大瓜！原来150亿美元比特币是被美国“黑吃黑”了

2020年12月29日，LuBian矿池发生一起重大黑客攻击事件，总计127272.06953176枚比特币（当时市值约35亿美元，现市值已达150亿美元）被攻击者窃取。这批巨额比特币的持有者正是柬埔寨太子集团主席陈志。黑客攻击事件发生后，陈志及其太子集团分别于2021年初、2022年7月多次在区块链上发布消息，向黑客喊话，希望黑客能够归还被盗比特币并愿意支付赎金，但没有收到任何回复。但奇怪的是，这批巨额比特币被盗后，存放于攻击者控制的比特币钱包地址中沉寂长达4年之久，几乎分文未动，这显然不符合一般黑客急于变现追逐利益的行为，更像是一场由“国家级黑客组织”操盘的精准行动。直到2024年6月，这批被盗比特币才再次被转移到新的比特币钱包地址中，至今未动。

2025年10月14日，美国司法部宣布对陈志提起刑事指控，并称没收陈志及其太子集团的12.7万枚比特币。种种证据表明，美国政府没收的陈志及其太子集团的这批巨额比特币正是早在2020年就已经被黑客攻击者利用技术手段窃取的LuBian矿池比特币。也就是说，美国政府或早在2020年就已经通过黑客技术手段窃取了陈志持有的12.7万枚比特币，这是一起典型的国家级黑客组织操盘的“黑吃黑”事件。本报告从技术视角出发，通过技术溯源，深度解析该事件关键技术细节，重点分析这批比特币被盗的来龙去脉，还原当时完整的攻击时间线，评估比特币的安全机制，希望为加密货币行业和用户提供宝贵的安全启示。


2023年8月，境外安全研究团队MilkSad首次公布发现一款**密钥生成工具存在伪随机数生成器（PRNG）漏洞，并成功申请了CVE编号（CVE-2023-39910）。在该团队发布的研究成果报告中提及，LuBian比特币矿池存在类似漏洞，在其公布的遭到黑客攻击的LuBian比特币矿池地址中，包含了美国司法部起诉书中全部25个比特币地址。


经技术溯源，LuBian矿池遭黑客攻击的完整时间线及相关细节具体如下：

1、攻击盗取阶段：北京时间2020年12月29日

事件：黑客利用LuBian矿池比特币钱包地址私钥生成存在的伪随机数漏洞，对超过5,000个弱随机钱包地址（钱包类型：P2WPKH-nested-in-P2SH，前缀3）进行暴力破解。在约2小时内，约127272.06953176BTC（当时价值约35亿美元）从这些钱包地址被抽干，剩余不到200BTC。所有可疑交易共享相同交易费用，表明攻击系由自动化批量转移脚本执行。

发送方：LuBian矿池弱随机比特币钱包地址群（由LuBian矿场运营实体控制，隶属陈志的太子集团）；

接收方：攻击者控制的比特币钱包地址群（未公开地址）；

转移路径：弱钱包地址群 → 攻击者钱包地址群；

关联分析：被盗总额为127272.06953176BTC，与美司法部起诉书中所称127271BTC基本吻合。

2、休眠阶段：北京时间2020年12月30日至2024年6月22日

事件：这批比特币自2020年被通过伪随机数漏洞窃取后，存放于攻击者控制的比特币钱包地址中长达4年之久，且处于休眠状态，仅不足万分之一的尘埃交易可能用于测试。

关联分析：这批比特币直至2024年6月22日被美政府全额接管前几乎分文未动，这显然不符合一般黑客急于变现追逐利益的本性，更像是国家级黑客组织操盘的精准行动。

3、恢复尝试阶段：北京时间2021年初、2022年7月4日、26日

事件：这批比特币被盗后，在休眠期间，2021年初，LuBian矿池通过Bitcoin OP_RETURN功能发送超过1,500条消息（耗费约1.4 BTC手续费），嵌入区块链数据区，恳求黑客归还资金。消息示例：“Please return our funds, we'll pay a reward”。2022年7月4日、26日，LuBian矿池再次通过Bitcoin OP_RETURN功能发送消息，消息示例：“MSG from LB. To the whitehat who is saving our asset, you can contact us through [email protected] to discuss the return of asset and your reward。”

发送方：Lubian弱随机比特币钱包地址（由Lubian矿场运营实体控制，隶属陈志的太子集团）；

接收方：攻击者控制的比特币钱包地址群；

转移路径：弱钱包地址群 → 攻击者钱包地址群；小额交易嵌入OP_RETURN；

关联分析：被盗事件发生后，这些消息确认为LuBian矿池作为发送方多次试图联系“**黑客”，请求归还资产并商讨赎金事项。

4、激活与转移阶段：北京时间2024年6月22日至7月23日期间

事件：攻击者控制的比特币钱包地址群中比特币从休眠状态激活，转移至最终比特币钱包地址中。最终钱包地址被美知名区块链追踪工具平台ARKHAM标记为美国政府持有。

发送方：攻击者控制的比特币钱包地址群；

接收方：新整合最终钱包地址群（未公开，但确认为美国政府控制的钱包地址群）；

转移路径：攻击者控制的比特币钱包地址群 → 美国政府控制钱包地址群；

关联分析：这批被盗窃巨额比特币，沉寂4年几乎分文未动后，最终被美国政府控制。

5、公告扣押阶段：美国当地时间2025年10月14日

事件：美国司法部发布公告，宣布对陈志提起指控，并“没收”其持有的12.7万枚比特币。

同时，通过区块链公开机制，比特币交易记录全部公开可追溯。据此，本报告对LuBian弱随机比特币钱包地址（由LuBian矿场运营实体控制，可能隶属陈志的太子集团）被盗的巨额比特币来源进行了溯源，被盗比特币总数目合计127272.06953176枚，来源包括：独立“挖矿”约1.78万枚、矿池工资收入约0.23万枚以及来自交易所和其他渠道的10.71万枚，从初步结果看与美国司法部起诉书中所称的全部来源于非法收入存在出入。

原文：https://mp.weixin.qq.com/s/vIg9N2xRy6o6EufAAv9uVA