LuBian礦池遭駭客攻擊被竊取巨額比特幣事件技術溯源分析報告

By: blockbeats|2025/11/09 22:00:06
0
分享
copy
文章來源:國家電腦病毒緊急處理中心

2020 年 12 月 29 日,LuBian 礦池發生一起重大駭客攻擊事件,總計 127272.06953176 枚比特幣(當時市值約 35 億美元,現市值已被竊 150 枚這批巨額比特幣的持有者正是柬埔寨太子集團主席陳志。在駭客攻擊事件發生後,陳誌及其太子集團分別於 2021 年初、2022 年 7 月多次在區塊鏈上發布消息,向駭客喊話,希望駭客能夠歸還被盜比特幣並願意支付贖金,但沒有收到任何回應。但奇怪的是,這批巨額比特幣被盜後,存放於攻擊者控制的比特幣錢包地址中沉寂長達 4 年之久,幾乎分文未動,這顯然不符合一般黑客急於變現追逐利益的行為,更像是一場由“國家級黑客組織”操盤的精準行動。直到 2024 年 6 月,這批被盜比特幣才再次轉移到新的比特幣錢包地址中,至今仍未動。

2025 年 10 月 14 日,美國司法部宣布對陳志提起刑事指控,並稱沒收陳誌及其太子集團的 12.7 萬枚比特幣。各種證據表明,美國政府沒收的陳誌及其太子集團的這批巨額比特幣正是早在 2020 年就已經被駭客攻擊者利用技術手段竊取的 LuBian 礦池比特幣。也就是說,美國政府或早在 2020 年就已經透過駭客技術手段竊取了陳志持有的 12.7 萬枚比特幣,這是一起典型的國家級駭客組織操盤的「黑吃黑」事件。本報告從技術視角出發,透過技術溯源,深入解析該事件關鍵技術細節,重點分析這批比特幣被盜的來龍去脈,還原當時完整的攻擊時間線,評估比特幣的安全機制,希望為加密貨幣行業和用戶提供寶貴的安全啟示。

一、事件背景狀況

LuBian 礦池(LuBian mining pool)成立於 2020 年初,是快速崛起的比特幣礦池,以中國和伊朗為主要營運基地。 2020 年 12 月,LuBian 礦池遭受了一次大規模駭客攻擊,導致其超過 90% 的比特幣持有量被盜。被竊總額 127272.06953176BTC,與美司法部起訴書中所稱 127271BTC 基本吻合。

LuBian 礦池的運作模式包括挖礦獎勵的集中儲存和分配。礦池地址中比特幣並非儲存在受監管的中心化交易所,而是存在於非託管錢包中。從技術層面來看,非託管錢包(也稱為冷錢包或硬體錢包)被認為是加密資產的終極避風港,它不像交易所帳戶可以被一紙法令凍結,更像是一個只屬於持有者自己的銀行保險庫,鑰匙(私鑰)只在持有者手中。

比特幣作為加密貨幣,其鏈上地址用於標識比特幣資產的歸屬和流向,掌握鏈上地址私鑰可以完全控制比特幣鏈上地址中的比特幣。根據鏈上分析機構的報告,美國政府控制的陳志的巨額比特幣與 LuBian 礦池遭駭客攻擊事件高度重疊。鏈上數據記錄顯示,北京時間 2020 年 12 月 29 日,LuBian 的核心比特幣錢包地址發生異常轉移,轉移總額為 127272.06953176BTC,與美司法部起訴書中所稱 127271BTC 基本吻合。這批被竊比特幣被異常轉移後,一直沉寂至 2024 年 6 月。北京時間 2024 年 6 月 22 日至 7 月 23 日期間,這批被盜比特幣再次被轉移到新的鏈上地址中,至今未動。美國知名區塊鏈追蹤工具平台 ARKHAM 已將這些最終地址標記為美國政府持有。目前,美國政府在起訴書中暫未公佈如何取得陳志巨額比特幣鏈上地址私鑰。

