Нет достоверных доказательств того, что правительство США взломало китайские Bitcoin-кошельки, чтобы «украсть» BTC на 13 миллиардов долларов

Национальный центр экстренного реагирования на компьютерные вирусы Китая только что обвинил Соединённые Штаты в проведении эксплойта LuBian Bitcoin в 2020 году.

Однако западные исследования связывают это событие с ошибкой генератора случайных чисел в кошельке и не называют государственный субъект.

Открытые источники по расследованию инцидента LuBian

Основные факты этого эпизода теперь хорошо задокументированы в открытых источниках. Согласно данным Arkham, примерно 127 000 BTC были выведены из кошельков, связанных с майнинг-пулом LuBian, в течение примерно двух часов 28–29 декабря 2020 года посредством скоординированных выводов через сотни адресов.

По данным исследовательской группы MilkSad и CVE-2023-39910, эти кошельки были созданы с помощью программного обеспечения, которое инициализировало MT19937 всего с 32 битами энтропии, что сократило пространство поиска примерно до 4,29 миллиардов вариантов и сделало партии адресов P2SH-P2WPKH уязвимыми для атак методом перебора.

В обновлении #14 от MilkSad связывается кластер, содержащий примерно 136 951 BTC, который начал опустошаться с 28.12.2020, с LuBian.com через ончейн-майнинговую активность и документируется фиксированный паттерн комиссии в 75 000 сатоши на транзакциях по зачистке. Реконструкция от Blockscope показывает, что большая часть средств затем оставалась практически без движения в течение нескольких лет.

Эти же монеты сейчас находятся в кошельках, контролируемых правительством США. По данным Министерства юстиции США, прокуроры добиваются конфискации примерно 127 271 BTC как доходов и инструментов предполагаемого мошенничества и отмывания денег, связанных с Чен Чжи и Prince Group. DOJ заявляет, что активы в настоящее время находятся под контролем США.

Elliptic показывает, что адреса, указанные в жалобе DOJ, совпадают с кластером слабых ключей LuBian, который ранее уже был идентифицирован MilkSad и Arkham, и Arkham теперь помечает консолидированные кошельки как контролируемые правительством США. Ончейн-аналитики, включая ZachXBT, публично отметили совпадение между изъятыми адресами и более ранним набором слабых ключей.

Что показывает судебная экспертиза по эксплойту LuBian

Что касается атрибуции, технические команды, впервые выявившие уязвимость и отследившие потоки, не заявляют, что знают, кто осуществил вывод в 2020 году. MilkSad неоднократно ссылается на некоего субъекта, обнаружившего и эксплуатировавшего слабые приватные ключи, отмечая, что их личность неизвестна.

Arkham и Blockscope описывают это лицо как хакера LuBian, сосредотачиваясь на методе и масштабе. Elliptic и TRM ограничиваются отслеживанием и сопоставлением выводов 2020 года с последующим изъятием DOJ. Ни один из этих источников не называет государственный субъект ответственным за операцию 2020 года.

CVERC, поддерживаемый принадлежащей КПК Global Times и местными СМИ, продвигает иную версию событий.

Там утверждается, что четырёхлетний период бездействия отличается от обычных схем обналичивания преступных средств и, следовательно, указывает на государственную хакерскую организацию.

Далее делается вывод, что последующее попадание монет под контроль США связано с утверждением, что американские субъекты осуществили эксплойт в 2020 году, а затем оформили его как изъятие правоохранительными органами.

Технические разделы доклада тесно следуют независимым открытым исследованиям по слабым ключам, MT19937, пакетной обработке адресов и паттернам комиссий.

Прыжок в атрибуции основан на косвенных выводах о периоде бездействия и конечном контроле, а не на новых судебных данных, связях инструментов, совпадениях инфраструктуры или других стандартных индикаторах, используемых для атрибуции государственным субъектам.

Что нам действительно известно о выводе Bitcoin с LuBian

Существует как минимум три логичных трактовки, соответствующих публичной информации.

1. Первая — неизвестное лицо, преступное или иное, обнаружило паттерн слабых ключей, опустошило кластер в 2020 году, оставило монеты в основном без движения, а власти США позже получили ключи через изъятие устройств, сотрудничество свидетелей или иные следственные действия, что привело к консолидации и заявлениям о конфискации в 2024–2025 годах.
2. Вторая рассматривает LuBian и связанные структуры как часть внутренней казначейской и отмывочной сети Prince Group, где видимая атака могла быть непрозрачным внутренним перемещением между кошельками под контролем слабых ключей, что согласуется с позицией DOJ, описывающей кошельки как некастодиальные и находящиеся во владении обвиняемого, хотя публичные документы не раскрывают полностью, как сеть Чена получила контроль над конкретными ключами.
3. Третья, продвигаемая CVERC, — что за операцией 2020 года стоял государственный субъект США. Первые две версии соответствуют доказательствам, представленным в материалах MilkSad, Arkham, Elliptic, TRM и DOJ.

Третья версия — это обвинение, не подтверждённое независимыми техническими доказательствами в публичном доступе.

Краткая хронология неоспариваемых событий приведена ниже.

Дата (UTC) Событие Примерно BTC Источник

2020-12-28/29	Скоординированный вывод с адресов под контролем LuBian	~127,000–127,426	Arkham; Blockscope; MilkSad Update #14
2021–2022	Сообщения OP_RETURN с адресов, связанных с LuBian, с просьбами о возврате	N/A	MilkSad Update #14; Blockscope
2023-08	Раскрытие CVE-2023-39910 (слабая инициализация MT19937 в Libbitcoin Explorer)	N/A	NVD CVE-2023-39910
2024	Консолидация неактивных монет в новые кошельки	~127,000	Blockscope; Arkham
2025	Действия по конфискации DOJ и публичные заявления о контроле США	~127,271	DOJ; CBS News; Elliptic; TRM

С точки зрения возможностей, перебор пространства из 2^32 вариантов вполне достижим для мотивированных субъектов. При скорости около 1 миллиона попыток в секунду одна установка может пройти всё пространство за несколько часов, а распределённые или ускоренные GPU установки сокращают это время ещё больше.

Возможность реализации — ключевой момент уязвимости класса MilkSad, объясняющий, как один субъект может зачистить тысячи уязвимых адресов одновременно. Фиксированный паттерн комиссии и детали вывода адресов, опубликованные MilkSad и отражённые в техническом отчёте CVERC, подтверждают этот способ эксплуатации.

Оставшиеся споры касаются собственности и контроля на каждом этапе, а не технических деталей. DOJ рассматривает кошельки как хранилища преступных доходов, связанных с Ченом, и утверждает, что активы подлежат конфискации по законам США.

Китайские власти рассматривают LuBian как жертву кражи и обвиняют государственный субъект США в исходном эксплойте.

Независимые группы по блокчейн-экспертизе связывают выводы 2020 года с консолидацией и изъятием в 2024–2025 годах, но не называют того, кто нажал кнопку в 2020 году. Таково текущее состояние дел.

Публикация No credible evidence US government hacked Chinese Bitcoin wallets to “steal” $13 billion BTC впервые появилась на CryptoSlate.