Bagaimana kolam penambangan LuBian kehilangan hampir 130.000 Bitcoin akibat pencurian pada tahun 2020?

Penggunaan generator bilangan acak semu yang mudah diprediksi menyebabkan private key dibobol, dan "dalang" di baliknya kemungkinan adalah pemerintah Amerika Serikat.

Judul Asli: "Laporan Analisis Pelacakan Teknis Insiden Peretasan Lubian Mining Pool dan Pencurian Besar-besaran Bitcoin"

Penulis: Wukong

Pada 29 Desember 2020, Lubian mining pool mengalami serangan peretasan besar-besaran, dengan total 127.272,06953176 bitcoin (nilai pasar saat itu sekitar 3.5 miliar dolar AS, kini nilainya telah mencapai 15 miliar dolar AS) dicuri oleh pelaku. Pemilik bitcoin dalam jumlah besar ini adalah Chen Zhi, Chairman Prince Group Kamboja. Setelah insiden peretasan, Chen Zhi dan Prince Group beberapa kali mengumumkan pesan di blockchain pada awal 2021 dan Juli 2022, menyerukan kepada peretas agar mengembalikan bitcoin yang dicuri dan bersedia membayar tebusan, namun tidak mendapat tanggapan. Anehnya, bitcoin dalam jumlah besar ini tetap diam di alamat wallet bitcoin yang dikendalikan pelaku selama 4 tahun, hampir tidak bergerak sama sekali, yang jelas tidak sesuai dengan perilaku peretas biasa yang ingin segera mencairkan keuntungan, melainkan lebih mirip operasi presisi yang dijalankan oleh "organisasi peretas tingkat negara". Hingga Juni 2024, bitcoin yang dicuri ini baru kembali dipindahkan ke alamat wallet bitcoin baru, dan hingga kini belum bergerak.

Pada 14 Oktober 2025, Departemen Kehakiman Amerika Serikat mengumumkan tuntutan pidana terhadap Chen Zhi dan menyatakan menyita 127.000 bitcoin milik Chen Zhi dan Prince Group. Berbagai bukti menunjukkan bahwa bitcoin dalam jumlah besar yang disita pemerintah AS dari Chen Zhi dan Prince Group ini adalah bitcoin Lubian mining pool yang telah dicuri oleh peretas menggunakan teknik tertentu sejak 2020. Artinya, pemerintah AS kemungkinan telah mencuri 127.000 bitcoin milik Chen Zhi melalui teknik peretasan sejak 2020, ini adalah contoh klasik dari operasi "black eats black" oleh organisasi peretas tingkat negara. Laporan ini, dari sudut pandang teknis, melalui pelacakan teknis, menganalisis secara mendalam detail teknis kunci insiden ini, menyoroti kronologi pencurian bitcoin tersebut, merekonstruksi garis waktu serangan secara lengkap, mengevaluasi mekanisme keamanan bitcoin, dan berharap dapat memberikan wawasan keamanan berharga bagi industri dan pengguna cryptocurrency.

Latar Belakang Insiden

Lubian mining pool didirikan pada awal 2020, merupakan mining pool bitcoin yang berkembang pesat dengan basis operasi utama di Tiongkok dan Iran. Pada Desember 2020, Lubian mining pool mengalami serangan peretasan besar-besaran yang menyebabkan lebih dari 90% kepemilikan bitcoin-nya dicuri. Total bitcoin yang dicuri sebanyak 127.272,06953176 BTC, sangat sesuai dengan angka 127.271 BTC yang disebutkan dalam surat dakwaan Departemen Kehakiman AS.

Model operasi Lubian mining pool meliputi penyimpanan terpusat dan distribusi reward mining. Bitcoin di alamat mining pool tidak disimpan di exchange terpusat yang diawasi, melainkan di wallet non-custodial. Dari sisi teknis, wallet non-custodial (juga disebut cold wallet atau hardware wallet) dianggap sebagai perlindungan utama aset kripto, tidak seperti akun exchange yang dapat dibekukan dengan perintah hukum, lebih seperti brankas bank pribadi milik pemegang, di mana kunci (private key) hanya dipegang oleh pemilik.

