價值150億美元的bitcoin私鑰，竟被美國意外破解

2025 年 10 月，美國紐約東區聯邦地區法院披露了一起規模空前的加密資產查封案，美國政府沒收了 127,271 枚比特幣，按市場價格約 150 億美元。

Cobo 聯合創始人神魚表示，執法機構並非通過暴力破解或黑客入侵的方式獲得私鑰，而是利用了隨機性漏洞。也有些論壇稱是執法機構從太子集團高管陳志及其家族控制的伺服器和硬體錢包中直接扣押錢包的助記詞或私鑰檔案，但具體的事實還未公開報告。

這些硬體錢包隨後被轉移至美國財政部旗下 US Marshals Service（USMS）保管的多重簽名冷庫中。而 2025 年 10 月 15 日由 USMS 簽名轉入官方託管地址的那筆 9,757 BTC 的轉帳就是來自於此。美國司法部在起訴書中將 Lubian 描述為柬埔寨太子集團洗錢網絡的組成部分，強調犯罪集團試圖利用礦池挖出的「新幣」洗白詐騙資金。

一些社群成員追蹤鏈上數據判斷這就是此前在 2020 年末 Lubian 礦池中因漏洞失竊的那批比特幣，Lubian 礦池在 2020 年突然出現，沒有團隊背景資料沒有公布運營模式，但其算力卻在短短幾個月內躋身世界前 10 的礦池，一度佔據了全世界近 6% 的算力。

報告中提到陳志向其他王子集團的人吹噓「利潤可觀，因為沒有成本」，但現在還不清楚這是由陳志創立的還是之後控制的，不過這起案件將沉睡的巨鯨重新拉出水面，讓人重新審視那場埋伏在 2020 年前後的那起錢包私鑰安全災難。

在事後研究人員重新調查時，使用損壞的密鑰生成過程的第一個助記詞中的前兩個詞就是 Milk Sad，在這之後便被人稱作為 Milk Sad 事件。

弱隨機數埋下的隱患

而一切的一切源於 Mersenne Twister MT19937-32，一個偽隨機數生成器。

比特幣私鑰本應由 256 位隨機數構成，理論上存在 2^256 種組合，若想要生成完全一致的序列，則需要將 256 次「拋硬幣」的正反都完全契合，其概率不能說為 0，但也相差無幾，錢包安全性不來自運氣，而來自這種巨大的可能空間。

然而 Lubian 礦池等工具使用的 Mersenne Twister MT19937-32 隨機數生成器並非真正公平的「拋硬幣機器」，而是像一台卡殼的設備，總在一個有限且有規律的範圍內挑選號碼。

黑客掌握了這一規律之後，可以通過暴力枚舉快速列舉出所有可能的弱私鑰，進而解鎖對應的比特幣錢包。

由於一些錢包或礦池用戶對安全性的誤解，2019 年至 2020 年間，許多使用這種「弱隨機算法」生成的比特幣錢包累計存儲了驚人的財富，大量資金湧入這一脆弱區間。

根據 Milk Sad 團隊的統計，2019 到 2020 年間，這些弱密鑰錢包累計持有的比特幣數量一度超過 53,500 枚。

資金來源既有鯨魚級集中轉帳，2019 年 4 月四個弱錢包在短時間內收到約 24,999 枚比特幣。也有日常挖礦收益，某些地址在一年內收到逾 14,000 枚標記為「lubian.com」的礦工獎勵，而這類錢包現在發現共有22 萬個，而持有者顯然沒有意識到私鑰生成環節的隱患，直至今日仍將資產源源不斷投入其中。

2020 年底的大規模撤離

埋伏已久的安全隱患在 2020 年末爆發。2020 年 12 月 28 日（UTC+8），鏈上出現異常交易，屬於 Lubian 弱密鑰區間的大量錢包在數小時內被抽空，約 136,951 枚比特幣被一次性轉出，按照當時約 2.6 萬美元的單價計算價值約 37 億美元。

轉帳的手續費固定為 75,000 sats，無論金額大小均保持一致，這表明操作者對比特幣網絡操作了如指掌。部分資金隨後流回 Lubian 礦池用於後續挖礦獎勵，說明並非所有轉出資產都落入黑客手中。但對於受害者而言，損失已成事實。

更詭異的是，部分鏈上交易攜帶留言。

到底是黑客戲謔，還是受害者求援，仍然無從知曉。致命的是，當時這場巨額轉帳並未立即被視為盜竊。

Milk Sad 研究者在後來的分析中坦言，當時比特幣價格飆升、礦池收益停止，他們不確定是黑客所為，還是 Lubian 管理層在高點出售並重組錢包。他們指出「若在 2020 年就發生盜竊，那將早於已確認的 Mersenne Twister 弱密鑰攻擊時間線，但我們無法排除這種可能」。

正因為這種不確定性，2020 年末的資金撤離未能引發行業警報，巨額比特幣隨後多年沉寂鏈上，成為一個懸而未決的謎。

因此中招的不只是 Lubian 還有舊版的 Trust Wallet。2022 年 11 月 17 日（UTC+8），安全研究團隊 Ledger Donjon 首次向 Binance 披露 Trust Wallet 中的隨機數漏洞，團隊反應迅速，次日項目方向 GitHub 推送修復，並陸續通知受影響用戶。

但直到 2023 年 4 月 22 日（UTC+8），Trust Wallet 才正式公開漏洞細節和賠償措施。在此期間，黑客利用漏洞發起過數次攻擊，包括 2023 年 1 月 11 日（UTC+8）盜走約 50 枚比特幣。

遲到的警報

與此同時，漏洞正在另一個項目中醞釀。

Libbitcoin Explorer 3.x 版的 bx seed 命令使用 MT19937 偽隨機數算法加上 32 位系統時間作為種子，生成的密鑰空間僅有 2^32 種組合。

黑客很快開始試探性攻擊，2023 年 5 月起，鏈上出現多筆小額盜竊。7 月 12 日（UTC+8），攻擊達到了高潮，大量由 bx 生成的錢包被一併掃空。7 月 21 日（UTC+8），Milk Sad 研究者在幫用戶排查損失時找到了問題根源，正是 bx seed 的弱隨機數導致私鑰可以被暴力枚舉，他們隨即向 Libbitcoin 團隊通報。

但由於該命令被官方視為測試工具，初期溝通並不順暢，團隊最終繞過項目方，在 8 月 8 日（UTC+8）公開披露了漏洞並申請 CVE 編號。

而正是有了 2023 年的這一發現，Milk Sad 團隊才開始逆向挖掘歷史數據。他們驚訝地發現 2019 到 2020 年間積累巨額資金的弱密鑰區間與 Lubian 關聯，且在 2020 年 12 月 28 日（UTC+8）發生了上文提到的巨大轉移。

當時共有約 136,951 枚比特幣駐留在這些弱錢包裡，當天的大規模轉出價值約 37 億美元，而最後一次已知的動向是 2024 年 7 月（UTC+8）的錢包整合。

換言之，Lubian 事件的可疑之處直到弱隨機漏洞曝光後才浮現，當時錯過的報警窗口已經一去不返，而當時的比特幣的去向也消失無蹤。時隔 5 年，直到這次美國司法部（DOJ）和英國當局聯合起訴太子集團和陳志，事情才有了眉目。

而對我們來說，現在「Not your Wallet, Not Your Money」這句話要在隨機性的大前提下才能生效了。