كيف تنقل الحكومة الأمريكية بيتكوين بقيمة 14 مليار دولار؟

عندما لا يتم إنشاء المفتاح الخاص بشكل عشوائي...

الكاتب: ChandlerZ، Foresight News

في 28 ديسمبر 2020، تم تفريغ ما يقرب من 127,000 بيتكوين من محفظة مرتبطة بمجمع التعدين الصيني Lubian خلال ساعتين فقط. حتى عام 2025، قامت مؤسسات البحث والاستخبارات غير الحكومية بتجميع الأدلة على السلسلة: هذه الأموال تتطابق مع نوع من المحافظ التي تم إنشاؤها بواسطة "عشوائية ضعيفة"؛ في أغسطس، كشفت Arkham Intelligence بشكل منهجي عن صورة Lubian المسروقة على السلسلة؛ في أكتوبر، رفع مكتب المدعي العام الفيدرالي للمنطقة الشرقية من نيويورك أكبر دعوى مصادرة مدنية للبيتكوين في التاريخ، مشيرًا إلى أن 127,271 BTC الآن تحت وصاية عناوين الحكومة الأمريكية، وذكر في الدعوى أن "Lubian هي شركة تعدين بيتكوين صينية"، وقائمة العناوين المرفقة في "Attachment A" تتطابق بدرجة كبيرة مع العينات غير الحكومية.

أحدث أبحاث فريق Milk Sad جمعت ووسعت قائمة "محافظ المفاتيح الخاصة الضعيفة" السابقة، حيث بلغ الرصيد الإجمالي لهذه المجموعة من المحافظ حوالي 136,951 BTC؛ منذ المعاملة 95384d1c..8617c9e2، تم نقل الأموال بكثافة خلال ساعتين فقط، مع رسوم ثابتة شائعة تبلغ 75,000 ساتوشي؛ وبعد عدة أيام تم تفريغها تقريبًا بالكامل. كما أشار البحث إلى أنه في ذلك اليوم لم تذهب جميع الأموال المسحوبة إلى المهاجم المشتبه به — حيث ذهب حوالي 9,500 BTC إلى عنوان دفع استمر Lubian في استخدامه.

لماذا ترتبط هذه المجموعة من العناوين بـ Lubian؟ في عام 2024، قام فريق البحث بربط بعض عناوين الاستلام بأنشطة تعدين Lubian من خلال علامات coinbase الخاصة بالمنقبين ("lubian.com"، "Buffett") وتقسيمات مجمع التعدين الكبيرة.

الجذر التقني: خطر منهجي ناجم عن "عشوائية ضعيفة"

يعزو فريق Milk Sad هذه المحافظ إلى ثغرة "Milk Sad" (CVE‑2023‑39910) في Libbitcoin Explorer (bx) 3.x: حيث يستخدم مولد الأرقام العشوائية الزائفة mt19937 (Mersenne Twister) كبذرة، مع فعالية عشوائية لا تتجاوز 32 بت، مما يجعل من الممكن تعداد أو استنتاج المفاتيح الخاصة. في يوليو 2025، اكتشف الباحثون نمط إزاحة PRNG مرة أخرى، موضحين سبب فقدان بعض المحافظ في البحث السابق، وقادرين على ربط محافظ تبدو متفرقة على السلسلة كمجموعة ذات حالة مشتركة.

لمساعدة القراء على فهم مدى شيوع "العشوائية الضعيفة"، يمكن مقارنة ذلك بحادثة أخرى موثقة على نطاق واسع: حيث تم استغلال Trust Wallet Core browser extension أيضًا بسبب مشكلة عشوائية 32 بت بين عامي 2022–2023 (CVE‑2023‑31290). كلتا الحالتين تبرزان: استخدام مولد أرقام عشوائية زائفة عام كمصدر عشوائي تشفير هو كارثة.

في 2 أغسطس 2025، نشرت Arkham Intelligence منشورًا طويلًا وصفحة إعلان، مشيرة إلى أن Lubian كانت تسيطر على ما يقرب من 6% من قوة الحوسبة على الشبكة في مايو 2020، وفي 28 ديسمبر 2020 تم نقل 127,426 BTC (حوالي 3.5 مليارات دولار حينها، وحوالي 14.5 مليارات دولار اليوم)؛

حددت Arkham وجود 1,516 معاملة OP_RETURN تم بثها، بتكلفة حوالي 1.4 BTC، تطلب "إعادة الأموال". هذا يشير إلى أن هذا ليس عمل مخترق كسر المفاتيح الخاصة بالقوة الغاشمة. كما ذكر أن LuBian يبدو أنه استخدم خوارزمية عرضة لهجمات القوة الغاشمة لإنشاء المفاتيح الخاصة. قد يكون هذا هو الثغرة التي استغلها المخترق.