Bitcoin sebagai cryptocurrency, alamat on-chain digunakan untuk mengidentifikasi kepemilikan dan aliran aset bitcoin, menguasai private key alamat on-chain berarti dapat sepenuhnya mengendalikan bitcoin di alamat tersebut. Menurut laporan lembaga analisis on-chain, bitcoin dalam jumlah besar milik Chen Zhi yang dikendalikan pemerintah AS sangat berkaitan dengan insiden peretasan Lubian mining pool. Data on-chain menunjukkan, pada 29 Desember 2020 (zona waktu GMT+8), alamat wallet bitcoin inti Lubian mengalami transfer abnormal dengan total 127.272,06953176 BTC, sangat sesuai dengan angka 127.271 BTC dalam surat dakwaan Departemen Kehakiman AS. Setelah transfer abnormal, bitcoin yang dicuri ini tetap diam hingga Juni 2024. Pada periode 22 Juni hingga 23 Juli 2024 (zona waktu GMT+8), bitcoin yang dicuri ini kembali dipindahkan ke alamat on-chain baru dan hingga kini belum bergerak. Platform pelacakan blockchain ternama AS, ARKHAM, telah menandai alamat akhir ini sebagai milik pemerintah AS. Saat ini, pemerintah AS dalam surat dakwaan belum mengungkapkan bagaimana memperoleh private key alamat on-chain bitcoin milik Chen Zhi.

Gambar 1: Garis Waktu Aktivitas Kunci

Analisis Jalur Serangan

Sudah diketahui umum, di dunia blockchain, bilangan acak adalah fondasi keamanan kriptografi. Bitcoin menggunakan teknologi enkripsi asimetris, private key bitcoin adalah deretan 256 bit bilangan acak biner, dengan kemungkinan brute force 2^256 kali, hampir mustahil. Namun jika deretan 256 bit private key ini tidak sepenuhnya dihasilkan secara acak, misal hanya 32 bit yang benar-benar acak dan 224 bit lainnya dapat diprediksi, maka kekuatan private key akan sangat berkurang, hanya butuh 2^32 (sekitar 4,29 miliar) percobaan untuk brute force. Contohnya, pada September 2022, market maker crypto asal Inggris, Wintermute, kehilangan 160 juta dolar AS akibat celah serupa pada generator bilangan acak semu.

Pada Agustus 2023, tim riset keamanan luar negeri MilkSad pertama kali mengumumkan ditemukannya celah PRNG (pseudo-random number generator) pada alat pembuat kunci pihak ketiga dan berhasil mendapatkan nomor CVE (CVE-2023-39910). Dalam laporan hasil riset tim ini disebutkan, Lubian mining pool memiliki celah serupa, dan dalam daftar alamat bitcoin Lubian yang diretas, terdapat semua 25 alamat bitcoin yang disebutkan dalam surat dakwaan Departemen Kehakiman AS.

Gambar 2: Daftar 25 Alamat Wallet Bitcoin dalam Surat Dakwaan Departemen Kehakiman AS

Lubian mining pool sebagai sistem wallet non-custodial, alamat wallet bitcoin-nya mengandalkan algoritma pembuat private key custom untuk mengelola dana, namun pembuat private key-nya tidak menggunakan standar acak 256 bit yang direkomendasikan, melainkan hanya 32 bit acak, yang merupakan cacat fatal: hanya mengandalkan timestamp atau input lemah sebagai seed untuk "pseudo-random generator" Mersenne Twister (MT19937-32), sebuah PRNG yang setara dengan random integer 4 byte, dan dapat dieksplorasi secara efisien dalam komputasi modern. Secara matematis, peluang brute force adalah 1/2^32, misal jika script attack menguji 10^6 key per detik, waktu brute force sekitar 4.200 detik (hanya sekitar 1,17 jam). Dalam praktik, alat optimasi seperti Hashcat atau script custom dapat mempercepat proses. Pelaku memanfaatkan celah ini untuk mencuri bitcoin dalam jumlah besar dari Lubian mining pool.