LuBian礦池遭駭客攻擊被竊取巨額比特幣事件技術溯源分析報告

圖 1:關鍵活動時間線

二、攻擊鏈路分析

二、攻擊鏈路分析

2023 年 8 月,境外安全研究團隊 MilkSad 首次公佈發現一款第三方金鑰產生工具存在偽隨機數產生器(PRNG)漏洞,並成功申請了 CVE 編號(CVE-2023-39910)。在該團隊發布的研究成果報告中提及,LuBian 比特幣礦池存在類似漏洞,在其公佈的遭到駭客攻擊的 LuBian 比特幣礦池地址中,包含了美國司法部起訴書中全部 25 個比特幣地址。

圖 2:美國司法部起訴書中 25 個比特幣錢包地址列表

LuBian 比特幣礦池作為非託管錢包系統,其上比特幣錢包地址依賴自定義數字位元二進位隨機數,此演算法有致命缺陷:僅依賴時間戳或弱輸入作為種子的「偽隨機產生器」Mersenne Twister(MT19937-32),一個偽隨機數產生器(PRNG)相當於一個 4 位元組整數的隨機性,在現代計算中可被高效窮舉。數學上,破解機率為 1/232,例如,假設攻擊腳本每秒測試 106 個金鑰,則破解時間約為 4200 秒(僅約 1.17 小時)。實際上中,優化工具如 Hashcat 或自訂腳本可進一步加速。攻擊者正是利用這個漏洞盜取了 LuBian 比特幣礦池巨額比特幣。

圖 3:LuBian 礦池與產業安全標準瑕疵比較表

經技術溯源,LuBian礦池遭駭客攻擊的完整時間軸及相關細節具體如下:

1、攻擊盜用階段:北京時間 2020 年 12 月 29 日

事件:駭客利用 LuBian 礦池比特幣錢包地址產生超過比特幣錢包地址的存在偽數量個弱隨機錢包位址(錢包類型:P2WPKH-nested-in-P2SH,前綴 3)進行暴力破解。在約 2 小時內,約 127272.06953176BTC(當時價值約 35 億美元)從這些錢包地址被抽乾,剩餘不到 200BTC。所有可疑交易共享相同交易費用,表明攻擊係由自動化批量轉移腳本執行。

發送方:LuBian 礦池弱隨機比特幣錢包地址群(由 LuBian 礦場運營實體控制,隸屬陳志的太子集團);

接收方:攻擊者控制的比特幣錢包地址群(未公開地址);攻擊者錢包位址群;

關聯分析:被盜總額為 127272.06953176BTC,與美司法部起訴書中所稱 127271BTC 基本吻合。

2、休眠階段:北京時間 2020 年 12 月 30 日至 2024 年 6 月 22 日

事件:這批比特幣自 2020 年被用偽幣數來控制地址年之久,且處於休眠狀態,僅不足萬分之一的塵埃交易可能用於測試。

關聯分析:這批比特幣直至 2024 年 6 月 22 日被美政府全額接管前幾乎分文未動,這顯然不符合一般黑客急於變現追逐利益的本性,更像是國家級黑客組織操盤的精準行動。

3、恢復嘗試階段:北1.4 BTC 手續費),嵌入區塊鏈資料區,懇求駭客歸還資金。訊息範例:「Please return our funds, we'll pay a reward」。 2022 年 7 月 4 日、26 日,LuBian 礦池再次透過 Bitcoin OP_RETURN 功能發送訊息,訊息範例:「MSG from LB. To the whitehat who is saving our asset, you can contact us through 1228btc@gmail.com to distcs the return discussh. reward。 OP_RETURN);

關聯分析:被盜事件發生後,這些訊息確認為 LuBian 礦池作為發送方多次試圖聯繫「第三方駭客」,請求歸還資產並商討贖金事項。

4、激活與轉移階段:北京時間 2024 年 6 月 22 日至 7 月 23 日期間

事件:攻擊者控制的比特幣錢包地址群中比特幣從休眠狀態激活,轉移至最終比特幣錢包地址中。最終錢包地址被美知名區塊鏈追蹤工具平台 ARKHAM 標記為美國政府持有。

發送方:攻擊者控制的比特幣錢包地址群;