في التحديث رقم 14، حدد فريق Milk Sad حوالي 20 عنوانًا ضعيفًا للمفاتيح الخاصة كان قد تم "إخفاؤها بالإزاحة" سابقًا، ونشر لأول مرة نصين مركبين كاملين لـ OP_RETURN (بما في ذلك "MSG from LB…"). كما حذر الفريق: مفاتيح هذه المحافظ قد تم تسريبها، "أي شخص يمكنه بث رسالة نيابة عنها"، ويجب التحقق من مصدر الأموال للحكم على صحة المعلومات.

المسار القضائي: كيف صاغت وزارة العدل "أكبر مصادرة في التاريخ"

في 14 أكتوبر، ذكر بيان صحفي للمدعي العام للمنطقة الشرقية من نيويورك أنه تم رفع دعوى مصادرة مدنية لحوالي 127,271 BTC، وأن هذه البيتكوين "كانت محفوظة سابقًا في محافظ غير وصائية يسيطر عليها المدعى عليه"، وهي الآن "تحت وصاية الحكومة الأمريكية". في نفس اليوم، أوضح نص الدعوى في قسم "الحقائق": "Lubian هي شركة تعدين بيتكوين صينية، وتعمل في الصين وإيران وغيرها." في نهاية الوثيقة، يسرد "Attachment A" قائمة العناوين صفحة بصفحة، والتي يمكن مطابقتها مع القائمة الجديدة لفريق Milk Sad (مثل 3Pja5F…، 338uPV…، 3B1u4P… إلخ).

من المهم جدًا الإشارة إلى أن: الوثائق الرسمية لم تكشف "كيف تم الحصول على السيطرة" — فقط أوضحت "أنها الآن تحت وصاية الحكومة الأمريكية / في عناوين معروفة للحكومة". لذلك، يجب على وسائل الإعلام تجنب اعتبار "سيطرة الحكومة على هذه العملات" بمثابة تأكيد تقني على "الحصول على المفاتيح الخاصة".

ومع ذلك، لا تزال هناك ثلاثة أسئلة لم يتم الإجابة عليها:

• أولاً: هل كانت عملية "التفريغ" في 28 ديسمبر 2020 سرقة أم شيء آخر؟ استخدم فريق Milk Sad رسوم المعاملات وإيقاع الكتل وغيرها لرسم صورة "غير طبيعية"؛ ومالت Arkham إلى أن "المفاتيح الخاصة الضعيفة تم استغلالها"؛ لكن التوصيف النهائي لا يزال بحاجة إلى تحديد قضائي.
• ثانيًا: كيف استولت الحكومة على هذه العملات؟ ذكرت وثائق الادعاء فقط أنها "كانت في محافظ غير وصائية يسيطر عليها المدعى عليه" و"الآن تحت وصاية الحكومة"؛ واستشهدت Wired بتحليل Elliptic لطرح بعض الفرضيات (مثل العلاقة بين "السرقة" السابقة ومسار الإنفاذ اللاحق)، لكنها تظل مجرد تكهنات صناعية وليست إفصاحات رسمية.
• ثالثًا: ماذا تعني التحركات اللاحقة؟ في 15 أكتوبر، تم نقل حوالي 9,757 BTC (حوالي 1.1 مليار دولار) من محفظة مرتبطة بـ Lubian مرة أخرى، مما أثار تفسيرات مختلفة مثل "النقل الآمن، ضغط البيع أو التصرف القضائي".

تعد حادثة Lubian مثالًا نادرًا على اكتمال الحلقة بين "التقنية — السلسلة — القضاء": تقنيًا، زرعت العشوائية الضعيفة مفاتيح خاصة يمكن تعدادها؛ وعلى السلسلة، سمح دفتر الحسابات العام للباحثين بإعادة بناء السياق بعد سنوات (إزاحة PRNG، بث OP_RETURN، معدلات الرسوم غير الطبيعية)؛ قضائيًا، كتب الادعاء حقيقة أن "Lubian هي شركة تعدين" في الدعوى، وأعلن "أنها الآن تحت وصاية الحكومة" في أكبر عملية مصادرة بيتكوين في التاريخ. على الرغم من أن أسئلة مثل "كيفية الاستيلاء على الأموال" و"ما إذا كانت هناك سرقة فعلية" لا تزال بحاجة إلى توضيح، إلا أن هذه الحادثة التي امتدت لخمس سنوات أصبحت بالفعل درسًا للصناعة: في عالم التشفير، العشوائية السيئة قد لا تقتلك فورًا، لكنها ستقتلك في النهاية.

