¿Cómo transfiere el gobierno de Estados Unidos bitcoin por un valor de 14 mil millones de dólares?

Cuando la generación de la clave privada no es aleatoria...

Escrito por: ChandlerZ, Foresight News

El 28 de diciembre de 2020, cerca de 127,000 bitcoins fueron vaciados en dos horas de una wallet relacionada con el pool de minería chino Lubian. Hasta 2025, la investigación y el análisis forense en cadena de instituciones civiles conectaron las piezas: estos fondos coincidían con wallets generadas con “aleatoriedad débil”; en agosto, Arkham Intelligence divulgó sistemáticamente el perfil en cadena del robo a Lubian; en octubre, la Fiscalía Federal del Distrito Este de Nueva York presentó la mayor demanda civil de confiscación de bitcoin de la historia, afirmando que 127,271 BTC están ahora bajo custodia de direcciones del gobierno de EE. UU., y en la demanda se declara directamente que “Lubian es un negocio chino de minería de bitcoin”, con un anexo “Attachment A” que lista direcciones que coinciden en gran medida con las muestras civiles.

El equipo de investigación Milk Sad ha recopilado y ampliado la lista previa de “wallets de clave privada débil”, cuyo saldo total ronda los 136,951 BTC; desde la transacción 95384d1c..8617c9e2, en apenas dos horas hubo una salida masiva, con una comisión fija común de 75,000 sats; días después, casi todas las wallets quedaron vacías. El estudio también señala que no todos los fondos salientes ese día fueron a parar a los presuntos atacantes: unos 9,500 BTC se dirigieron a una dirección de pago que Lubian seguía utilizando.

¿Por qué estas direcciones están relacionadas con Lubian? El equipo de investigación ya en 2024 vinculó algunas direcciones receptoras con la actividad minera de Lubian mediante etiquetas de coinbase de mineros (“lubian.com”, “Buffett”) y la contabilidad de grandes pools.

Causa técnica: un riesgo sistémico provocado por la “aleatoriedad débil”

El equipo de investigación Milk Sad atribuye este tipo de wallets a la vulnerabilidad “Milk Sad” (CVE‑2023‑39910) de Libbitcoin Explorer (bx) 3.x: utiliza mt19937 (Mersenne Twister) como generador de números pseudoaleatorios, con una entropía efectiva de solo 32 bits, lo que permite enumerar o deducir la clave privada. En julio de 2025, los investigadores redescubrieron el patrón de offset del PRNG, explicando omisiones previas en la búsqueda y permitiendo agrupar wallets aparentemente dispersas en un mismo estado compartido en la cadena.

Para ayudar a los lectores a comprender la prevalencia de la “aleatoriedad débil”, se puede comparar con otro incidente ampliamente documentado: la extensión de navegador Trust Wallet Core también fue explotada entre 2022 y 2023 por el problema de entropía de 32 bits (CVE‑2023‑31290). Ambos casos destacan que usar generadores pseudoaleatorios comunes como fuente de aleatoriedad criptográfica es desastroso.

El 2 de agosto de 2025, Arkham Intelligence publicó un extenso hilo y una página de anuncio, señalando que Lubian controlaba cerca del 6% del hashrate global en mayo de 2020, y que el 28 de diciembre de 2020 se transfirieron 127,426 BTC (entonces unos 3.5 billions de dólares, hoy valorados en unos 14.5 billions de dólares);

Arkham identificó 1,516 transmisiones OP_RETURN, gastando unos 1.4 BTC, cuyo contenido solicitaba la “devolución de fondos”. Esto indica que no fue obra de un hacker que simplemente rompió la clave privada por fuerza bruta. También se menciona que LuBian aparentemente utilizó un algoritmo vulnerable a ataques de fuerza bruta para generar claves privadas, lo que podría haber sido explotado por los atacantes.

El equipo de investigación Milk Sad identificó en la Actualización #14 unas 20 direcciones de clave privada débil previamente “enmascaradas por offset”, y por primera vez publicó íntegramente dos mensajes sintéticos OP_RETURN (incluyendo “MSG from LB…”). También advierte: las claves privadas de estas wallets ya han sido filtradas, “cualquiera puede emitir transmisiones en su nombre”, por lo que es necesario verificar la fuente de los fondos para juzgar la veracidad de la información.

Acción judicial: ¿cómo se plasma la “mayor confiscación de la historia” del DOJ?

El 14 de octubre, la Fiscalía del Distrito Este de Nueva York anunció que había presentado una demanda civil para confiscar unos 127,271 BTC, que “anteriormente estaban almacenados en wallets no custodiadas bajo control del acusado” y que actualmente “están bajo custodia del gobierno de EE. UU.”. La demanda, desclasificada el mismo día, afirma en los “hechos” que “Lubian es un negocio chino de minería de bitcoin, con operaciones en China, Irán y otros lugares”. El anexo “Attachment A” lista direcciones que pueden cotejarse una a una con la nueva tabla del equipo de investigación Milk Sad (como 3Pja5F…, 338uPV…, 3B1u4P…, etc.).

Es importante señalar con cautela: los documentos oficiales no revelan “cómo se obtuvo el control” — solo aclaran que “actualmente están bajo custodia del gobierno / en direcciones conocidas por el gobierno”. Por tanto, los medios deben evitar equiparar “el gobierno controla estos fondos” con la afirmación técnica de “ya se obtuvo la clave privada”.

