150億ドル相当のbitcoinのプライベートキー、アメリカが偶然にも解読

著者：BUBBLE

 

2025年10月、アメリカ・ニューヨーク東地区連邦地方裁判所は、前例のない規模の暗号資産押収事件を明らかにしました。アメリカ政府は127,271 BTCを没収し、市場価格で約150億ドルに相当します。

Coboの共同創設者である神魚氏は、法執行機関が暴力的なクラッキングやハッキングによって秘密鍵を取得したのではなく、ランダム性の脆弱性を利用したと述べています。また、一部のフォーラムでは、法執行機関がPrince Groupの幹部であるChen Zhiおよびその家族が管理するサーバーやハードウェアウォレットから直接ウォレットのニーモニックや秘密鍵ファイルを押収したとも言われていますが、具体的な事実はまだ公表されていません。

これらのハードウェアウォレットはその後、アメリカ財務省傘下のUS Marshals Service（USMS）が管理するマルチシグコールドストレージに移されました。そして2025年10月15日、USMSの署名によって公式カストディアドレスに送金された9,757 BTCは、まさにこの資産からのものです。アメリカ司法省は起訴状の中でLubianをカンボジアのPrince Groupのマネーロンダリングネットワークの一部として説明し、犯罪組織がマイニングプールで採掘された「新しいコイン」を使って詐欺資金を洗浄しようとしたことを強調しました。

一部のコミュニティメンバーはオンチェーンデータを追跡し、これが2020年末にLubianマイニングプールで脆弱性により盗まれたビットコインであると判断しています。Lubianマイニングプールは2020年に突如出現し、チームの背景情報や運営モデルは公開されていませんでしたが、そのハッシュレートはわずか数ヶ月で世界トップ10のマイニングプールに入り、一時は世界の約6%のハッシュレートを占めていました。

報告書によると、Chen Zhiは他のPrince Groupの関係者に「コストがかからないため利益は大きい」と自慢していたとされていますが、これがChen Zhiによって設立されたものなのか、後に支配されたものなのかはまだ明らかではありません。しかし、この事件は眠っていた巨大なクジラを再び表舞台に引き出し、2020年前後に潜んでいたウォレット秘密鍵のセキュリティ災害を再考させるものとなりました。

その後、研究者が再調査した際、壊れた鍵生成プロセスで作られた最初のニーモニックの最初の2単語が「Milk Sad」であったことから、この事件は「Milk Sad事件」と呼ばれるようになりました。

弱い乱数がもたらすリスク

すべての発端は、Mersenne Twister MT19937-32という擬似乱数生成器にあります。

ビットコインの秘密鍵は本来256ビットの乱数で構成されるべきで、理論上は2^256通りの組み合わせが存在します。完全に一致するシーケンスを生成するには、256回の「コイン投げ」がすべて一致する必要があり、その確率はゼロとは言えませんが、ほぼゼロに等しいです。ウォレットのセキュリティは運ではなく、この膨大な可能性空間によって担保されています。

しかし、Lubianマイニングプールなどのツールが使用していたMersenne Twister MT19937-32乱数生成器は、真の「コイン投げマシン」ではなく、限られた規則的な範囲内で番号を選ぶ「詰まりやすい装置」のようなものでした。

ハッカーがこの規則を把握すると、ブルートフォースで弱い秘密鍵の全ての可能性を迅速に列挙し、対応するビットコインウォレットをアンロックすることができました。

一部のウォレットやマイニングプールユーザーがセキュリティを誤解していたため、2019年から2020年にかけて、この「弱い乱数アルゴリズム」で生成されたビットコインウォレットには驚くべき資産が蓄積され、多額の資金がこの脆弱な領域に流入しました。

Milk Sadチームの統計によると、2019年から2020年にかけて、これらの弱い秘密鍵ウォレットが保有していたビットコインは一時53,500枚を超えていました。

資金の出所には、クジラ級の集中送金もあり、2019年4月には4つの弱いウォレットが短期間で約24,999 BTCを受け取りました。また、日常のマイニング報酬もあり、あるアドレスは1年で「lubian.com」とラベル付けされたマイナー報酬を14,000枚以上受け取りました。この種のウォレットは現在22万個存在が確認されており、保有者は秘密鍵生成プロセスのリスクに気付かず、今もなお資産を投入し続けています。

