AQSh tasodifan 15 milliard dollarlik bitcoin’ning shaxsiy kalitini ochib oldi

Muallif: BUBBLE

 

2025-yil oktyabr oyida, AQSh Nyu-York Sharqiy okrugi Federal okrug sudi misli ko‘rilmagan kripto-aktivlarni musodara qilish ishini oshkor qildi, AQSh hukumati 127,271 dona bitcoinni musodara qildi, bu bozor narxiga ko‘ra taxminan 15 milliard AQSh dollariga teng.

Cobo hammuassisi Shenyu ta’kidlashicha, huquqni muhofaza qilish organlari maxfiy kalitlarni zo‘ravonlik bilan buzish yoki xakerlik orqali emas, balki tasodifiylikdagi zaiflikdan foydalangan. Ba’zi forumlarda esa huquqni muhofaza qilish organlari Princ Group rahbari Chen Zhi va uning oilasi nazoratidagi serverlar va apparat hamyonlaridan to‘g‘ridan-to‘g‘ri hamyonning mnemonic yoki maxfiy kalit fayllarini olib qo‘yganligi aytiladi, biroq aniq faktlar hali ommaga oshkor qilinmagan.

Ushbu apparat hamyonlar keyinchalik AQSh Moliya vazirligiga qarashli US Marshals Service (USMS) tomonidan saqlanadigan ko‘p imzoli sovuq omborlarga ko‘chirildi. 2025-yil 15-oktyabrda USMS tomonidan imzolangan va rasmiy saqlovchi manzilga o‘tkazilgan 9,757 BTC ham aynan shu manbadan kelib chiqqan. AQSh Adliya vazirligi ayblov xulosasida Lubian’ni Kambodjadagi Princ Group’ning pul yuvish tarmog‘ining bir qismi sifatida ta’riflagan va jinoyatchi guruh firibgarlikdan olingan mablag‘larni “yangi qazib olingan” kriptovalyutalar orqali yuvishga uringanini ta’kidlagan.

Ba’zi hamjamiyat a’zolari zanjir ustidagi ma’lumotlarni kuzatib, bu 2020-yil oxirida Lubian mining pool’dagi zaiflik tufayli o‘g‘irlangan bitcoinlar ekanini aniqlashgan. Lubian mining pool 2020-yilda to‘satdan paydo bo‘lgan, jamoa haqida hech qanday ma’lumot yoki ish yuritish modeli e’lon qilinmagan, biroq qisqa vaqt ichida dunyoning eng kuchli 10 mining pool’idan biriga aylangan va global hisoblash quvvatining qariyb 6% ini egallagan.

Hisobotda Chen Zhi boshqa Princ Group a’zolariga “foyda katta, chunki xarajat yo‘q” deb maqtanganini aytadi, biroq bu mining pool’ni Chen Zhi tashkil qilganmi yoki keyinchalik nazoratga olganmi, hozircha noma’lum. Biroq ushbu ish uzoq vaqt jim bo‘lgan “katta kit”ni yana yuzaga chiqardi va 2020-yil atrofida yuz bergan hamyon maxfiy kalitlari xavfsizligi fojiasini qayta ko‘rib chiqishga sabab bo‘ldi.

Tadqiqotchilar keyinchalik tekshiruv o‘tkazganlarida, buzilgan kalitlar yaratish jarayonida birinchi mnemonic’dagi dastlabki ikki so‘z “Milk Sad” bo‘lgan, shundan keyin bu hodisa “Milk Sad voqeasi” deb atalgan.

Zaif tasodifiy sonlar xavfi

Hamma muammo Mersenne Twister MT19937-32, ya’ni soxta tasodifiy sonlar generatoridan boshlangan.

Bitcoin maxfiy kaliti aslida 256 bitli tasodifiy sonlardan iborat bo‘lishi kerak, nazariy jihatdan 2^256 xil kombinatsiya mavjud. To‘liq mos keluvchi ketma-ketlik yaratish uchun 256 marta “tanga tashlash” natijalarining barchasi bir xil bo‘lishi kerak, bu ehtimol deyarli nolga teng. Hamyon xavfsizligi omadga emas, balki bu ulkan ehtimollar maydoniga asoslanadi.

