nhở chúng ta, dù blockchain rất minh bạch, nền tảng an toàn yếu vẫn có thể gây hậu quả thảm khốc. Đồng thời thể hiện tầm quan trọng của an ninh mạng trong sự phát triển kinh tế số và tiền tệ số tương lai.