150億ドル相当のBitcoinプライベートキーが誤って流出し、ハッキング被害発生

2025年10月、米国ニューヨーク東部地区裁判所は、前例のない規模の暗号資産押収事件を明らかにし、米国政府は127,271 bitcoinを押収し、市場価格で約150億米ドルに相当することが判明しました。

Coboの共同創設者Fish Godは、法執行機関が暴力的なクラッキングやハッキングによって秘密鍵を入手したのではなく、ランダム性の脆弱性を利用したと述べました。一部のフォーラムでは、法執行機関がPrince Groupの幹部Chen Zhiおよびその家族が管理するサーバーやハードウェアウォレットから直接ウォレットのニーモニックフレーズや秘密鍵ファイルを押収したとも主張されていますが、具体的な事実はまだ公表されていません。

これらのハードウェアウォレットは後に米国財務省傘下のU.S. Marshals Service（USMS）が管理するマルチシグコールドストレージに移されました。2025年10月15日にUSMSの署名で公式保管アドレスに9,757 BTCが移転されたのはこれが由来です。米国司法省は起訴状の中でLubianをカンボジアのPrince Groupのマネーロンダリングネットワークの一部とし、犯罪グループがマイニングプールから得た「新たにマイニングされた」コインを使って詐欺資金の洗浄を試みたことを強調しました。

一部のコミュニティメンバーはオンチェーンデータを追跡し、これは2020年末にLubianマイニングプールの脆弱性によって盗まれた一連のbitcoinであると結論付けました。Lubianマイニングプールは2020年に突如として現れ、チームの背景情報や運営モデルが公開されていないにもかかわらず、数ヶ月で世界トップ10のプールに急成長し、一時は世界のハッシュレートの約6%を占めていました。

報告によると、Chen ZhiはPrince Group内で「コストがかからないため莫大な利益がある」と自慢していましたが、これがChen Zhiによって設立されたのか、後に管理されたのかは依然として不明です。しかし、この事件は休眠していたクジラを再び表面化させ、2020年末に潜んでいたウォレット秘密鍵のセキュリティ災害を再検証するきっかけとなりました。

研究者による更なる調査で、欠陥のある鍵生成プロセスを使用したニーモニックフレーズの最初の2単語が「Milk Sad」であったことから、この事件はMilk Sad事件と呼ばれるようになりました。

弱いRNGの危険性

そして、これらすべては擬似乱数生成器Mersenne Twister MT19937-32に起因しています。

bitcoinの秘密鍵は256ビットの乱数で構成されるべきであり、理論上は2^256通りの組み合わせがあります。完全に一致するシーケンスを生成するには、256回の「コイントス」がすべて一致する必要があり、その確率はゼロではないものの極めて低いです。ウォレットのセキュリティは運に頼るものではなく、この膨大な可能性空間に依存しています。

しかし、Lubianマイニングプールなどのツールで使用されていたMersenne Twister MT19937-32乱数生成器は、真の「コイントス機械」ではなく、常に限られた予測可能な範囲内の数字を選ぶ詰まった装置のように振る舞います。

一度ハッカーがこのパターンを把握すると、ブルートフォースによってすべての弱い秘密鍵を迅速に列挙し、対応するbitcoinウォレットをアンロックすることができます。

一部のウォレットやマイニングプールユーザーのセキュリティに対する誤解により、2019年から2020年にかけて、この「弱い乱数アルゴリズム」で生成されたbitcoinウォレットに多額の資産が蓄積され、この脆弱な範囲に大量の資金が流入しました。

Milk Sadチームの統計によると、2019年から2020年の間に、これらの弱い鍵ウォレットのbitcoin保有量は一時53,500コインを超えていました。

資金の出所にはクジラ級の集中送金も含まれます。2019年4月には、4つの弱いウォレットが短期間で約24,999 bitcoinを受け取りました。また、日々のマイニング報酬もあり、特定のアドレスは1年以内に「lubian.com」マイナー報酬として14,000 bitcoin以上を受け取っています。これらのウォレットは現在220,000にのぼり、保有者は秘密鍵生成プロセスの脆弱性に気付かず、今日に至るまで資産を流入させ続けています。