Biroq Lubian mining pool va boshqa vositalarda ishlatilgan Mersenne Twister MT19937-32 haqiqiy “tanga tashlash mashinasi” emas, balki cheklangan va muntazam oraliqda raqamlarni tanlaydigan qurilma kabi ishlaydi.

Xakerlar bu qonuniyatni aniqlagach, barcha zaif maxfiy kalitlarni tezda aniqlash va ularga mos bitcoin hamyonlarini ochish imkoniga ega bo‘lishdi.

Ba’zi hamyon yoki mining pool foydalanuvchilari xavfsizlikni to‘g‘ri tushunmagani sababli, 2019-yildan 2020-yilgacha ushbu “zaif tasodifiy algoritm” asosida yaratilgan bitcoin hamyonlarida ulkan boylik to‘plangan, ko‘plab mablag‘lar bu zaif oraliqqa kirib kelgan.

Milk Sad jamoasi statistikalariga ko‘ra, 2019-2020-yillar oralig‘ida ushbu zaif kalitli hamyonlarda jami 53,500 dan ortiq bitcoin saqlangan.

Mablag‘lar manbasi orasida “kit” darajasidagi yirik tranzaksiyalar ham bor: 2019-yil aprel oyida to‘rt zaif hamyon qisqa vaqt ichida 24,999 bitcoin qabul qilgan. Shuningdek, kundalik mining daromadlari ham bor: ayrim manzillar bir yil ichida “lubian.com” deb belgilangan 14,000 dan ortiq mining mukofotlarini olgan, bunday hamyonlar hozirda jami 220,000 taga yetgan, ularning egalari esa maxfiy kalit yaratish bosqichidagi xavfdan bexabar bo‘lgan va hanuzgacha mablag‘larini shu yerga joylashtirishda davom etmoqda.

2020-yil oxiridagi ommaviy chiqish

Uzoq vaqt yashirinib yotgan xavfsizlik muammosi 2020-yil oxirida portladi. 2020-yil 28-dekabrda zanjirda g‘ayrioddiy tranzaksiyalar paydo bo‘ldi, Lubian zaif kalitli oraliqdagi ko‘plab hamyonlar bir necha soat ichida bo‘shatildi, jami 136,951 bitcoin bir martada chiqarib yuborildi, o‘sha paytdagi narx bo‘yicha qiymati 3.7 milliard AQSh dollariga teng edi.

Tranzaksiya komissiyasi doimiy 75,000 sats bo‘lgan, miqdoridan qat’i nazar o‘zgarmagan, bu esa operator bitcoin tarmog‘ini mukammal bilganini ko‘rsatadi. Mablag‘larning bir qismi keyinchalik Lubian mining pool’ga qaytarilgan va keyingi mining mukofotlari uchun ishlatilgan, bu esa barcha mablag‘lar xakerlar qo‘liga tushmaganini ko‘rsatadi. Ammo jabrlanuvchilar uchun yo‘qotishlar aniq haqiqatga aylandi.

Yana bir g‘alati jihati shundaki, ba’zi zanjir ustidagi tranzaksiyalarda xabarlar qoldirilgan, masalan: “Bizning aktivlarimizni qutqargan oq shapkalilarga, iltimos, 1228btc@gmail.com bilan bog‘laning”. Zaif maxfiy kalitli manzillar ochilganligi sababli, istalgan kishi bu manzillarga xabarli tranzaksiya yuborishi mumkin, bu xabarlar haqiqiy jabrlanuvchilardan bo‘lmasligi ham mumkin.

Bu xakerlarning hazilimi yoki jabrlanuvchilarning yordam so‘rovi ekani hanuz noma’lum. Eng xavflisi, o‘sha paytda bu ulkan tranzaksiya darhol o‘g‘irlik sifatida qabul qilinmagan.

Milk Sad tadqiqotchilari keyingi tahlilida tan olishdiki, o‘sha paytda bitcoin narxi keskin oshgan, mining pool daromadlari to‘xtagan, ular bu xakerlar ishi yoki Lubian rahbariyati yuqori narxda sotib, hamyonlarni qayta tashkil qilganmi, aniqlay olmagan. Ular “agar 2020-yilda o‘g‘irlik sodir bo‘lgan bo‘lsa, bu tasdiqlangan Mersenne Twister zaif kalitli hujumlaridan oldin bo‘ladi, lekin biz bu ehtimolni inkor eta olmaymiz” deya ta’kidlagan.