Gambar 3: Tabel Perbandingan Cacat Standar Keamanan Industri dan Lubian Mining Pool

Berdasarkan pelacakan teknis, garis waktu lengkap dan detail terkait serangan terhadap Lubian mining pool adalah sebagai berikut:

Tahap Pencurian: 29 Desember 2020 (zona waktu GMT+8)

Kejadian: Peretas memanfaatkan celah PRNG pada pembuat private key wallet bitcoin Lubian mining pool, melakukan brute force terhadap lebih dari 5.000 alamat wallet acak lemah (tipe wallet: P2WPKH-nested-in-P2SH, prefix 3). Dalam waktu sekitar 2 jam, sekitar 127.272,06953176 BTC (nilai saat itu sekitar 3,5 miliar dolar AS) disedot habis dari alamat wallet tersebut, tersisa kurang dari 200 BTC. Semua transaksi mencurigakan menggunakan biaya transaksi yang sama, menunjukkan serangan dilakukan dengan script transfer otomatis massal.

Pengirim: Kelompok alamat wallet bitcoin acak lemah Lubian mining pool (dikendalikan oleh entitas operasi Lubian, bagian dari Prince Group milik Chen Zhi);

Penerima: Kelompok alamat wallet bitcoin yang dikendalikan pelaku (alamat tidak dipublikasikan);

Jalur transfer: Kelompok alamat wallet lemah → kelompok alamat wallet pelaku;

Analisis keterkaitan: Total bitcoin yang dicuri sebanyak 127.272,06953176 BTC, sangat sesuai dengan angka 127.271 BTC dalam surat dakwaan Departemen Kehakiman AS.

Tahap Dormansi: 30 Desember 2020 hingga 22 Juni 2024 (zona waktu GMT+8)

Kejadian: Bitcoin ini, setelah dicuri melalui celah PRNG pada 2020, disimpan di alamat wallet bitcoin yang dikendalikan pelaku selama 4 tahun, dalam keadaan dorman, hanya ada transaksi debu kurang dari seperseribu yang mungkin digunakan untuk pengujian.

Analisis keterkaitan: Bitcoin ini hampir tidak bergerak hingga 22 Juni 2024 sebelum akhirnya diambil alih penuh oleh pemerintah AS, jelas tidak sesuai dengan sifat peretas biasa yang ingin segera mencairkan keuntungan, melainkan lebih mirip operasi presisi oleh organisasi peretas tingkat negara.

Tahap Upaya Pemulihan: Awal 2021, 4 dan 26 Juli 2022 (zona waktu GMT+8)

Kejadian: Setelah bitcoin dicuri, selama masa dormansi, pada awal 2021, Lubian mining pool menggunakan fitur Bitcoin OP_RETURN untuk mengirim lebih dari 1.500 pesan (menghabiskan sekitar 1,4 BTC biaya transaksi), menyisipkan pesan di data blockchain, memohon kepada peretas agar mengembalikan dana. Contoh pesan: "Please return our funds, we'll pay a reward". Pada 4 dan 26 Juli 2022, Lubian mining pool kembali mengirim pesan melalui OP_RETURN, contoh: "MSG from LB. To the whitehat who is saving our asset, you can contact us through 1228btc@gmail.com to discuss the return of asset and your reward."

Pengirim: Alamat wallet bitcoin acak lemah Lubian (dikendalikan oleh entitas operasi Lubian, bagian dari Prince Group milik Chen Zhi);

Penerima: Kelompok alamat wallet bitcoin yang dikendalikan pelaku;

Jalur transfer: Kelompok alamat wallet lemah → kelompok alamat wallet pelaku; transaksi kecil disisipkan dalam OP_RETURN);

Analisis keterkaitan: Setelah insiden pencurian, pesan-pesan ini dikonfirmasi sebagai upaya Lubian mining pool untuk menghubungi "peretas pihak ketiga", meminta pengembalian aset dan negosiasi tebusan.

Tahap Aktivasi dan Transfer: 22 Juni hingga 23 Juli 2024 (zona waktu GMT+8)

Kejadian: Bitcoin di kelompok alamat wallet yang dikendalikan pelaku diaktifkan dari dormansi, dipindahkan ke alamat wallet akhir. Alamat wallet akhir ini ditandai oleh platform pelacakan blockchain ternama AS, ARKHAM, sebagai milik pemerintah AS.

