Kunci Pribadi Bitcoin senilai $15 Miliar Secara Tidak Sengaja Bocor, Menyebabkan Peretasan

Pada Oktober 2025, Pengadilan Distrik Timur New York mengungkap kasus penyitaan cryptocurrency dengan skala yang belum pernah terjadi sebelumnya, di mana pemerintah AS menyita 127.271 bitcoin, senilai sekitar 15 miliar dolar AS berdasarkan harga pasar.

Co-founder Cobo, Fish God, menyatakan bahwa lembaga penegak hukum tidak memperoleh private key melalui peretasan atau pembobolan secara paksa, melainkan dengan mengeksploitasi kerentanan pada proses randomisasi. Beberapa forum juga mengklaim bahwa lembaga penegak hukum secara langsung menyita mnemonic phrase atau file private key dari server dan hardware wallet yang dikendalikan oleh eksekutif Prince Group, Chen Zhi, dan keluarganya, namun fakta spesifiknya belum dilaporkan secara publik.

Hardware wallet tersebut kemudian dipindahkan ke cold storage multi-signature yang dikelola oleh U.S. Marshals Service (USMS) di bawah Departemen Keuangan AS. Transfer 9.757 BTC ke alamat kustodian resmi pada 15 Oktober 2025, yang ditandatangani oleh USMS, berasal dari sini. Departemen Kehakiman AS menggambarkan Lubian sebagai bagian dari jaringan pencucian uang Prince Group Kamboja dalam dakwaan, menekankan bahwa kelompok kriminal tersebut mencoba mencuci dana hasil penipuan melalui koin "baru ditambang" yang diperoleh dari mining pool.

Beberapa anggota komunitas melacak data on-chain dan menyimpulkan bahwa ini adalah batch bitcoin yang sebelumnya dicuri akibat kerentanan pada mining pool Lubian di akhir tahun 2020. Mining pool Lubian tiba-tiba muncul pada tahun 2020 tanpa informasi latar belakang tim atau model operasional yang diungkapkan, namun hashrate-nya dengan cepat naik ke 10 besar dunia dalam beberapa bulan, bahkan sempat menyumbang hampir 6% dari total hashrate dunia.

Laporan tersebut menyebutkan bahwa Chen Zhi membanggakan kepada orang lain di Prince Group tentang "keuntungan besar karena tidak ada biaya," namun masih belum jelas apakah ini didirikan oleh Chen Zhi atau dikendalikan kemudian. Namun, kasus ini telah membawa kembali whale yang sebelumnya tidak aktif ke permukaan, mendorong peninjauan ulang terhadap bencana keamanan private key wallet yang mengintai di akhir tahun 2020.

Setelah penyelidikan lebih lanjut oleh para peneliti, dua kata pertama dalam mnemonic phrase yang menggunakan proses pembuatan key yang cacat adalah "Milk Sad," sehingga peristiwa ini disebut sebagai peristiwa Milk Sad.

Bahaya RNG Lemah

Dan semua ini berawal dari Mersenne Twister MT19937-32, sebuah generator angka acak semu.

Private key Bitcoin seharusnya terdiri dari angka acak 256-bit, secara teori memiliki 2^256 kemungkinan kombinasi. Untuk menghasilkan urutan yang benar-benar konsisten, seseorang harus mendapatkan kecocokan sempurna dalam 256 "lemparan koin," dan meskipun probabilitasnya tidak benar-benar nol, namun sangat mendekati nol. Keamanan wallet tidak bergantung pada keberuntungan, melainkan pada ruang kemungkinan yang sangat besar ini.

Namun, generator angka acak Mersenne Twister MT19937-32 yang digunakan oleh alat seperti mining pool Lubian bukanlah "mesin lempar koin" yang benar-benar adil, melainkan berperilaku seperti perangkat yang macet dan terus-menerus memilih angka dalam rentang yang terbatas dan dapat diprediksi.

Setelah hacker memahami pola ini, mereka dapat dengan cepat mengenumerasi semua kemungkinan private key lemah melalui brute force, sehingga dapat membuka wallet Bitcoin yang bersangkutan.

Karena kesalahpahaman tentang keamanan oleh beberapa pengguna wallet atau mining pool, dari tahun 2019 hingga 2020, sejumlah besar kekayaan terakumulasi dalam wallet Bitcoin yang dihasilkan menggunakan "algoritma acak lemah" ini, menyebabkan arus dana besar masuk ke rentang yang rentan ini.

Menurut statistik tim Milk Sad, antara tahun 2019 dan 2020, total kepemilikan Bitcoin di wallet dengan key lemah ini sempat melebihi 53.500 koin.

Sumber dana tersebut termasuk transfer terpusat level whale. Pada April 2019, empat wallet lemah menerima sekitar 24.999 bitcoin dalam waktu singkat. Ada juga reward mining harian, dengan beberapa alamat menerima lebih dari 14.000 bitcoin yang ditandai sebagai reward miner "lubian.com" dalam satu tahun. Wallet-wallet ini kini diketahui berjumlah 220.000, dan para pemiliknya tampaknya tetap tidak menyadari kerentanan dalam proses pembuatan private key, terus-menerus memasukkan aset ke dalamnya hingga hari ini.