接收方:新整合最終錢包地址群(未公開,但確認為美國政府控制的錢包地址群)

美國政府地址控制者控制者的比特幣地址群);

關聯分析:這批被盜巨額比特幣,沉寂 4 年幾乎分文未動後,最終被美國政府控制。

5、公告扣押階段:美國當地時間 2025 年 10 月 14 日

事件:美國司法部發佈公告,宣布對陳志提起指控,並「沒收」其持有的 12.7 萬枚比特幣。

同時,透過區塊鏈公開機制,比特幣交易記錄全部公開可追溯。據此,本報告對 LuBian 弱隨機比特幣錢包地址(由 LuBian 礦場運營實體控制,可能隸屬陳志的太子集團)被盜的巨額比特幣來源進行了溯源,被盜比特幣總數目合計 127272.06953176 枚,被盜比特幣總數包括“ 10.71 萬枚,從初步結果看與美國司法部起訴書中所稱的全部來自非法收入存在出入。

三、漏洞技術細節分析

1、比特幣錢包位址私鑰產生:

LuBian 礦池漏洞的核心在於其私鑰產生器使用了類似 LibbitMicoin Explorer 中的缺陷。具體而言,該系統採用 Mersenne Twister (MT19937-32) 偽隨機數產生器,僅以 32 位元種子初始化,導致有效熵僅為 32 位元。這種 PRNG 並非加密安全的(non-cryptographic),易於預測和逆向工程。攻擊者可以透過列舉所有可能的 32 位元種子(0 到 2^32-1),產生對應的私鑰,並檢查是否符合已知錢包位址的公鑰雜湊。

在比特幣生態中,私鑰產生過程通常為:隨機種子 → SHA-256 雜湊 → ECDSA 私鑰。

LuBian 礦池基礎庫的實作可能基於自訂程式碼或開源函式庫(如 Libbitcoin),但忽略了熵的安全性。與 MilkSad 漏洞的相似之處在於,Libbitcoin Explorer 的「bx seed」指令也同樣使用 MT19937-32 隨機數產生器,僅依賴時間戳或弱輸入作為種子,導致私鑰可被暴力破解。在 LuBian 攻擊事件中,超過 5,000 個錢包受到影響,顯示漏洞是系統性的,可能源自於大量產生錢包時的程式碼重複使用。

2、模擬攻擊流程:

(1)辨識目標錢包位址(透過鏈上監控 LuBian 礦池活動);

(2)枚舉 32 位元種子:for seed in 0 4294967295;

(3)產生私鑰:private_key = SHA256(seed);

(4)衍生公鑰與位址:使用 ECDSA SECP256k1曲線計算;

(5)匹配:如果派生地址匹配目標,則使用私鑰簽章交易盜取資金;

與類似漏洞比較:該漏洞類似於 Trust Wallet 的 32 位元熵缺陷,曾導致大規模比特幣地址的「熵表」也破解類似熵;這些案例均源自於早期程式碼庫的遺留問題,未採用 BIP-39 標準(12-24 字種子短語,提供高熵)。 LuBian 礦池可能使用了自訂演算法,旨在簡化管理,但忽略了安全性。

防禦缺失:LuBian 礦池未實施多重簽名(multisig)、硬體錢包或分層確定性錢包(HD wallets),這些皆可提升安全性。鏈上數據顯示,攻擊覆蓋多個錢包,表示系統性漏洞而非單一點失敗。

3、鏈上證據與恢復嘗試:

OP_RETURN 訊息:LuBian 礦池透過 Bitcoin 的 OP_RETURN 功能發送超過 1,500 條訊息,也懇求 1.4 枚 BTC,懇求攻擊者歸還資金。這些訊息嵌入區塊鏈,證明為真實所有者行為,而非偽造。範例訊息包括「請歸還資金」或類似懇求,分佈在多個交易中。

4、攻擊關聯分析:

美國司法部於美國當地時間 2025 年 10 月 14 日針對陳志的刑事起訴書(案號 1:25-cr-00416)中列出了 25 個比特幣錢包地址,這些地址持有約 127,271 枚 BTC,總價值約 150億美元,並已被扣押。透過區塊鏈分析和官方文件審查,這些地址與 LuBian 礦池遭攻擊事件高度相關:

直接關聯:區塊鏈分析顯示,美國司法部池遭攻擊事件高度相關:

直接關聯:區塊鏈分析顯示,美國司法部起訴書中 25 個地址正是 LuBian 礦池 2020 年攻擊中被盜比特幣最終持有地址。 Elliptic 報告指出,這批比特幣於 2020 年從 LuBian 礦池的礦業營運中「被盜」。 Arkham Intelligence 確認,美國司法部扣押的資金直接源自於 LuBian 礦池竊盜事件。

起訴書證據關聯:美國司法部起訴書雖未直接命名“LuBian hack”,但提及資金源於“伊朗和中國比特幣礦業業務的被盜攻擊”,這與 Elliptic 和 Arkham Intelligence 的鏈上分析一致。

攻擊行為關聯:從攻擊手法來看,LuBian 礦池巨額比特幣自 2020 年被技術攻擊竊取後,休眠 4 年之久,其間僅發生不足萬分之一的塵埃交易,直至 2024年被美政府全額接管前幾乎分文未動,不符合一般駭客急於變現追逐利益的本性,更像是有國家級黑客組織操盤的精準行動,分析認為,美國政府或在 2020 年 12 月已經控制這批比特幣。

四、影響與建議

LuBian 礦池 2020 年遭黑客攻擊事件的影響深遠,導致礦池實際解散,損失相當於當時總資產價格的 90% 以上,而被盜比特幣現值已升至 150 億美元,凸放大風險。

LuBian 礦池事件暴露加密貨幣工具鏈中隨機數產生的系統性風險。為防範類似漏洞,區塊鏈產業應使用加密安全偽隨機數產生器(CSPRNG);實施多層防禦,包括多重簽章(multisig)、冷儲存與定期審計,避免自訂私鑰產生演算法;礦池需整合即時鏈上監控與異常轉移警報系統。一般使用者在防護方面,應避免使用開源社群未經驗證的金鑰產生模組。事件也提醒我們,即使區塊鏈高度透明,安全基礎薄弱仍可釀成災難性後果。也體現了網路安全在未來數位經濟、數位貨幣發展中的重要性。

原文來源

猜你喜歡

聯合國教科文組織警告稱,到 2028 年,人工智能的顛覆性發展可能會使創作者的收入減少近 25%

關鍵要點:聯合國教科文組織警告稱,人工智能生成的內容可能會導致音樂創作者的收入損失高達24%……

XRP 飆升:由於 Ripple CEO 關鍵角色影響了加密監管

重要要點 Ripple CEO 採取了新的策略位置,在 CFTC 創新諮詢委員會中任職,激發了 XRP 價格的快速攀升。 在獲知此高管聯邦職稱任命的消息後,XRP 單日價格上漲 8.09%。 包括 Ripple、Coinbase 和 Chainlink 等在內的加密領導者被邀請為數位資產框架提供意見。 華爾街對加密貨幣的興趣漸增,Goldman Sachs…

