Không có bằng chứng đáng tin cậy cho thấy chính phủ Mỹ đã hack ví Bitcoin của Trung Quốc để “đánh cắp” 13 tỷ đô la BTC

Trung tâm Ứng phó Khẩn cấp Virus Máy tính Quốc gia Trung Quốc vừa cáo buộc Hoa Kỳ thực hiện vụ khai thác Bitcoin LuBian năm 2020.

Tuy nhiên, các nghiên cứu phương Tây lại liên kết sự kiện này với một lỗ hổng số ngẫu nhiên của ví và không nêu tên bất kỳ tác nhân nhà nước nào.

Phân tích pháp y mã nguồn mở về vụ rút tiền LuBian

Các sự kiện cốt lõi của vụ việc hiện đã được ghi nhận rõ ràng trên các nguồn mở. Theo Arkham, khoảng 127.000 BTC đã được chuyển ra khỏi các ví liên kết với nhóm khai thác LuBian trong khoảng hai giờ vào ngày 28–29 tháng 12 năm 2020, thông qua các giao dịch rút tiền phối hợp trên hàng trăm địa chỉ.

Theo nhóm nghiên cứu MilkSad và CVE-2023-39910, các ví đó được tạo bằng phần mềm sử dụng MT19937 với chỉ 32 bit entropy, điều này làm giảm không gian tìm kiếm xuống còn khoảng 4,29 tỷ seed và khiến các địa chỉ P2SH-P2WPKH dễ bị tấn công brute-force.

Bản cập nhật #14 của MilkSad liên kết một cụm chứa khoảng 136.951 BTC bị rút bắt đầu từ ngày 28-12-2020 với LuBian.com thông qua hoạt động khai thác trên chuỗi và ghi nhận mô hình phí cố định 75.000 sat trên các giao dịch sweep. Phân tích của Blockscope cho thấy phần lớn số tiền này sau đó nằm yên với rất ít di chuyển trong nhiều năm.

Chính những đồng coin này hiện đang nằm trong các ví do chính phủ Hoa Kỳ kiểm soát. Theo Bộ Tư pháp Hoa Kỳ, các công tố viên đang tiến hành tịch thu khoảng 127.271 BTC như là tài sản thu được và công cụ của các hành vi gian lận và rửa tiền bị cáo buộc liên quan đến Chen Zhi và Prince Group. DOJ cho biết các tài sản này hiện đang được Hoa Kỳ quản lý.

Elliptic cho thấy các địa chỉ trong đơn kiện của DOJ trùng khớp với cụm khóa yếu của LuBian mà MilkSad và Arkham đã xác định trước đó, và Arkham hiện gắn nhãn các ví đích hợp nhất là do chính phủ Hoa Kỳ kiểm soát. Các nhà điều tra on-chain, bao gồm ZachXBT, đã công khai lưu ý sự trùng lặp giữa các địa chỉ bị tịch thu và bộ khóa yếu trước đó.

Hồ sơ pháp y cho thấy gì về vụ khai thác LuBian

Về mặt quy kết, các nhóm kỹ thuật đầu tiên xác định lỗ hổng và truy vết dòng tiền không tuyên bố biết ai đã thực hiện vụ rút tiền năm 2020. MilkSad nhiều lần đề cập đến một tác nhân đã phát hiện và khai thác các khóa riêng yếu, đồng thời khẳng định họ không biết danh tính.

Arkham và Blockscope mô tả thực thể này là hacker LuBian, tập trung vào phương pháp và quy mô. Elliptic và TRM chỉ giới hạn tuyên bố của mình ở việc truy vết và sự trùng khớp giữa các dòng tiền ra năm 2020 và vụ tịch thu sau này của DOJ. Không nguồn nào trong số này nêu tên một tác nhân nhà nước cho hoạt động năm 2020.

CVERC, được truyền thông bởi Global Times thuộc sở hữu của ĐCSTQ và các phương tiện truyền thông địa phương, đưa ra một câu chuyện khác.

Họ lập luận rằng khoảng thời gian không hoạt động bốn năm khác với các mô hình rút tiền mặt thông thường của tội phạm và do đó chỉ ra một tổ chức hack cấp nhà nước.

Sau đó, họ liên kết việc Hoa Kỳ nắm giữ các đồng coin này với cáo buộc rằng các tác nhân Hoa Kỳ đã thực hiện vụ khai thác vào năm 2020 trước khi biến nó thành một vụ tịch thu thực thi pháp luật.

Các phần kỹ thuật của báo cáo bám sát các nghiên cứu độc lập về khóa yếu, MT19937, gom địa chỉ và mô hình phí.