Eksodus Massal di Akhir 2020

Sebuah kerentanan keamanan yang telah lama ada meledak di akhir tahun 2020. Pada 28 Desember 2020, terjadi transaksi on-chain yang tidak normal, dan sejumlah besar wallet dalam rentang key lemah Lubian dikuras dalam beberapa jam, dengan sekitar 136.951 bitcoin dipindahkan dalam satu kali sapuan, senilai sekitar $3,7 miliar berdasarkan harga sekitar $26.000 saat itu.

Biaya transaksi ditetapkan sebesar 75.000 sats, tetap sama tanpa memandang jumlah, menunjukkan bahwa operator memiliki kendali penuh atas jaringan Bitcoin. Beberapa dana kemudian dikembalikan ke mining pool Lubian untuk reward mining berikutnya, menunjukkan bahwa tidak semua aset yang dipindahkan berakhir di tangan hacker. Namun, bagi para korban, kerugian sudah terjadi.

Bahkan lebih aneh lagi, beberapa transaksi on-chain membawa pesan.

Apakah itu lelucon hacker atau permohonan bantuan dari korban, masih belum diketahui. Yang penting adalah pada saat itu, transfer besar ini tidak langsung dikenali sebagai pencurian.

Dalam analisis selanjutnya, peneliti Milk Sad mengakui bahwa selama harga Bitcoin melonjak dan pendapatan mining pool berhenti, mereka tidak yakin apakah itu ulah hacker atau manajemen Lubian yang menjual di puncak dan mengocok ulang wallet. Mereka menunjukkan, "Jika pencurian terjadi pada tahun 2020, itu akan lebih awal dari timeline serangan weak key Mersenne Twister yang telah dikonfirmasi, namun kami tidak dapat mengesampingkan kemungkinan ini."

Karena ketidakpastian ini, penarikan dana di akhir tahun 2020 tidak memicu peringatan di seluruh industri, dan sejumlah besar Bitcoin kemudian tetap dorman di chain selama bertahun-tahun, menjadi misteri yang belum terpecahkan.

Dengan demikian, bukan hanya Lubian yang menjadi korban, tetapi juga versi lama Trust Wallet. Pada 17 November 2022, tim riset keamanan Ledger Donjon pertama kali mengungkapkan kepada Binance adanya kerentanan angka acak di Trust Wallet. Tim merespons dengan cepat, mendorong perbaikan ke GitHub keesokan harinya dan secara bertahap memberi tahu pengguna yang terdampak.

Namun, baru pada 22 April 2023, Trust Wallet secara resmi mengungkapkan detail kerentanan dan langkah kompensasi. Selama periode ini, hacker mengeksploitasi kerentanan dalam beberapa serangan, termasuk mencuri sekitar 50 Bitcoin pada 11 Januari 2023.

Peringatan Terlambat

Sementara itu, sebuah kerentanan sedang berkembang di proyek lain.

Perintah bx seed di Libbitcoin Explorer versi 3.x menggunakan algoritma angka acak semu MT19937 yang dikombinasikan dengan waktu sistem 32-bit sebagai seed, menghasilkan hanya 2^32 kemungkinan kombinasi key.

Hacker dengan cepat mulai melakukan serangan. Mulai Mei 2023, terjadi beberapa pencurian kecil di chain. Pada 12 Juli, serangan mencapai puncaknya, dan sejumlah besar wallet yang dihasilkan oleh bx dikosongkan sekaligus. Pada 21 Juli, saat membantu pengguna menyelidiki kerugian mereka, peneliti Milk Sad mengidentifikasi akar masalahnya, yaitu angka acak lemah pada bx seed, yang memungkinkan private key di-bruteforce. Mereka segera memberi tahu tim Libbitcoin.

Namun, karena perintah tersebut dianggap sebagai alat pengujian resmi, komunikasi awal tidak berjalan lancar. Tim akhirnya melewati proyek dan secara terbuka mengungkapkan kerentanan pada 8 Agustus, serta mengajukan nomor CVE.

Penemuan pada tahun 2023 inilah yang mendorong tim Milk Sad untuk mulai menambang data historis secara terbalik. Mereka terkejut menemukan korelasi kuat antara periode key lemah, di mana sejumlah besar dana terakumulasi dari 2019 hingga 2020, dan insiden Lubian, yang berpuncak pada transfer besar-besaran yang disebutkan sebelumnya pada 28 Desember 2020.

Pada saat itu, sekitar 136.951 bitcoin disimpan di wallet lemah ini, dengan nilai sekitar $3,7 miliar yang dipindahkan dalam transaksi skala besar pada hari itu. Pergerakan terakhir yang diketahui adalah konsolidasi wallet pada Juli 2024.

Dengan kata lain, sifat mencurigakan dari insiden Lubian baru terungkap setelah kerentanan random key lemah diekspos. Jendela peringatan yang terlewat tidak dapat diperbaiki, dan keberadaan bitcoin pada saat itu telah lenyap tanpa jejak. Lima tahun kemudian, barulah setelah penuntutan bersama oleh Departemen Kehakiman AS (DOJ) dan otoritas Inggris terhadap Prince Group dan Chen Zhi, situasinya mulai menjadi jelas.

Bagi kita, frasa "Not your Wallet, Not Your Money" kini hanya berlaku dengan asumsi adanya randomisasi.