Приватний ключ до bitcoin на 15 мільярдів доларів випадково був зламаний США

У жовтні 2025 року Федеральний окружний суд Східного округу Нью-Йорка розкрив безпрецедентну справу про конфіскацію криптоактивів: уряд США вилучив 127 271 біткоїн, що за ринковою ціною становить близько 15 мільярдів доларів.

Співзасновник Cobo Шень Юй зазначив, що правоохоронні органи отримали приватні ключі не шляхом силового злому чи хакерської атаки, а скориставшись вразливістю у випадковості. Деякі форуми також стверджують, що правоохоронці безпосередньо вилучили мнемонічні фрази або файли приватних ключів із серверів і апаратних гаманців, контрольованих топ-менеджером Prince Group Чен Чжи та його родиною, але конкретні факти ще не були оприлюднені.

Ці апаратні гаманці згодом були переміщені до мультипідписного холодного сховища, яке перебуває під контролем US Marshals Service (USMS) Міністерства фінансів США. Саме звідти 15 жовтня 2025 року USMS підписав переказ 9 757 BTC на офіційну адресу зберігання. У позовній заяві Міністерства юстиції США Lubian описується як частина мережі відмивання грошей Prince Group у Камбоджі, наголошуючи, що злочинне угруповання намагалося відмити шахрайські кошти через «нові монети», здобуті майнінгом у пулі.

Деякі члени спільноти, відстежуючи дані в ланцюжку, вважають, що це ті самі біткоїни, які були викрадені через вразливість у Lubian mining pool наприкінці 2020 року. Lubian mining pool з’явився раптово у 2020 році, не мав оприлюдненої інформації про команду чи модель роботи, але його хешрейт за кілька місяців увійшов у топ-10 світових пулів, на певний час досягнувши майже 6% світового хешрейту.

У звіті зазначено, що Чен Чжи хвалився іншим членам Prince Group: «прибуток значний, бо немає витрат», але досі незрозуміло, чи він був засновником, чи лише згодом отримав контроль. Проте ця справа знову вивела на поверхню сплячого кита, змусивши переосмислити катастрофу з безпекою приватних ключів гаманців, що сталася навколо 2020 року.

Під час подальшого розслідування дослідники виявили, що перші два слова мнемонічної фрази, згенерованої з використанням пошкодженого процесу генерації ключів, були Milk Sad, після чого інцидент отримав назву Milk Sad.

Прихована загроза слабких випадкових чисел

Усе це бере початок із Mersenne Twister MT19937-32 — генератора псевдовипадкових чисел.

Приватний ключ біткоїна має складатися з 256-бітного випадкового числа, теоретично існує 2^256 комбінацій. Щоб згенерувати ідентичну послідовність, потрібно, щоб усі 256 підкидань монети співпали, що майже неможливо. Безпека гаманця базується не на везінні, а на величезному просторі можливостей.

Однак генератор випадкових чисел Mersenne Twister MT19937-32, який використовували Lubian mining pool та інші інструменти, не є справжньою «машиною підкидання монети», а радше пристроєм, що завжди вибирає номери в обмеженому й закономірному діапазоні.

Після того, як хакери зрозуміли цю закономірність, вони змогли швидко перебрати всі можливі слабкі приватні ключі та розблокувати відповідні біткоїн-гаманці.

Через нерозуміння безпеки з боку деяких користувачів гаманців чи майнінг-пулів у 2019–2020 роках багато біткоїн-гаманців, згенерованих за допомогою такої «слабкої випадкової» схеми, накопичили величезні багатства, і значні кошти потрапили в цю вразливу зону.

За статистикою команди Milk Sad, у 2019–2020 роках сумарна кількість біткоїнів у цих слабких гаманцях перевищувала 53 500 монет.

Джерела коштів включали як великі транзакції від китів (у квітні 2019 року чотири слабкі гаманці отримали близько 24 999 біткоїнів за короткий час), так і щоденні майнінгові доходи (деякі адреси за рік отримали понад 14 000 біткоїнів як винагороду з позначкою «lubian.com»). Таких гаманців зараз виявлено 220 000, і власники, очевидно, не усвідомлювали ризиків у процесі генерації приватних ключів, продовжуючи й досі вкладати туди активи.