Bước nhảy quy kết của họ dựa trên các suy luận gián tiếp về sự không hoạt động và quyền quản lý cuối cùng, thay vì các bằng chứng pháp y mới, liên kết công cụ, trùng lặp hạ tầng hoặc các chỉ số tiêu chuẩn khác thường được sử dụng trong quy kết tác nhân nhà nước.

Những gì chúng ta thực sự biết về vụ rút Bitcoin LuBian

Có ít nhất ba cách hiểu hợp lý phù hợp với những gì đã được công khai.

1. Một là một bên không xác định, có thể là tội phạm hoặc không, đã phát hiện mô hình khóa yếu, rút cạn cụm ví vào năm 2020, để các đồng coin phần lớn không hoạt động, và sau đó chính quyền Hoa Kỳ đã lấy được các khóa thông qua việc thu giữ thiết bị, nhân chứng hợp tác hoặc các biện pháp điều tra liên quan, dẫn đến việc hợp nhất và nộp đơn tịch thu vào năm 2024–2025.
2. Cách hiểu thứ hai coi LuBian và các thực thể liên quan là một phần của mạng lưới quỹ nội bộ và rửa tiền cho Prince Group, trong đó một vụ hack rõ ràng có thể là một chuyển động nội bộ không minh bạch giữa các ví kiểm soát bằng khóa yếu, phù hợp với cách DOJ mô tả các ví này là không lưu trữ và thuộc quyền sở hữu của bị cáo, mặc dù các tài liệu công khai không nêu chi tiết đầy đủ cách mạng lưới của Chen kiểm soát các khóa cụ thể.
3. Cách hiểu thứ ba, do CVERC đưa ra, là một tác nhân nhà nước Hoa Kỳ chịu trách nhiệm cho hoạt động năm 2020. Hai cách đầu tiên phù hợp với lập luận bằng chứng được trình bày trong các tài liệu của MilkSad, Arkham, Elliptic, TRM và DOJ.

Cách hiểu thứ ba là một cáo buộc không được chứng minh bằng bằng chứng kỹ thuật độc lập trong phạm vi công khai.

Dưới đây là dòng thời gian ngắn về các sự kiện không bị tranh cãi.

Ngày (UTC) Sự kiện Số BTC xấp xỉ Nguồn

2020-12-28/29	Rút tiền phối hợp từ các địa chỉ do LuBian kiểm soát	~127.000–127.426	Arkham; Blockscope; MilkSad Update #14
2021–2022	Tin nhắn OP_RETURN từ các địa chỉ liên kết với LuBian cầu xin hoàn trả	N/A	MilkSad Update #14; Blockscope
2023-08	Công bố CVE-2023-39910 (khởi tạo MT19937 yếu trong Libbitcoin Explorer)	N/A	NVD CVE-2023-39910
2024	Hợp nhất các đồng coin không hoạt động vào ví mới	~127.000	Blockscope; Arkham
2025	Hành động tịch thu của DOJ và tuyên bố công khai về việc Hoa Kỳ quản lý	~127.271	DOJ; CBS News; Elliptic; TRM

Xét về năng lực, việc brute-force không gian seed 2^32 nằm trong khả năng của các tác nhân có động lực. Với tốc độ khoảng 1 triệu lần đoán mỗi giây, một thiết lập đơn lẻ có thể quét hết không gian trong vài giờ, và các hệ thống phân tán hoặc tăng tốc bằng GPU còn rút ngắn thời gian hơn nữa.

Tính khả thi là trọng tâm của điểm yếu loại MilkSad, giải thích cách một tác nhân duy nhất có thể quét sạch hàng nghìn địa chỉ dễ bị tấn công cùng lúc. Mô hình phí cố định và chi tiết dẫn xuất địa chỉ do MilkSad công bố và được phản ánh trong báo cáo kỹ thuật của CVERC củng cố phương pháp khai thác này.

Những tranh cãi còn lại nằm ở quyền sở hữu và kiểm soát tại từng bước, không phải ở cơ chế. DOJ mô tả các ví này là nơi lưu trữ tiền phạm tội liên quan đến Chen và khẳng định tài sản có thể bị tịch thu theo luật Hoa Kỳ.

Chính quyền Trung Quốc mô tả LuBian là nạn nhân của vụ trộm và cáo buộc một tác nhân nhà nước Hoa Kỳ là thủ phạm ban đầu.

Các nhóm pháp y blockchain độc lập kết nối các dòng tiền ra năm 2020 với việc hợp nhất và tịch thu năm 2024–2025, nhưng không xác định ai là người đã thực hiện thao tác vào năm 2020. Đó là tình trạng của hồ sơ hiện tại.

Bài viết No credible evidence US government hacked Chinese Bitcoin wallets to “steal” $13 billion BTC xuất hiện đầu tiên trên CryptoSlate.