Sin embargo, aún quedan tres preguntas sin respuesta:

• Primero: ¿El vaciado del 28 de diciembre de 2020 fue realmente un robo, o algo más? El equipo Milk Sad perfila “anomalías” en las comisiones y el ritmo de los bloques; Arkham se inclina por “explotación de clave privada débil”; pero la calificación final debe ser determinada judicialmente.
• Segundo: ¿Cómo tomó el gobierno el control de estos fondos? Los documentos solo indican que “anteriormente estaban en wallets no custodiadas bajo control del acusado” y “ahora bajo custodia gubernamental”; Wired cita el análisis de Elliptic con varias hipótesis (como la posible conexión entre el “robo” previo y la posterior acción policial), pero todas son conjeturas del sector, no información oficial.
• Tercero: ¿Qué significan los movimientos posteriores? El 15 de octubre, una wallet etiquetada como relacionada con Lubian transfirió nuevamente unos 9,757 BTC (unos 1.1 billions de dólares), generando interpretaciones diversas sobre “migración segura, presión de venta o acción judicial”.

El caso Lubian es un raro ejemplo de cierre de ciclo “tecnología — cadena — justicia”: técnicamente, la aleatoriedad débil permitió claves privadas enumerables; en la cadena, el libro mayor público permitió a los investigadores reconstruir la historia años después (offset del PRNG, transmisiones OP_RETURN, comisiones anómalas); judicialmente, la fiscalía incluyó el hecho de que “Lubian es un negocio de minería” en la demanda y anunció la mayor confiscación de bitcoin de la historia como “actualmente bajo custodia gubernamental”. Aunque aún quedan por aclarar cuestiones como “cómo se tomó el control de los fondos” o “si realmente hubo un robo”, este caso de cinco años ya es material didáctico para la industria: en el mundo cripto, la mala aleatoriedad no mata de inmediato, pero tarde o temprano lo hará.

227,000 clusters automatizados de wallets débiles

En julio de 2025, el equipo de investigación Milk Sad informó en la Actualización #13 sobre un nuevo estudio de grandes clusters de wallets criptográficas débiles, con una escala 85 veces mayor que lo conocido previamente. Basándose en un nuevo método de búsqueda de offset del PRNG, ampliaron los ~2,630 ejemplos conocidos en 2023 a 227,294 direcciones. Este cluster muestra claros signos de industrialización: formato unificado BIP49 (comenzando con 3), ruta de derivación fija m/49'/0'/0'/0/0, depósitos únicos pequeños concentrados entre el 3 y el 8 de octubre de 2018 (denominaciones comunes de 0.00019555/0.00000918/0.00000602 BTC), seguidos de movimientos dispersos de fondos. El avance técnico radica en que una sola siembra del PRNG genera varias claves privadas en secuencia (comúnmente 2, a veces 18, y en casos excepcionales más de 100), a diferencia del libbitcoin-explorer vulnerable, que solo generaba una por siembra, lo que explica las omisiones en búsquedas anteriores. El equipo de investigación señala además que el generador probablemente no era bx directamente, sino una herramienta propia o modificada con lógica similar, pero la causa sigue siendo la baja entropía de MT19937 (Mersenne Twister) que permite claves enumerables.

El equipo Milk Sad afirma que, hasta ahora, los fondos restantes han sido robados por atacantes desconocidos. Esto comenzó en mayo de 2023, pero la mayor parte ocurrió entre diciembre de 2023 y enero de 2025. Sospecho que estos fondos fueron transferidos ilegalmente por los atacantes, quienes descifraron el cálculo de offset del generador de números pseudoaleatorios (PRNG) y esperaron períodos de bajas comisiones para moverlos. Como siempre, mientras los verdaderos propietarios no declaren públicamente que fue un robo, es difícil determinar si estas transacciones fueron autorizadas, por lo que esto sigue siendo solo una teoría no confirmada.

El impacto para los usuarios comunes es que, si alguna vez generaron una frase semilla con libbitcoin‑explorer (bx) 3.0.0–3.6.0 (correspondiente a CVE‑2023‑39910), deben considerarla de alto riesgo: generen inmediatamente una nueva semilla en un entorno confiable (se recomienda hardware wallet o cliente moderno) y migren todos los fondos, sin crear nuevas direcciones con la semilla antigua. Las hardware wallets principales (como Trezor, Ledger) no usan el código bx afectado, pero importar una semilla vulnerable y seguir usándola tampoco soluciona el problema. Además, la extensión de navegador Trust Wallet expuso el problema de entropía de 32 bits en las versiones 0.0.172–0.0.182 (CVE‑2023‑31290); si generaste una frase semilla en ese periodo, también se recomienda migrar.

Cinco pasos resumidos: 1. Recuerda cómo generaste tu frase semilla (¿usaste bx seed, scripts o generadores web?); 2. Verifica si solo has usado la primera dirección BIP49 para recibir fondos (no es condición suficiente, solo referencia); 3. Compara tus direcciones habituales con la lista de direcciones débiles del repositorio de datos Milk Sad de forma offline; 4. Si hay coincidencia o no puedes descartarlo, migra inmediatamente y transfiere en lotes siguiendo las mejores prácticas de privacidad; 5. Conserva firmas y comprobantes de transacción para posibles reclamaciones o denuncias.