Walang kredibleng ebidensya na in-hack ng gobyerno ng US ang mga Chinese Bitcoin wallet upang "nakawin" ang $13 billion BTC

Ang National Computer Virus Emergency Response Center ng China ay kakalalabas lang ng akusasyon laban sa Estados Unidos na nagsagawa ng 2020 LuBian Bitcoin exploit.

Gayunpaman, ang pananaliksik mula sa Kanluran ay nag-uugnay sa insidente sa isang wallet random-number flaw at hindi nagbabanggit ng anumang state actor.

Open-source na forensic sa LuBian drain

Ang mga pangunahing katotohanan ng insidenteng ito ay malawak nang naitala sa mga open sources. Ayon sa Arkham, humigit-kumulang 127,000 BTC ang nailipat mula sa mga wallet na konektado sa LuBian mining pool sa loob ng halos dalawang oras noong Disyembre 28–29, 2020, sa pamamagitan ng magkakasabay na withdrawals sa daan-daang address.

Ayon sa MilkSad research team at CVE-2023-39910, ang mga wallet na iyon ay nilikha gamit ang software na nag-seed ng MT19937 gamit lamang ang 32 bits ng entropy, na nagbawas sa search space sa humigit-kumulang 4.29 billion seeds at naglantad ng mga batch ng P2SH-P2WPKH address sa brute-force attacks.

Ang MilkSad’s Update #14 ay nag-uugnay ng isang cluster na may hawak na humigit-kumulang 136,951 BTC na na-drain simula 2020-12-28 sa LuBian.com sa pamamagitan ng on-chain mining activity at nagdodokumento ng fixed 75,000 sat fee pattern sa sweep transactions. Ipinapakita ng reconstruction ng Blockscope na ang karamihan ng pondo ay nanatili sa halos walang galaw sa loob ng maraming taon.

Ang parehong mga coin na iyon ay kasalukuyang nasa mga wallet na kontrolado ng pamahalaan ng U.S. Ayon sa U.S. Department of Justice, ang mga prosecutor ay nagsasagawa ng forfeiture ng humigit-kumulang 127,271 BTC bilang mga kita at kagamitan ng umano’y pandaraya at money laundering na konektado kay Chen Zhi at sa Prince Group. Sinasabi ng DOJ na ang mga asset ay kasalukuyang nasa kustodiya ng U.S.

Ipinapakita ng Elliptic na ang mga address sa DOJ complaint ay tumutugma sa LuBian weak-key cluster na nauna nang natukoy ng MilkSad at Arkham, at ngayon ay tinatag ng Arkham ang mga pinagsama-samang destination wallet bilang kontrolado ng pamahalaan ng U.S. Ang mga on-chain sleuth, kabilang si ZachXBT, ay hayagang binanggit ang pagkakapareho ng mga na-seize na address at ng naunang weak-key set.

Ano ang ipinapakita ng forensic record tungkol sa LuBian exploit

Tungkol sa attribution, ang mga technical team na unang nakatuklas ng flaw at nag-trace ng mga daloy ay hindi nag-aangkin ng kaalaman kung sino ang nagsagawa ng 2020 drain. Paulit-ulit na tinutukoy ng MilkSad ang isang actor na nakadiskubre at nagsamantala sa mga mahihinang private key, na nagsasabing hindi nila alam ang pagkakakilanlan.

Inilarawan nina Arkham at Blockscope ang entity bilang LuBian hacker, na nakatuon sa paraan at saklaw. Ang Elliptic at TRM ay nililimitahan ang kanilang mga pahayag sa tracing at sa pagtutugma ng 2020 outflows at ng sumunod na DOJ seizure. Wala sa mga source na ito ang nagbabanggit ng state actor para sa 2020 operation.

Ang CVERC, na pinalalakas ng CCP-owned Global Times at mga lokal na balita, ay naglalako ng ibang naratibo.

Ipinapahayag nito na ang apat na taong dormancy period ay lumilihis sa karaniwang pattern ng criminal cash-out at samakatuwid ay tumutukoy sa isang state-level hacking organization.

Pagkatapos ay iniuugnay nito ang kalaunang U.S. custody ng mga coin sa alegasyon na ang mga U.S. actor ang nagsagawa ng exploit noong 2020 bago ito gawing law enforcement seizure.

Ang mga teknikal na bahagi ng ulat ay malapit na sumusunod sa independent open research tungkol sa weak keys, MT19937, address batching, at fee patterns.