Масовий вихід наприкінці 2020 року

Давно прихована загроза безпеці вибухнула наприкінці 2020 року. 28 грудня 2020 року (UTC+8) у ланцюжку з’явилися аномальні транзакції: численні гаманці із слабкими ключами Lubian були спустошені за кілька годин, близько 136 951 біткоїн було переведено одним махом, що за тодішньою ціною близько 26 000 доларів за монету становило приблизно 3,7 мільярда доларів.

Комісія за переказ була фіксованою — 75 000 сатоші, незалежно від суми, що свідчить про глибоке розуміння оператором роботи мережі біткоїн. Частина коштів згодом повернулася до Lubian mining pool як винагорода за майнінг, що означає, що не всі активи потрапили до рук хакерів. Але для жертв це вже були безповоротні втрати.

Ще дивніше, що деякі транзакції в ланцюжку містили повідомлення.

Чи це був жарт хакера, чи крик про допомогу від жертви — досі невідомо. Фатально, що тоді цю величезну транзакцію не одразу сприйняли як крадіжку.

Дослідники Milk Sad згодом зізналися, що через стрімке зростання ціни біткоїна та припинення доходів пулу вони не були впевнені, чи це справа рук хакерів, чи менеджменту Lubian, який продав активи на піку та реорганізував гаманці. Вони зазначили: «Якщо крадіжка сталася у 2020 році, це було б раніше, ніж підтверджена хронологія атак на слабкі ключі Mersenne Twister, але ми не можемо виключати таку можливість».

Саме через цю невизначеність масовий вихід коштів наприкінці 2020 року не викликав галасу в індустрії, і величезна кількість біткоїнів залишалася нерухомою в ланцюжку багато років, ставши нерозгаданою загадкою.

У цю пастку потрапили не лише Lubian, а й стара версія Trust Wallet. 17 листопада 2022 року (UTC+8) команда безпеки Ledger Donjon вперше повідомила Binance про вразливість генератора випадкових чисел у Trust Wallet. Команда відреагувала швидко: наступного дня проєкт випустив виправлення на GitHub і поступово повідомив постраждалих користувачів.

Однак лише 22 квітня 2023 року (UTC+8) Trust Wallet офіційно оприлюднив деталі вразливості та заходи компенсації. За цей час хакери кілька разів скористалися вразливістю, зокрема 11 січня 2023 року (UTC+8) було викрадено близько 50 біткоїнів.

Запізніла тривога

Тим часом вразливість визрівала в іншому проєкті.

Команда bx seed у версії 3.x Libbitcoin Explorer використовувала алгоритм псевдовипадкових чисел MT19937 із 32-бітним системним часом як зерном, що давало лише 2^32 можливих комбінацій ключів.

Хакери швидко почали пробні атаки, і з травня 2023 року в ланцюжку з’явилися численні дрібні крадіжки. 12 липня (UTC+8) атака досягла піку — багато гаманців, згенерованих bx, були повністю спустошені. 21 липня (UTC+8) дослідники Milk Sad, допомагаючи користувачам розслідувати втрати, знайшли причину — слабкий генератор випадкових чисел bx seed дозволяв перебором отримати приватний ключ, після чого вони повідомили команду Libbitcoin.

Оскільки цю команду офіційно вважали тестовим інструментом, початкове спілкування було складним, і команда врешті-решт обійшла розробників, 8 серпня (UTC+8) публічно розкривши вразливість і подавши заявку на CVE.

Саме завдяки цьому відкриттю 2023 року команда Milk Sad почала зворотний аналіз історичних даних. Вони були вражені тим, що слабкі ключі, які накопичили величезні кошти у 2019–2020 роках, були пов’язані з Lubian, і 28 грудня 2020 року (UTC+8) відбулася згадана вище масова передача активів.

На той момент близько 136 951 біткоїн перебували на цих слабких гаманцях, а масовий вихід того дня оцінювався приблизно в 3,7 мільярда доларів, а останній відомий рух — це консолідація гаманців у липні 2024 року (UTC+8).

Інакше кажучи, підозрілі моменти у справі Lubian стали очевидними лише після розкриття вразливості слабкої випадковості, і вікно для своєчасного попередження було втрачено, а подальша доля біткоїнів залишилася невідомою. Минуло 5 років, і лише після спільного позову Міністерства юстиції США (DOJ) та британської влади проти Prince Group і Чен Чжи ситуація почала прояснюватися.

Для нас тепер фраза «Not your Wallet, Not Your Money» має сенс лише за умови дотримання принципу випадковості.