Trung Quốc cáo buộc Mỹ ăn cắp 13 tỷ đô la Bitcoin vụ hack Lubian

Trung tâm Ứng cứu Virus Máy tính Quốc gia Trung Quốc (CVERC) vừa cáo buộc chính phủ Mỹ đứng sau vụ khai thác Bitcoin LuBian năm 2020. Tuy nhiên, các nghiên cứu phương Tây lại liên kết sự cố này với lỗ hổng số ngẫu nhiên trong ví (wallet random-number flaw) mà không nêu tên bất kỳ tác nhân nhà nước nào.

Các sự kiện cơ bản về vụ việc hiện đã được ghi nhận rộng rãi trên các nguồn mở. Theo Arkham, khoảng 127.000 BTC đã được rút từ các ví liên kết với pool khai thác LuBian trong khoảng hai giờ, từ ngày 28–29/12/2020, thông qua các lệnh rút phối hợp trên hàng trăm địa chỉ.

Nhóm nghiên cứu MilkSad và CVE-2023-39910 xác định rằng những ví này được tạo bằng phần mềm sử dụng MT19937 với chỉ 32 bit entropy, làm giảm không gian tìm kiếm xuống khoảng 4,29 tỷ seed và khiến các địa chỉ P2SH-P2WPKH dễ bị tấn công brute-force.

Cập nhật #14 của MilkSad liên kết một cụm nắm giữ khoảng 136.951 BTC, bị rút bắt đầu từ 28/12/2020, với LuBian.com thông qua hoạt động khai thác trên chuỗi và ghi nhận mô hình phí cố định 75.000 satoshi trong các giao dịch quét (sweep). Blockscope cho thấy phần lớn số tiền sau đó gần như không di chuyển trong nhiều năm.

Hiện tại, những đồng coin này đang nằm trong ví do chính phủ Mỹ kiểm soát. Bộ Tư pháp Mỹ (DOJ) cho biết đang theo đuổi việc tịch thu khoảng 127.271 BTC như tài sản liên quan đến cáo buộc gian lận và rửa tiền của Chen Zhi và Prince Group. Các địa chỉ trong vụ kiện của DOJ trùng khớp với cụm ví yếu của LuBian mà MilkSad và Arkham đã xác định, và Arkham hiện đánh dấu các ví đích hợp nhất là do chính phủ Mỹ quản lý.

Những gì ghi nhận về kỹ thuật vụ khai thác LuBian

Các nhóm kỹ thuật đầu tiên xác định lỗ hổng và theo dõi luồng tiền không khẳng định biết ai đã thực hiện vụ rút Bitcoin năm 2020. MilkSad nhiều lần nhấn mạnh họ chỉ biết có một tác nhân khai thác khóa riêng yếu, nhưng không rõ danh tính.

Arkham và Blockscope gọi thực thể này là “hacker LuBian”, tập trung vào phương pháp và quy mô. Elliptic và TRM chỉ tập trung vào việc theo dấu và sự trùng khớp giữa dòng tiền 2020 và vụ tịch thu sau này của DOJ. Không nguồn nào công bố tác nhân nhà nước cho vụ việc 2020.

Ngược lại, CVERC, được khuếch đại bởi Global Times và một số phương tiện địa phương, đưa ra câu chuyện khác. Họ lập luận rằng việc đồng coin “ngủ đông” bốn năm khác với cách rút tiền thông thường của tội phạm, do đó nghi ngờ một tổ chức hacker cấp nhà nước. Họ liên hệ việc Mỹ nắm giữ số coin sau này với giả thuyết rằng Mỹ đã thực hiện vụ khai thác ban đầu trước khi biến nó thành vụ tịch thu hợp pháp.

Báo cáo kỹ thuật của CVERC theo sát các nghiên cứu độc lập về khóa yếu, MT19937, nhóm địa chỉ và mô hình phí, nhưng việc cáo buộc tác nhân nhà nước dựa trên các suy luận về thời gian “ngủ đông” và quyền sở hữu cuối cùng, chứ không dựa trên bằng chứng kỹ thuật mới, liên kết hạ tầng hay công cụ định danh tác nhân nhà nước tiêu chuẩn.

Những gì thực sự biết về vụ rút Bitcoin LuBian

Hiện có ít nhất ba cách hiểu dựa trên dữ liệu công khai:

1. Một bên không rõ, có thể là tội phạm hoặc khác, khai thác khóa yếu, rút cụm tiền năm 2020, để coin “ngủ đông”, sau đó Mỹ thu được khóa thông qua tịch thu thiết bị, nhân chứng hợp tác hoặc các phương thức điều tra liên quan, dẫn đến hợp nhất và nộp đơn tịch thu 2024–2025.

2. LuBian và các thực thể liên quan là một phần mạng lưới nội bộ của Prince Group, vụ “hack” có thể là di chuyển nội bộ giữa các ví khóa yếu, phù hợp với cách DOJ mô tả ví không lưu ký nhưng trong quyền kiểm soát của bị cáo, mặc dù hồ sơ công khai không chi tiết cách mạng lưới Chen kiểm soát các khóa cụ thể.

3. Theo CVERC, tác nhân nhà nước Mỹ chịu trách nhiệm vụ rút 2020. Hai lý giải đầu phù hợp với bằng chứng do MilkSad, Arkham, Elliptic, TRM và DOJ cung cấp; lý giải thứ ba là cáo buộc chưa được xác thực kỹ thuật độc lập.

Dòng thời gian các sự kiện chính

Về khả năng kỹ thuật, brute-force một không gian seed 2^32 là khả thi với các tác nhân có động lực cao. Với tốc độ khoảng 1 triệu lần đoán mỗi giây, một hệ thống đơn lẻ có thể quét hết không gian trong vài giờ; nếu dùng GPU hoặc thiết lập phân tán, tốc độ còn nhanh hơn.

Khả năng này giải thích cách một tác nhân có thể quét hàng nghìn địa chỉ dễ bị tấn công cùng lúc. Mô hình phí cố định và cách dẫn xuất địa chỉ được MilkSad công bố, cũng như trong báo cáo kỹ thuật CVERC, củng cố phương pháp khai thác này.

Các tranh cãi còn lại liên quan đến quyền sở hữu và kiểm soát ở từng bước, không phải cơ chế kỹ thuật. DOJ coi các ví là kho lưu trữ tài sản liên quan tới Chen và có thể tịch thu theo luật Mỹ, trong khi cơ quan Trung Quốc coi LuBian là nạn nhân của vụ trộm và cáo buộc Mỹ là tác nhân nhà nước. Các nhóm pháp y blockchain độc lập liên kết dòng tiền 2020 với việc hợp nhất và tịch thu 2024–2025, nhưng không xác định ai thực hiện lệnh rút năm 2020. Đây là tình trạng ghi nhận hiện tại.

• Hoa Kỳ tịch thu 14,2 tỷ đô la Bitcoin từ trùm lừa đảo buôn người Campuchia
• Chen Zhi đang chạy trốn với 1,8 tỷ đô la Bitcoin
• Mỹ mở khoá 15 tỷ USD Bitcoin của “trùm lừa đảo” Campuchia Trần Chí như thế nào?