Приватний ключ Bitcoin на 15 мільярдів доларів випадково злитий, що призвело до злому

У жовтні 2025 року Окружний суд США Східного округу Нью-Йорка розкрив безпрецедентну за масштабом справу про вилучення криптовалюти, в якій уряд США конфіскував 127 271 bitcoin, вартість яких на ринку становила приблизно 15 мільярдів доларів США.

Співзасновник Cobo Fish God заявив, що правоохоронні органи не отримали приватні ключі шляхом силового злому чи хакерської атаки, а скористалися вразливістю випадковості. Деякі форуми також стверджували, що правоохоронці безпосередньо вилучили мнемонічну фразу гаманця або файл приватного ключа з серверів і апаратних гаманців, які контролювалися виконавчим директором Prince Group Чен Чжі та його родиною, але конкретні факти ще не були оприлюднені.

Ці апаратні гаманці згодом були переведені на мультипідписне холодне зберігання, яке підтримує Служба маршалів США (USMS) при Міністерстві фінансів США. Саме з цим пов'язане переведення 9 757 BTC на офіційну адресу зберігання 15 жовтня 2025 року, підписане USMS. Міністерство юстиції США у звинуваченні описало Lubian як частину мережі відмивання грошей Prince Group з Камбоджі, підкресливши, що злочинна група намагалася відмити шахрайські кошти через "щойно намайнені" монети, отримані з майнінг-пулів.

Деякі учасники спільноти відстежили дані в ланцюжку та дійшли висновку, що це та сама партія bitcoin, яка була раніше викрадена через вразливість у майнінг-пулі Lubian наприкінці 2020 року. Майнінг-пул Lubian раптово з'явився у 2020 році без жодної інформації про команду чи розкриту модель роботи, але його хешрейт швидко піднявся до топ-10 пулів світу за кілька місяців, одного разу досягнувши майже 6% світового хешрейту.

У звіті зазначалося, що Чен Чжі хвалився іншим у Prince Group про "значний прибуток, бо немає витрат", але досі незрозуміло, чи був цей пул створений Чен Чжі, чи перейшов під його контроль пізніше. Однак ця справа повернула сплячого кита на поверхню, змусивши знову переглянути катастрофу з безпекою приватних ключів гаманців, яка ховалася наприкінці 2020 року.

Після подальшого розслідування дослідники з'ясували, що першими двома словами у мнемонічній фразі, створеній з використанням некоректного процесу генерації ключів, були "Milk Sad", через що подія отримала назву Milk Sad.

Небезпеки слабкого ГВЧ

І все це походить від Mersenne Twister MT19937-32, псевдовипадкового генератора чисел.

Приватний ключ Bitcoin має складатися з 256-бітного випадкового числа, теоретично маючи 2^256 можливих комбінацій. Щоб згенерувати повністю ідентичну послідовність, потрібно ідеально співпасти у 256 "підкиданнях монети", і хоча ймовірність цього не зовсім нульова, вона надзвичайно мала. Безпека гаманця ґрунтується не на удачі, а на цьому величезному просторі можливостей.

Однак генератор випадкових чисел Mersenne Twister MT19937-32, який використовували такі інструменти, як майнінг-пул Lubian, не є справжньою "машиною підкидання монети", а радше поводиться як застряглий пристрій, який постійно вибирає числа в обмеженому та передбачуваному діапазоні.

Як тільки хакери розуміють цю закономірність, вони можуть швидко перебрати всі можливі слабкі приватні ключі методом перебору, відкриваючи відповідні bitcoin-гаманці.

Через неправильне розуміння безпеки деякими користувачами гаманців або майнінг-пулів, з 2019 по 2020 рік значна кількість багатства накопичилася у bitcoin-гаманцях, згенерованих за допомогою цього "слабкого алгоритму випадковості", що призвело до великого припливу коштів у цей вразливий діапазон.

За статистикою команди Milk Sad, між 2019 і 2020 роками загальні запаси bitcoin у цих гаманцях зі слабкими ключами на певному етапі перевищували 53 500 монет.

Джерела коштів включають концентровані перекази від whale-рівня. У квітні 2019 року чотири слабкі гаманці отримали приблизно 24 999 bitcoin за короткий проміжок часу. Були також щоденні нагороди за майнінг, де певні адреси отримали понад 14 000 bitcoin, позначених як нагороди майнера "lubian.com" протягом року. Зараз виявлено, що таких гаманців 220 000, і, очевидно, власники досі не знають про вразливість у процесі генерації приватних ключів, продовжуючи вкладати активи до сьогодні.

