Aucune preuve crédible que le gouvernement américain ait piraté des portefeuilles Bitcoin chinois pour « voler » 13 milliards de dollars en BTC

Le Centre national chinois d'intervention d'urgence contre les virus informatiques (CVERC) vient d'accuser les États-Unis d'avoir mené l'exploitation LuBian Bitcoin en 2020.

Cependant, les recherches occidentales attribuent l'événement à une faille dans le générateur de nombres aléatoires des portefeuilles et ne mentionnent aucun acteur étatique.

Analyses open-source sur le drainage LuBian

Les faits principaux de cet épisode sont désormais bien documentés dans des sources ouvertes. Selon Arkham, environ 127 000 BTC ont été déplacés depuis des portefeuilles associés au pool de minage LuBian sur une période d'environ deux heures, les 28 et 29 décembre 2020, via des retraits coordonnés sur des centaines d'adresses.

Selon l'équipe de recherche MilkSad et CVE-2023-39910, ces portefeuilles ont été créés avec un logiciel qui initialisait MT19937 avec seulement 32 bits d'entropie, réduisant ainsi l'espace de recherche à environ 4,29 milliards de graines et exposant des lots d'adresses P2SH-P2WPKH à des attaques par force brute.

L'Update #14 de MilkSad relie un cluster détenant environ 136 951 BTC, drainé à partir du 28-12-2020, à LuBian.com via l'activité de minage on-chain et documente le schéma fixe de frais de 75 000 sat sur les transactions de balayage. La reconstruction de Blockscope montre que la majorité des fonds est ensuite restée quasiment immobile pendant des années.

Ces mêmes coins sont désormais conservés dans des portefeuilles contrôlés par le gouvernement américain. Selon le Department of Justice (DOJ) des États-Unis, les procureurs poursuivent la confiscation d'environ 127 271 BTC en tant que produits et instruments d'une fraude présumée et de blanchiment d'argent liés à Chen Zhi et au Prince Group. Le DOJ précise que les actifs sont actuellement sous la garde des États-Unis.

Elliptic montre que les adresses mentionnées dans la plainte du DOJ correspondent au cluster de clés faibles LuBian déjà identifié par MilkSad et Arkham, et Arkham étiquette désormais les portefeuilles de destination consolidés comme contrôlés par le gouvernement américain. Des enquêteurs on-chain, dont ZachXBT, ont publiquement noté le chevauchement entre les adresses saisies et l'ensemble de clés faibles précédemment identifié.

Ce que révèle l'analyse forensique sur l'exploitation LuBian

Concernant l'attribution, les équipes techniques ayant identifié la faille et tracé les flux ne prétendent pas savoir qui a exécuté le drainage en 2020. MilkSad fait à plusieurs reprises référence à un acteur ayant découvert et exploité des clés privées faibles, déclarant ne pas connaître son identité.

Arkham et Blockscope décrivent l'entité comme le hacker LuBian, en se concentrant sur la méthode et l'ampleur. Elliptic et TRM limitent leurs affirmations au traçage et à la correspondance entre les sorties de 2020 et la saisie ultérieure du DOJ. Aucune de ces sources ne nomme un acteur étatique pour l'opération de 2020.

Le CVERC, amplifié par le Global Times détenu par le PCC et des relais locaux, avance un récit différent.

Il soutient que la période de dormance de quatre ans s'écarte des schémas habituels de liquidation criminelle et pointe donc vers une organisation de piratage de niveau étatique.

Il relie ensuite la garde ultérieure des coins par les États-Unis à l'allégation selon laquelle des acteurs américains auraient exécuté l'exploitation en 2020 avant de la transformer en saisie par les forces de l'ordre.

Les sections techniques du rapport suivent de près les recherches open-source indépendantes sur les clés faibles, MT19937, le regroupement d'adresses et les schémas de frais.

Son saut d'attribution repose sur des inférences circonstancielles concernant la dormance et la garde finale, plutôt que sur de nouvelles analyses forensiques, des liens d'outils, des chevauchements d'infrastructures ou d'autres indicateurs standards utilisés dans l'attribution à un acteur étatique.

Ce que nous savons réellement sur le drainage LuBian Bitcoin

Il existe au moins trois lectures cohérentes qui correspondent à ce qui est public.

1. La première est qu'une partie inconnue, criminelle ou non, a découvert le schéma de clés faibles, a drainé le cluster en 2020, a laissé les coins principalement dormants, et que les autorités américaines ont ensuite obtenu les clés via la saisie de dispositifs, des témoins coopérants ou d'autres moyens d'enquête, ce qui a abouti à la consolidation et aux procédures de confiscation en 2024–2025.
2. La seconde considère LuBian et les entités associées comme faisant partie d'un réseau interne de trésorerie et de blanchiment pour Prince Group, où un apparent piratage aurait pu être un mouvement interne opaque entre des portefeuilles contrôlés par des clés faibles, ce qui correspond à la présentation du DOJ des portefeuilles comme non hébergés et en possession du prévenu, bien que les documents publics ne détaillent pas entièrement comment le réseau de Chen a pris le contrôle des clés spécifiques.
3. La troisième, avancée par le CVERC, est qu'un acteur étatique américain était responsable de l'opération de 2020. Les deux premières s'alignent sur la posture probante présentée dans les dossiers de MilkSad, Arkham, Elliptic, TRM et le DOJ.

La troisième est une allégation non étayée par des preuves techniques indépendantes dans le domaine public.

Une brève chronologie des événements incontestés figure ci-dessous.

Date (UTC) Événement Approx. BTC Source

2020-12-28/29	Drains coordonnés depuis des adresses contrôlées par LuBian	~127 000–127 426	Arkham; Blockscope; MilkSad Update #14
2021–2022	Messages OP_RETURN depuis des adresses liées à LuBian suppliant le retour	N/A	MilkSad Update #14; Blockscope
2023-08	Divulgation de CVE-2023-39910 (initialisation faible de MT19937 dans Libbitcoin Explorer)	N/A	NVD CVE-2023-39910
2024	Consolidation des coins dormants dans de nouveaux portefeuilles	~127 000	Blockscope; Arkham
2025	Action de confiscation du DOJ et déclarations publiques sur la garde américaine	~127 271	DOJ; CBS News; Elliptic; TRM

D'un point de vue technique, forcer un espace de graines de 2^32 est tout à fait à la portée d'acteurs motivés. À environ 1 million de tentatives par seconde, une seule configuration peut parcourir l'espace en quelques heures, et des installations distribuées ou accélérées par GPU réduisent encore ce délai.

La faisabilité est centrale à la faiblesse de type MilkSad, expliquant comment un seul acteur peut balayer simultanément des milliers d'adresses vulnérables. Le schéma de frais fixes et les détails de dérivation d'adresses publiés par MilkSad et repris dans l'analyse technique du CVERC renforcent cette méthode d'exploitation.

Les différends restants portent sur la propriété et le contrôle à chaque étape, non sur la mécanique. Le DOJ présente les portefeuilles comme des dépôts de produits criminels liés à Chen et affirme que les actifs sont confisquables selon la loi américaine.

Les autorités chinoises présentent LuBian comme une victime de vol et accusent un acteur étatique américain de l'exploitation initiale.

Les groupes indépendants de forensique blockchain relient les sorties de 2020 à la consolidation et à la saisie de 2024–2025, mais s'abstiennent de nommer qui a appuyé sur le bouton en 2020. Tel est l'état du dossier.

L'article No credible evidence US government hacked Chinese Bitcoin wallets to “steal” $13 billion BTC est apparu en premier sur CryptoSlate.