2020年末の大規模流出

長年潜んでいたセキュリティ脆弱性が2020年末に爆発しました。2020年12月28日、オンチェーンで異常なトランザクションが発生し、Lubianの弱い鍵範囲内の多数のウォレットが数時間以内に空になり、約136,951 bitcoinが一度に移転されました。当時の価格約26,000ドルで約37億ドル相当です。

トランザクション手数料は75,000 satsで固定されており、金額に関係なく一貫していたことから、オペレーターがbitcoinネットワークを完全にコントロールしていたことが示唆されます。一部の資金は後にLubianマイニングプールに戻され、後続のマイニング報酬となったことから、すべての移転資産がハッカーの手に渡ったわけではありません。しかし、被害者にとって損失はすでに現実のものとなっていました。

さらに奇妙なことに、一部のオンチェーントランザクションにはメッセージが添えられていました。

これがハッカーのいたずらだったのか、被害者からの助けを求める声だったのかは不明です。重要なのは、当時この大規模な移転がすぐに盗難と認識されなかったことです。

後の分析で、Milk Sadの研究者は、bitcoin価格が急騰しマイニングプールの収益が止まった時期、ハッカーの仕業なのかLubianの運営側が高値で売却しウォレットを再編したのか判断できなかったと認めています。「もし盗難が2020年に発生していたなら、それは確認されているMersenne Twister弱鍵攻撃のタイムラインより早いが、この可能性を排除できない」と指摘しています。

この不確実性のため、2020年末の資金流出は業界全体の警戒を引き起こさず、その後大量のbitcoinが数年間チェーン上で休眠し、未解決の謎となりました。

このように、被害に遭ったのはLubianだけでなく、Trust Walletの旧バージョンも同様でした。2022年11月17日、セキュリティ研究チームLedger Donjonは初めてTrust Walletの乱数脆弱性をBinanceに報告しました。チームは迅速に対応し、翌日GitHubに修正をプッシュし、影響を受けたユーザーに順次通知しました。

しかし、Trust Walletが正式に脆弱性の詳細と補償策を公表したのは2023年4月22日になってからでした。この間、ハッカーは複数回脆弱性を悪用し、2023年1月11日には約50 bitcoinを盗むなどの攻撃が発生しました。

遅れた警告

一方、別のプロジェクトでも脆弱性が進行していました。

Libbitcoin Explorer 3.xバージョンのbx seedコマンドは、MT19937擬似乱数アルゴリズムと32ビットのシステム時刻をシードとして使用しており、鍵の組み合わせはわずか2^32通りしかありませんでした。

ハッカーはすぐに攻撃を開始しました。2023年5月からオンチェーンで複数の小規模な盗難が発生し、7月12日には攻撃がピークに達し、bxで生成された多数のウォレットが一度に空になりました。7月21日、ユーザーの損失調査を支援する中で、Milk Sadの研究者は根本原因を特定し、bx seedの弱い乱数が秘密鍵のブルートフォースを可能にしていたことを突き止め、Libbitcoinチームに迅速に通知しました。

しかし、このコマンドは公式のテストツールと見なされていたため、最初のやり取りは円滑ではありませんでした。チームは最終的にプロジェクトを迂回し、8月8日に脆弱性を公開し、CVE番号を申請しました。

この2023年の発見が、Milk Sadチームに過去のデータの逆マイニングを始めさせました。彼らは、2019年から2020年にかけて多額の資金が蓄積された弱鍵期間とLubian事件、そして2020年12月28日の大規模移転との間に強い相関があることを発見し、驚きました。

当時、これらの弱いウォレットには約136,951 bitcoinが保有されており、その日の大規模トランザクションで約37億ドル相当が移転されました。最後に確認された動きは2024年7月のウォレット統合でした。

つまり、Lubian事件の疑わしさが明らかになったのは、弱い乱数鍵の脆弱性が露呈した後だったのです。見逃した警告のタイミングは取り戻せず、当時のbitcoinの行方は跡形もなく消えました。5年後、米国司法省（DOJ）と英国当局によるPrince GroupおよびChen Zhiへの共同起訴によって、ようやく状況が明らかになり始めました。

私たちにとって、「Not your Wallet, Not Your Money」というフレーズは、今やランダム性が担保されている場合にのみ真実となります。