Aynan shu noaniqlik sababli, 2020-yil oxiridagi mablag‘larning chiqib ketishi sanoatda xavf signalini keltirib chiqarmadi, katta miqdordagi bitcoin keyingi yillar davomida zanjirda jim bo‘lib qoldi va ochilmagan jumboqqa aylandi.

Shu sababli, faqat Lubian emas, balki eski versiyadagi Trust Wallet ham zarar ko‘rgan. 2022-yil 17-noyabrda xavfsizlik tadqiqot guruhi Ledger Donjon birinchi marta Binance’ga Trust Wallet’dagi tasodifiy sonlar zaifligini oshkor qildi, jamoa tezda javob qaytardi va ertasi kuni GitHub’da tuzatish kiritdi hamda ta’sirlangan foydalanuvchilarga xabar bera boshladi.

Biroq 2023-yil 22-aprelgacha Trust Wallet rasmiy ravishda zaiflik tafsilotlari va kompensatsiya choralarini e’lon qilmadi. Shu orada xakerlar zaiflikdan bir necha bor foydalangan, jumladan 2023-yil 11-yanvarda taxminan 50 bitcoin o‘g‘irlangan.

Kechikkan signal

Shu bilan birga, zaiflik yana bir loyihada yuzaga chiqayotgan edi.

Libbitcoin Explorer 3.x versiyasidagi bx seed buyrug‘i MT19937 soxta tasodifiy sonlar algoritmi va 32-bitli tizim vaqtini urug‘ sifatida ishlatgan, natijada yaratilgan kalitlar maydoni atigi 2^32 kombinatsiyadan iborat bo‘lgan.

Xakerlar tez orada sinov hujumlarini boshlashdi, 2023-yil may oyidan boshlab zanjirda bir nechta kichik o‘g‘irliklar sodir bo‘ldi. 12-iyulda hujum avjiga chiqdi, bx yordamida yaratilgan ko‘plab hamyonlar to‘liq bo‘shatildi. 21-iyulda Milk Sad tadqiqotchilari foydalanuvchining yo‘qotishlarini tekshirishda muammoning ildizini topishdi: aynan bx seed’dagi zaif tasodifiy sonlar maxfiy kalitlarni zo‘ravonlik bilan aniqlash imkonini bergan, ular darhol bu haqda Libbitcoin jamoasiga xabar berishdi.

Biroq bu buyruq rasmiylar tomonidan test vositasi sifatida ko‘rilgani sababli, dastlabki muloqotlar samarali bo‘lmadi, jamoa oxir-oqibat loyiha egalarini chetlab o‘tib, 8-avgustda zaiflikni ommaga oshkor qildi va CVE raqami uchun ariza berdi.

Aynan 2023-yildagi ushbu kashfiyotdan so‘ng, Milk Sad jamoasi tarixiy ma’lumotlarni teskari tahlil qilishni boshladi. Ular hayratda qolishdiki, 2019-2020-yillarda katta mablag‘ to‘plangan zaif kalitli oraliq Lubian bilan bog‘liq bo‘lib chiqdi va 2020-yil 28-dekabrda yuqorida tilga olingan ulkan tranzaksiya amalga oshirilgan.

O‘sha paytda jami 136,951 bitcoin ushbu zaif hamyonlarda saqlanayotgan edi, o‘sha kundagi ommaviy chiqish qiymati 3.7 milliard AQSh dollariga teng bo‘lgan, so‘nggi ma’lum harakat esa 2024-yil iyulidagi hamyonlarni birlashtirish bo‘lgan.

Boshqacha aytganda, Lubian hodisasining shubhali jihatlari faqat zaif tasodifiylik zaifligi fosh bo‘lgandan keyin yuzaga chiqdi, o‘sha paytdagi signal berish oynasi allaqachon yopilgan edi va o‘sha vaqtdagi bitcoinlar ham izsiz yo‘qoldi. 5 yil o‘tib, AQSh Adliya vazirligi (DOJ) va Buyuk Britaniya organlari Princ Group va Chen Zhi’ga qarshi qo‘shma ayblov e’lon qilgach, ishga aniqlik kiritildi.

Biz uchun esa, endi “Not your Wallet, Not Your Money” degan gap faqat tasodifiylik asosiy shart bo‘lsa amal qiladi.