2020年末の大規模撤退

長らく潜んでいたセキュリティリスクは2020年末に爆発しました。2020年12月28日、オンチェーンで異常なトランザクションが発生し、Lubianの弱い秘密鍵領域に属する多数のウォレットが数時間以内に空になり、約136,951 BTCが一度に移動されました。当時の価格で約2.6万ドル/BTC、総額約37億ドルに相当します。

送金手数料は一律75,000 satsで、金額の大小にかかわらず一定でした。これはオペレーターがビットコインネットワークの操作に精通していたことを示しています。一部の資金はその後Lubianマイニングプールに戻され、後続のマイニング報酬に使われたことから、すべての資産がハッカーの手に渡ったわけではありません。しかし、被害者にとって損失は現実となりました。

さらに奇妙なのは、一部のオンチェーントランザクションにメッセージが添えられていたことです。内容は「私たちの資産を救ってくれたホワイトハットへ、1228btc@gmail.comまでご連絡ください」などです。弱い秘密鍵アドレスは既に公開されているため、誰でもこれらのアドレスにメッセージ付きトランザクションを送ることができ、これらの情報が本当の被害者からのものかは不明です。

ハッカーの悪ふざけなのか、被害者の救援要請なのか、依然として分かっていません。致命的なのは、この巨額送金が当時すぐに盗難と認識されなかったことです。

Milk Sadの研究者は後の分析で、当時ビットコイン価格が急騰し、マイニングプールの収益が停止したため、ハッカーの仕業かLubianの運営陣が高値で売却しウォレットを再編したのか判断できなかったと述べています。「もし2020年に盗難が発生していたとすれば、確認されているMersenne Twisterの弱い秘密鍵攻撃のタイムラインよりも早いが、その可能性を排除できない」と指摘しています。

この不確実性ゆえに、2020年末の資金撤退は業界の警報を引き起こさず、その後巨額のビットコインは数年間オンチェーンで眠り続け、未解決の謎となりました。

この問題はLubianだけでなく、旧バージョンのTrust Walletにも影響しました。2022年11月17日、セキュリティ研究チームLedger Donjonは初めてBinanceにTrust Walletの乱数脆弱性を報告し、チームは迅速に対応し、翌日にはGitHubで修正をプッシュし、影響を受けたユーザーに順次通知しました。

しかし、2023年4月22日になってようやくTrust Walletは脆弱性の詳細と補償措置を正式に公表しました。この間、ハッカーは脆弱性を利用して複数回攻撃を行い、2023年1月11日には約50 BTCが盗まれました。

遅すぎた警報

同時に、別のプロジェクトでも脆弱性が進行していました。

Libbitcoin Explorer 3.xバージョンのbx seedコマンドは、MT19937擬似乱数アルゴリズムと32ビットのシステム時間をシードとして使用し、生成される鍵空間はわずか2^32通りしかありません。

ハッカーはすぐに試験的な攻撃を開始し、2023年5月からオンチェーンで複数の小規模な盗難が発生しました。7月12日には攻撃がピークに達し、bxで生成された多数のウォレットが一斉に空になりました。7月21日、Milk Sadの研究者はユーザーの損失調査を手伝う中で問題の根源を発見し、bx seedの弱い乱数が秘密鍵をブルートフォースで列挙可能にしていたことを突き止め、直ちにLibbitcoinチームに報告しました。

しかし、このコマンドは公式にはテストツールと見なされていたため、初期のコミュニケーションは円滑ではありませんでした。最終的にチームはプロジェクト側を迂回し、8月8日に脆弱性を公開しCVE番号を申請しました。

2023年のこの発見があったからこそ、Milk Sadチームは過去のデータを逆解析し始めました。彼らは2019年から2020年にかけて巨額資金が蓄積された弱い秘密鍵領域がLubianと関連しており、2020年12月28日に前述の大規模な移動が発生していたことに驚きました。

当時、約136,951 BTCがこれらの弱いウォレットに滞留しており、その日の大規模な送金は約37億ドル相当でした。最後に確認された動きは2024年7月のウォレット統合です。

言い換えれば、Lubian事件の疑わしい点は弱い乱数脆弱性が明らかになって初めて浮かび上がり、当時見逃された警報のタイミングは二度と戻らず、当時のビットコインの行方も消えてしまいました。5年の時を経て、今回アメリカ司法省（DOJ）とイギリス当局がPrince GroupとChen Zhiを共同起訴したことで、ようやく事態が明らかになりました。

私たちにとって、「Not your Wallet, Not Your Money」という言葉は、乱数の安全性が前提で初めて成立するものだと、今改めて認識する必要があります。