Ang pagtalon ng attribution nito ay nakabatay sa circumstantial inferences tungkol sa dormancy at huling kustodiya sa halip na sa bagong forensics, tooling ties, infrastructure overlaps, o iba pang karaniwang indicator na ginagamit sa state actor attribution.

Ano ang tunay nating alam tungkol sa LuBian Bitcoin drain

May hindi bababa sa tatlong magkakaugnay na interpretasyon na akma sa mga pampublikong impormasyon.

1. Isa ay na isang hindi kilalang partido, kriminal man o hindi, ang nakadiskubre ng weak-key pattern, na-drain ang cluster noong 2020, iniwang halos dormant ang mga coin, at nakuha ng mga awtoridad ng U.S. ang mga key sa pamamagitan ng pag-seize ng mga device, cooperating witnesses, o kaugnay na investigative means, na humantong sa consolidation at forfeiture filings noong 2024–2025.
2. Ang pangalawa ay itinuturing ang LuBian at mga kaugnay na entity bilang bahagi ng internal treasury at laundering network para sa Prince Group, kung saan ang isang tila hack ay maaaring isang opaque internal movement sa pagitan ng mga wallet na kontrolado ng weak-key, na naaayon sa framing ng DOJ sa mga wallet bilang unhosted at nasa pag-aari ng akusado, bagaman hindi ganap na detalyado sa mga pampublikong dokumento kung paano nakuha ng network ni Chen ang mga partikular na key.
3. Ang pangatlo, na isinusulong ng CVERC, ay na isang U.S. state actor ang responsable sa 2020 operation. Ang unang dalawa ay umaayon sa evidentiary posture na ipinakita sa mga filing ng MilkSad, Arkham, Elliptic, TRM, at DOJ.

Ang pangatlo ay isang alegasyon na hindi pinagtitibay ng independent technical evidence sa pampublikong domain.

Isang maikling timeline ng mga hindi pinagtatalunang kaganapan ay nasa ibaba.

Date (UTC) Event Approx. BTC Source

2020-12-28/29	Magkakasabay na drain mula sa mga LuBian-controlled address	~127,000–127,426	Arkham; Blockscope; MilkSad Update #14
2021–2022	OP_RETURN messages mula sa mga LuBian-linked address na humihiling ng pagbabalik	N/A	MilkSad Update #14; Blockscope
2023-08	Pagbubunyag ng CVE-2023-39910 (weak MT19937 seeding sa Libbitcoin Explorer)	N/A	NVD CVE-2023-39910
2024	Pagkonsolida ng dormant coins sa mga bagong wallet	~127,000	Blockscope; Arkham
2025	DOJ forfeiture action at pampublikong pahayag ng U.S. custody	~127,271	DOJ; CBS News; Elliptic; TRM

Mula sa pananaw ng kakayahan, ang brute forcing ng 2^32 seed space ay abot-kaya para sa mga motivated na actor. Sa humigit-kumulang 1 million guesses kada segundo, kayang tapusin ng isang setup ang buong space sa loob ng ilang oras, at mas napapabilis pa ito ng distributed o GPU-accelerated rigs.

Ang feasibility ay sentro sa MilkSad-class na kahinaan, na nagpapaliwanag kung paano kayang i-sweep ng isang actor ang libu-libong vulnerable address nang sabay-sabay. Ang fixed-fee pattern at address derivation details na inilathala ng MilkSad at ginaya sa technical write-up ng CVERC ay nagpapalakas sa ganitong paraan ng exploitation.

Ang natitirang pagtatalo ay nakasalalay sa pagmamay-ari at kontrol sa bawat hakbang, hindi sa mekanismo. Inilalarawan ng DOJ ang mga wallet bilang repositories ng criminal proceeds na konektado kay Chen at sinasabing ang mga asset ay forfeitable sa ilalim ng batas ng U.S.

Inilalarawan ng mga awtoridad ng China ang LuBian bilang biktima ng pagnanakaw at inaakusahan ang isang U.S. state actor ng orihinal na exploit.

Ang mga independent blockchain forensics group ay nag-uugnay sa 2020 outflows sa 2024–2025 consolidation at seizure, at hindi tinutukoy kung sino ang nag-activate noong 2020. Iyan ang kasalukuyang estado ng rekord.

Ang post na No credible evidence US government hacked Chinese Bitcoin wallets to “steal” $13 billion BTC ay unang lumabas sa CryptoSlate.