عنقود 227,000 محفظة ضعيفة تلقائية

في يوليو 2025، أبلغ فريق Milk Sad في التحديث رقم 13 عن بحث جديد حول مجموعات ضخمة من محافظ العملات المشفرة الضعيفة، حيث كان حجمها أكبر بـ 85 مرة مما كان معروفًا سابقًا. وباستخدام طريقة بحث جديدة تعتمد على إزاحة PRNG، وسع الفريق العينات المعروفة في 2023 (~2,630 عينة) إلى 227,294 عنوانًا. يتميز هذا العنقود بآثار صناعية موحدة للغاية: شكل موحد BIP49 (يبدأ بالرقم 3)، مسار اشتقاق ثابت m/49'/0'/0'/0/0، إيداعات صغيرة لمرة واحدة بين 2018‑10‑03 و2018‑10‑08 (مبالغ شائعة 0.00019555/0.00000918/0.00000602 BTC)، تليها أنماط نقل متفرقة ومنتشرة. نقطة الاختراق التقنية هي أنه في كل عملية بذرة PRNG، يتم أخذ عدة مفاتيح خاصة متتالية (عادة 2، أحيانًا 18، وفي بعض الحالات أكثر من 100)، وليس كما في libbitcoin-explorer الضعيف حيث "يتم أخذ مفتاح واحد فقط لكل بذرة"، وهذا يفسر سبب فقدان بعض المحافظ في البحث المبكر. أشار الفريق أيضًا إلى أن الجهة التي أنشأت هذه المحافظ ربما لم تستخدم bx مباشرة، بل طورت أو عدلت منطقًا مشابهًا، لكن الجوهر لا يزال ضعف العشوائية في MT19937 (Mersenne Twister) الذي يؤدي إلى مفاتيح قابلة للتعداد.

ذكر فريق Milk Sad أنه حتى الآن، تمت سرقة الأموال المتبقية من قبل مهاجمين مجهولين. بدأ هذا في مايو 2023، لكنه حدث بشكل رئيسي بين ديسمبر 2023 ويناير 2025. أشك في أن هذه الأموال تم نقلها بشكل غير قانوني من قبل المهاجمين الذين كسروا حساب إزاحة مولد الأرقام العشوائية الزائفة (PRNG) وانتظروا فترات رسوم بيتكوين منخفضة لإجراء التحويلات. وكالعادة، من الصعب تحديد ما إذا كانت هذه المعاملات مصرح بها حتى يعلن المالك الحقيقي أنها سرقة، لذا يبقى هذا مجرد نظرية غير مؤكدة.

تأثير ذلك على المستخدمين العاديين هو: إذا كنت قد استخدمت libbitcoin‑explorer (bx) 3.0.0–3.6.0 لإنشاء عبارة استذكار (mnemonic) (المتعلقة بـ CVE‑2023‑39910)، فيجب اعتبارها عالية الخطورة: أنشئ عبارة جديدة في بيئة موثوقة (يفضل محفظة أجهزة أو عميل حديث) وقم بنقل جميع الأموال فورًا، ولا تنشئ أي عناوين جديدة باستخدام العبارة القديمة. لم تستخدم محافظ الأجهزة الرئيسية (مثل Trezor، Ledger) كود bx المتأثر، لكن استيراد عبارة ضعيفة إلى محفظة أجهزة والاستمرار في استخدامها لا يحل المشكلة. بالإضافة إلى ذلك، تعرض Trust Wallet browser extension لمشكلة عشوائية 32 بت في الإصدارات 0.0.172–0.0.182 (CVE‑2023‑31290)؛ إذا أنشأت عبارة استذكار خلال تلك الفترة، يوصى أيضًا بتغييرها ونقل الأموال.

خمس خطوات مختصرة: 1. تذكر مصدر عبارة الاستذكار (هل استخدمت bx seed أو سكريبت أو مولد ويب)؛ 2. تحقق مما إذا كنت تستخدم دائمًا عنوان BIP49 الرئيسي للاستلام (ليس شرطًا كافيًا، فقط كمرجع)؛ 3. قارن عناوينك الشائعة مع قائمة العناوين الضعيفة في مستودع بيانات Milk Sad دون اتصال؛ 4. إذا وجدت تطابقًا أو لم تستطع الاستبعاد، انقل الأموال فورًا ووزعها على دفعات وفقًا لأفضل ممارسات الخصوصية؛ 5. احتفظ بتوقيعات المعاملات وإثباتاتها للاستخدام في الدفاع عن الحقوق أو التبليغ.