Pengirim: Kelompok alamat wallet bitcoin yang dikendalikan pelaku;

Penerima: Kelompok alamat wallet akhir baru (tidak dipublikasikan, namun dikonfirmasi sebagai kelompok wallet yang dikendalikan pemerintah AS)

Jalur transfer: Kelompok alamat wallet yang dikendalikan pelaku → kelompok wallet yang dikendalikan pemerintah AS; 

Analisis keterkaitan: Bitcoin dalam jumlah besar yang dicuri ini, setelah dorman 4 tahun hampir tidak bergerak, akhirnya dikendalikan pemerintah AS.

Tahap Pengumuman Penyitaan: 14 Oktober 2025 (waktu setempat AS)

Kejadian: Departemen Kehakiman AS mengumumkan tuntutan terhadap Chen Zhi dan "menyita" 127.000 bitcoin miliknya.

Pada saat yang sama, melalui mekanisme publik blockchain, semua catatan transaksi bitcoin dapat dilacak secara terbuka. Berdasarkan hal ini, laporan ini melacak sumber bitcoin dalam jumlah besar yang dicuri dari alamat wallet bitcoin acak lemah Lubian (dikendalikan oleh entitas operasi Lubian, kemungkinan bagian dari Prince Group milik Chen Zhi), dengan total 127.272,06953176 bitcoin, sumbernya meliputi: mining independen sekitar 17.800 bitcoin, pendapatan gaji mining pool sekitar 2.300 bitcoin, serta dari exchange dan saluran lain sebanyak 107.100 bitcoin. Hasil awal menunjukkan sumbernya tidak sepenuhnya berasal dari pendapatan ilegal seperti yang disebutkan dalam surat dakwaan Departemen Kehakiman AS.

Analisis Detail Teknis Kerentanan

Pembuatan Private Key Alamat Wallet Bitcoin

Inti dari celah Lubian mining pool adalah penggunaan generator private key yang mirip dengan cacat "MilkSad" di Libbitcoin Explorer. Sistem ini menggunakan pseudo-random number generator Mersenne Twister (MT19937-32) yang hanya diinisialisasi dengan seed 32 bit, sehingga entropi efektif hanya 32 bit. PRNG ini tidak aman secara kriptografi (non-cryptographic), mudah diprediksi dan direkayasa balik. Pelaku dapat melakukan enumerasi semua kemungkinan seed 32 bit (0 hingga 2^32-1), menghasilkan private key yang sesuai, lalu memeriksa apakah cocok dengan hash public key alamat wallet yang diketahui.

Dalam ekosistem bitcoin, proses pembuatan private key biasanya: random seed → SHA-256 hash → ECDSA private key.

Implementasi library dasar Lubian mining pool kemungkinan berbasis kode custom atau library open source (seperti Libbitcoin), namun mengabaikan keamanan entropi. Mirip dengan cacat MilkSad, perintah "bx seed" di Libbitcoin Explorer juga menggunakan PRNG MT19937-32, hanya mengandalkan timestamp atau input lemah sebagai seed, sehingga private key dapat di-brute force. Dalam insiden Lubian, lebih dari 5.000 wallet terdampak, menunjukkan celah ini bersifat sistemik, kemungkinan akibat penggunaan kode yang sama saat membuat wallet massal.

Simulasi Proses Serangan

1. Identifikasi alamat wallet target (melalui monitoring on-chain aktivitas Lubian mining pool);
2. Enumerasi seed 32 bit: for seed in 0 to 4294967295;
3. Generate private key: private_key = SHA256(seed);
4. Derivasi public key dan alamat: menggunakan kurva ECDSA SECP256k1;
5. Cocokkan: jika alamat hasil derivasi cocok dengan target, gunakan private key untuk menandatangani transaksi dan mencuri dana;

Perbandingan dengan Celah Serupa: Celah ini mirip dengan cacat entropi 32 bit di Trust Wallet yang pernah menyebabkan pembobolan massal alamat wallet bitcoin; cacat "MilkSad" di Libbitcoin Explorer juga mengekspos private key karena entropi rendah. Semua kasus ini berasal dari masalah warisan kode lama yang tidak menggunakan standar BIP-39 (seed phrase 12-24 kata, menyediakan entropi tinggi). Lubian mining pool kemungkinan menggunakan algoritma custom untuk memudahkan manajemen, namun mengabaikan keamanan.