Масовий вихід наприкінці 2020 року

Довготривала вразливість у безпеці вибухнула наприкінці 2020 року. 28 грудня 2020 року відбулися аномальні транзакції в ланцюжку, і велика кількість гаманців у слабкому діапазоні ключів Lubian була спустошена за кілька годин, приблизно 136 951 bitcoin було виведено за один раз, що на той момент відповідало близько 3.7 мільярда доларів США при ціні близько 26 000 доларів.

Комісія за транзакцію була фіксованою — 75 000 sats, і залишалася незмінною незалежно від суми, що свідчить про повний контроль оператора над мережею bitcoin. Частина коштів згодом була повернута до майнінг-пулу Lubian як подальші нагороди за майнінг, що свідчить про те, що не всі виведені активи потрапили до рук хакера. Однак для жертв втрати вже стали реальністю.

Ще більш дивно, що деякі транзакції в ланцюжку містили повідомлення.

Чи був це жарт хакера, чи крик про допомогу від жертви — невідомо. Важливо те, що на той момент ця значна передача не була одразу розпізнана як крадіжка.

У подальшому аналізі дослідники Milk Sad визнали, що під час зростання ціни bitcoin і зупинки доходів майнінг-пулу вони не були впевнені, чи це справа рук хакерів, чи керівництво Lubian продало на піку і перерозподілило гаманці. Вони зазначили: "Якщо крадіжка сталася у 2020 році, це було б раніше підтвердженої хронології атаки на слабкі ключі Mersenne Twister, але ми не можемо виключати цю можливість."

Через цю невизначеність виведення коштів наприкінці 2020 року не викликало галасу в індустрії, і велика кількість bitcoin згодом роками залишалася без руху в ланцюжку, ставши невирішеною загадкою.

Таким чином, жертвою стала не лише Lubian, а й стара версія Trust Wallet. 17 листопада 2022 року команда з безпеки Ledger Donjon вперше повідомила Binance про вразливість генератора випадкових чисел у Trust Wallet. Команда оперативно відреагувала, вже наступного дня випустивши виправлення на GitHub і поступово повідомляючи постраждалих користувачів.

Однак лише 22 квітня 2023 року Trust Wallet офіційно розкрив деталі вразливості та заходи компенсації. За цей час хакери використали вразливість у кількох атаках, зокрема викрали близько 50 bitcoin 11 січня 2023 року.

Запізніле попередження

Тим часом в іншому проєкті визрівала вразливість.

Команда bx seed у версії Libbitcoin Explorer 3.x використовувала псевдовипадковий алгоритм MT19937 у поєднанні з 32-бітним системним часом як seed, що призводило лише до 2^32 можливих комбінацій ключів.

Хакери швидко почали пробні атаки. Починаючи з травня 2023 року, у ланцюжку відбувалося кілька дрібних крадіжок. 12 липня атаки досягли піку, і велика кількість гаманців, згенерованих bx, була спустошена одночасно. 21 липня, допомагаючи користувачам розслідувати їхні втрати, дослідники Milk Sad виявили першопричину, вказавши на слабкий генератор випадкових чисел у bx seed, що дозволяло перебирати приватні ключі. Вони оперативно повідомили команду Libbitcoin.

Однак, оскільки команда вважала цю команду офіційним тестовим інструментом, початкове спілкування було неефективним. Зрештою команда обійшла проєкт і публічно розкрила вразливість 8 серпня, подавши заявку на номер CVE.

Саме це відкриття у 2023 році спонукало команду Milk Sad почати зворотний аналіз історичних даних. Вони були здивовані, виявивши сильний зв'язок між періодом слабких ключів, коли з 2019 по 2020 рік було накопичено значні кошти, і інцидентом Lubian, що завершився масовим переказом 28 грудня 2020 року.

На той момент у цих слабких гаманцях зберігалося близько 136 951 bitcoin, а 3.7 мільярда доларів було виведено у великій транзакції того дня. Останній відомий рух — це об'єднання гаманців у липні 2024 року.

Іншими словами, підозрілий характер інциденту Lubian став очевидним лише після розкриття вразливості слабких випадкових ключів. Втрачене вікно для попередження вже не повернути, а місцезнаходження bitcoin на той час зникло без сліду. Лише через п'ять років, після спільного обвинувачення Міністерства юстиції США (DOJ) та британської влади проти Prince Group і Чен Чжі, ситуація почала прояснюватися.

Для нас фраза "Not your Wallet, Not Your Money" тепер справедлива лише за умови справжньої випадковості.