No hay pruebas creíbles de que el gobierno de EE.UU. haya hackeado monederos chinos de Bitcoin para “robar” 13 mil millones de dólares en BTC

El Centro Nacional de Respuesta a Emergencias de Virus Informáticos de China acaba de acusar a Estados Unidos de llevar a cabo la explotación de Bitcoin de LuBian en 2020.

Sin embargo, investigaciones occidentales vinculan el evento a una falla en la generación aleatoria de números de las wallets y no mencionan a ningún actor estatal.

Forense de código abierto sobre el drenaje de LuBian

Los hechos centrales del episodio están ahora bien documentados en fuentes abiertas. Según Arkham, aproximadamente 127,000 BTC fueron transferidos desde wallets asociadas con el pool de minería LuBian durante un periodo de unas dos horas entre el 28 y 29 de diciembre de 2020, mediante retiros coordinados a través de cientos de direcciones.

De acuerdo con el equipo de investigación MilkSad y CVE-2023-39910, esas wallets fueron creadas con un software que sembraba MT19937 con solo 32 bits de entropía, lo que reducía el espacio de búsqueda a aproximadamente 4.29 mil millones de semillas y exponía lotes de direcciones P2SH-P2WPKH a ataques de fuerza bruta.

La Actualización #14 de MilkSad vincula un clúster que contenía aproximadamente 136,951 BTC, drenado a partir del 28-12-2020, con LuBian.com a través de actividad minera on-chain y documenta el patrón fijo de comisión de 75,000 sat en las transacciones de barrido. La reconstrucción de Blockscope muestra que la mayor parte de los fondos permaneció con movimientos mínimos durante años.

Esas mismas monedas ahora están en wallets controladas por el gobierno de EE.UU. Según el Departamento de Justicia de EE.UU., los fiscales están buscando la confiscación de aproximadamente 127,271 BTC como producto e instrumento de presunto fraude y lavado de dinero vinculado a Chen Zhi y Prince Group. El DOJ afirma que los activos están actualmente bajo custodia estadounidense.

Elliptic muestra que las direcciones mencionadas en la denuncia del DOJ coinciden con el clúster de claves débiles de LuBian que MilkSad y Arkham ya habían identificado, y Arkham ahora etiqueta las wallets de destino consolidadas como controladas por el gobierno de EE.UU. Investigadores on-chain, incluido ZachXBT, han señalado públicamente la coincidencia entre las direcciones incautadas y el conjunto anterior de claves débiles.

Lo que muestra el registro forense sobre la explotación de LuBian

En cuanto a la atribución, los equipos técnicos que primero identificaron la falla y rastrearon los flujos no afirman saber quién ejecutó el drenaje en 2020. MilkSad se refiere repetidamente a un actor que descubrió y explotó claves privadas débiles, afirmando que no conocen su identidad.

Arkham y Blockscope describen a la entidad como el hacker de LuBian, enfocándose en el método y la escala. Elliptic y TRM limitan sus afirmaciones al rastreo y a la coincidencia entre las salidas de 2020 y la posterior incautación del DOJ. Ninguna de estas fuentes nombra a un actor estatal para la operación de 2020.

CVERC, amplificado por Global Times, propiedad del Partido Comunista Chino, y medios locales, promueve una narrativa diferente.

Sostiene que el periodo de inactividad de cuatro años se desvía de los patrones comunes de cobro criminal y, por lo tanto, apunta a una organización de hacking a nivel estatal.

Luego vincula la posterior custodia estadounidense de las monedas con la alegación de que actores estadounidenses ejecutaron la explotación en 2020 antes de convertirla en una incautación policial.

Las secciones técnicas del informe siguen de cerca la investigación independiente sobre claves débiles, MT19937, agrupación de direcciones y patrones de comisiones.

Su salto de atribución se basa en inferencias circunstanciales sobre la inactividad y la custodia final, en lugar de nuevas pruebas forenses, vínculos de herramientas, coincidencias de infraestructura u otros indicadores estándar utilizados en la atribución a actores estatales.

Lo que realmente sabemos sobre el drenaje de Bitcoin de LuBian

Hay al menos tres interpretaciones coherentes que se ajustan a lo que es público.

1. Una es que una parte desconocida, criminal o no, encontró el patrón de claves débiles, drenó el clúster en 2020, dejó las monedas mayormente inactivas, y las autoridades estadounidenses posteriormente obtuvieron las claves mediante incautaciones de dispositivos, testigos colaboradores u otros medios de investigación relacionados, lo que culminó en la consolidación y solicitudes de confiscación en 2024–2025.
2. La segunda considera a LuBian y entidades relacionadas como parte de una red interna de tesorería y lavado de dinero para Prince Group, donde un aparente hackeo podría haber sido un movimiento interno opaco entre wallets controladas por claves débiles, consistente con la interpretación del DOJ de las wallets como no alojadas y en posesión del acusado, aunque los documentos públicos no detallan completamente cómo la red de Chen llegó a controlar las claves específicas.
3. La tercera, promovida por CVERC, es que un actor estatal estadounidense fue responsable de la operación de 2020. Las dos primeras coinciden con la postura probatoria presentada en los informes de MilkSad, Arkham, Elliptic, TRM y el DOJ.

La tercera es una alegación no respaldada por evidencia técnica independiente en el dominio público.

A continuación, una breve cronología de los hechos no disputados.

Fecha (UTC) Evento BTC aprox. Fuente

2020-12-28/29	Drenajes coordinados desde direcciones controladas por LuBian	~127,000–127,426	Arkham; Blockscope; MilkSad Update #14
2021–2022	Mensajes OP_RETURN desde direcciones vinculadas a LuBian pidiendo devolución	N/A	MilkSad Update #14; Blockscope
2023-08	Divulgación de CVE-2023-39910 (semilla débil MT19937 en Libbitcoin Explorer)	N/A	NVD CVE-2023-39910
2024	Consolidación de monedas inactivas en nuevas wallets	~127,000	Blockscope; Arkham
2025	Acción de confiscación del DOJ y declaraciones públicas de custodia estadounidense	~127,271	DOJ; CBS News; Elliptic; TRM

Desde el punto de vista de la capacidad, forzar por fuerza bruta un espacio de semillas de 2^32 está al alcance de actores motivados. A aproximadamente 1 millón de intentos por segundo, una sola configuración puede recorrer el espacio en unas pocas horas, y equipos distribuidos o acelerados por GPU lo comprimen aún más.

La viabilidad es central en la debilidad de clase MilkSad, explicando cómo un solo actor puede barrer miles de direcciones vulnerables simultáneamente. El patrón de comisión fija y los detalles de derivación de direcciones publicados por MilkSad y reflejados en el informe técnico de CVERC refuerzan este método de explotación.

Las disputas restantes se centran en la propiedad y el control en cada paso, no en la mecánica. El DOJ presenta las wallets como depósitos de ganancias criminales vinculadas a Chen y afirma que los activos son confiscables bajo la ley estadounidense.

Las autoridades chinas presentan a LuBian como víctima de robo y acusan a un actor estatal estadounidense de la explotación original.

Grupos independientes de análisis forense en blockchain conectan las salidas de 2020 con la consolidación e incautación de 2024–2025, y no llegan a nombrar quién presionó el botón en 2020. Ese es el estado del registro.

La publicación No credible evidence US government hacked Chinese Bitcoin wallets to “steal” $13 billion BTC apareció primero en CryptoSlate.