SHIB軍團燃燒3,564,772枚SHIB,但仍有半個千萬億硬幣在流通中

主要收穫 最近24小時內,SHIB燃燒率增加了38%,但未對其總量產生顯著影響。 SHIB市場表現疲弱,與比特幣走勢趨同,近期價格已下跌約30%。 以太坊創辦人Vitalik Buterin曾協助將大量SHIB轉移到無法花費的區塊鏈錢包。 自2021年SHIB發行以來,已經有超過410萬億的SHIB被永久移除流通。 WEEX Crypto News, 2026-02-17 13:46:40 隨著加密貨幣市場的波動不斷,投資者們時刻關注市場的變化,特別是對於一些受歡迎的加密貨幣如SHIB(柴犬幣)而言。近日,根據Shibburn錢包追蹤器的數據顯示,SHIB的每日燃燒率出現了增加。然而,這樣的增幅似乎仍未能對市場中的SHIB總供應量造成顯著的衝擊。 每日銷毀近360萬SHIB 根據Shibburn網站的數據,在過去的一天內,共進行了四筆燃燒交易,其中最大的一筆曾銷毀了1,553,766 SHIB,而另一筆銷毀了1,422,952 SHIB。與之前的燃燒數量相比,這次的燃燒幾乎是昨天燃燒量的兩倍,當時僅有超過200萬的SHIB被銷毀。 自SHIB成立以來,到目前為止,已經有超過410,754,336,997,578枚SHIB被移除流通。這在很大程度上要歸功於SHIB的神秘創始人Ryoshi以及以太坊的領導人Vitalik Buterin。Ryoshi在2021年5月將一半的SHIB供應量交給Buterin,而Buterin則將大部分SHIB轉移到一個無法花費的錢包地址,因為他對SHIB的前景持懷疑態度,因此不希望持有如此大量的SHIB,以避免市場價格操縱的指控。…

加密市場閒置資本的真正成本:為何投資者開始探索IODeFi

重要摘要 加密市場的閒置資金帶來潛在的機會成本,尤其在市場緩慢或橫盤時,資金未充分利用的風險較大。 許多平台的結構會促進用戶將資金閒置,這不利於資本的高效分配,但新興的DeFi模型強調資金的積極流動。 新的DeFi平台允許用戶立即投入資金,在控制、流動性和資本效率方面表現出色。 早期參與新平台往往能獲得不對稱的回報,而不是僅僅承擔較高的風險。 精準的資本管理比過度謹慎更能帶來收益,然後市場動態的變化經常悄然發生。 WEEX Crypto News, 2026-02-17 13:48:43 在加密貨幣市場中,許多用戶關注市場波動性,而更有經驗的參與者則開始考量另一個關鍵因素:機會成本。當市場趨緩或橫盤時,未積極運用的資本可能會錯失相對更高效的配置策略所帶來的回報。因此,越來越多的交易者選擇將資金重新分配到更具資本效率的去中心化金融(DeFi)模型中。 結構問題:許多平台偏向促進資本閒置 許多交易平台的結構使得用戶容易將資金閒置,頻繁交易受到限制,且透明度低,無法迅速回應市場變化。雖然這些平台通常強調速度、收益和靈活性,但往往無法完全實現這些承諾。相較之下,逐漸流行的DeFi模型則基於資金的積極配置比被動持有更具優勢這一理念。 加密貨幣世界中的真正信念通常會顯現在區塊鍊上,用戶不僅是註冊於這些新型平台上,而是在註冊後幾乎立即投入資金。這一行為通常是在滿足了三個條件後才會發生。 1. 控制權的絕對性 用戶的資金保持非託管狀態,無需任何授權風險。當市場波動時,平台不會出現如“維護暫停”的情況。…

特朗普媒體是否真對加密貨幣有利?比特幣、以太坊及 Cronos ETF 呈請

主要重點 特朗普媒體正進一步涉足加密貨幣,申請推出與比特幣、以太幣及 Cronos 相關的 ETF。 新的ETF專注於收益,包括通過質押獲益,強調與 Crypto.com 的深層連結。 美國現貨比特幣 ETF 經歷四周資金外流,而特朗普媒體的動作被認為是其「美國優先」策略的延續。 ETF 結構為收益而設計,其中真相社交(Truth Social)ETF 預計將以 60% 比特幣和 40%…

此鏈上模式在 2022 年打破了 XRP,現在又回來了,Glassnode 說

主要重點 XRP 持有者面臨水下交易的困境,Spent Output Profit Ratio (SOPR) 再度跌破 1.00,許多交易者處於虧損狀態。 最新的 SOPR 接近 0.96,自 2025 年 7 月的 1.16…

熱門幣種

最新加密貨幣要聞

閱讀更多