Kekurangan Pertahanan: Lubian mining pool tidak menerapkan multisig, hardware wallet, atau hierarchical deterministic wallet (HD wallets), yang semuanya dapat meningkatkan keamanan. Data on-chain menunjukkan serangan meliputi banyak wallet, menandakan celah sistemik, bukan kegagalan titik tunggal.

Bukti On-chain dan Upaya Pemulihan

Pesan OP_RETURN: Lubian mining pool mengirim lebih dari 1.500 pesan melalui fitur OP_RETURN di Bitcoin, menghabiskan 1,4 BTC, memohon pelaku mengembalikan dana. Pesan-pesan ini disisipkan di blockchain, membuktikan tindakan pemilik asli, bukan rekayasa. Contoh pesan termasuk "please return our funds" atau permohonan serupa, tersebar di banyak transaksi.

Analisis Keterkaitan Serangan

Surat dakwaan pidana Departemen Kehakiman AS terhadap Chen Zhi pada 14 Oktober 2025 (nomor kasus 1:25-cr-00416) mencantumkan 25 alamat wallet bitcoin yang memegang sekitar 127.271 BTC, dengan nilai total sekitar 15 miliar dolar AS, dan telah disita. Melalui analisis blockchain dan peninjauan dokumen resmi, alamat-alamat ini sangat terkait dengan insiden peretasan Lubian mining pool:

Keterkaitan Langsung: Analisis blockchain menunjukkan, 25 alamat dalam surat dakwaan Departemen Kehakiman AS adalah alamat akhir kepemilikan bitcoin yang dicuri dalam serangan Lubian mining pool 2020. Laporan Elliptic menyebutkan, bitcoin ini "dicuri" dari operasi mining Lubian pada 2020. Arkham Intelligence mengonfirmasi, dana yang disita Departemen Kehakiman AS berasal langsung dari insiden pencurian Lubian mining pool.

Keterkaitan Bukti Surat Dakwaan: Surat dakwaan Departemen Kehakiman AS memang tidak menyebut langsung "Lubian hack", namun menyebut dana berasal dari "serangan pencurian bisnis mining bitcoin di Iran dan Tiongkok", yang sesuai dengan analisis on-chain Elliptic dan Arkham Intelligence.

Keterkaitan Perilaku Serangan: Dari metode serangan, bitcoin Lubian mining pool dalam jumlah besar dicuri secara teknis sejak 2020, dorman selama 4 tahun, hanya ada transaksi debu kurang dari seperseribu, hingga akhirnya diambil alih penuh oleh pemerintah AS pada 2024, tidak sesuai dengan sifat peretas biasa yang ingin segera mencairkan keuntungan, lebih mirip operasi presisi oleh organisasi peretas tingkat negara. Analisis menunjukkan, pemerintah AS kemungkinan telah mengendalikan bitcoin ini sejak Desember 2020.

Dampak dan Saran

Insiden peretasan Lubian mining pool tahun 2020 berdampak luas, menyebabkan mining pool bubar, kerugian lebih dari 90% total aset saat itu, dan nilai bitcoin yang dicuri kini telah naik menjadi 15 miliar dolar AS, menyoroti risiko yang diperbesar oleh volatilitas harga.

Insiden Lubian mining pool mengungkap risiko sistemik pada generator bilangan acak dalam toolchain cryptocurrency. Untuk mencegah celah serupa, industri blockchain harus menggunakan cryptographically secure pseudo-random number generator (CSPRNG); menerapkan pertahanan berlapis, termasuk multisig, cold storage, dan audit rutin, serta menghindari algoritma pembuat private key custom; mining pool harus mengintegrasikan monitoring on-chain real-time dan sistem peringatan transfer abnormal. Pengguna biasa harus menghindari penggunaan modul pembuat key open source yang belum diverifikasi. Insiden ini juga mengingatkan kita, meski blockchain sangat transparan, fondasi keamanan yang lemah tetap dapat menyebabkan bencana. Ini juga menegaskan pentingnya keamanan siber dalam perkembangan ekonomi digital dan mata uang digital di masa depan.