Vào ngày 29 tháng 12 năm 2020, một cuộc tấn công mạng lớn đã xảy ra tại nhóm khai thác LuBian, dẫn đến vụ đánh cắp 127.272,06953176 Bitcoin (trị giá khoảng 3,5 tỷ đô la vào thời điểm đó, hiện trị giá 15 tỷ đô la). Người nắm giữ số lượng Bitcoin khổng lồ này là Chen Zhi, chủ tịch của Prince Group tại Campuchia. Sau vụ tấn công mạng, Chen Zhi và Prince Group của ông đã nhiều lần đăng tin nhắn trên blockchain vào đầu năm 2021 và tháng 7 năm 2022, kêu gọi tin tặc trả lại số Bitcoin bị đánh cắp và đề nghị trả tiền chuộc, nhưng không nhận được phản hồi. Kỳ lạ thay, sau khi bị đánh cắp, số Bitcoin khổng lồ này vẫn nằm im trong một địa chỉ ví Bitcoin do những kẻ tấn công kiểm soát trong bốn năm, gần như không bị động đến. Điều này rõ ràng không phù hợp với hành vi của những hacker điển hình, những kẻ háo hức rút tiền và theo đuổi lợi nhuận, mà có vẻ giống một hoạt động chính xác được dàn dựng bởi một "tổ chức hacker cấp quốc gia".
Số Bitcoin bị đánh cắp không được chuyển đến một địa chỉ ví Bitcoin mới cho đến tháng 6 năm 2024 và vẫn được giữ nguyên kể từ đó. Vào ngày 14 tháng 10 năm 2025, Bộ Tư pháp Hoa Kỳ đã công bố các cáo buộc hình sự đối với Chen Zhi và tịch thu 127.000 Bitcoin từ Chen Zhi và Tập đoàn Prince của ông ta. Bằng chứng cho thấy số lượng lớn Bitcoin mà chính phủ Hoa Kỳ tịch thu từ Chen Zhi và Tập đoàn Prince của ông ta đã bị hacker đánh cắp từ nhóm khai thác LuBian ngay từ năm 2020. Nói cách khác, chính phủ Hoa Kỳ có thể đã đánh cắp 127.000 Bitcoin do Chen Zhi nắm giữ thông qua các kỹ thuật hack ngay từ năm 2020. Đây là một trường hợp điển hình của một hoạt động "phản bội" được dàn dựng bởi một nhóm hacker do nhà nước bảo trợ. Báo cáo này, từ góc độ kỹ thuật, lần theo nguồn gốc của sự cố, phân tích sâu các chi tiết kỹ thuật quan trọng, tập trung vào chi tiết vụ trộm, tái tạo toàn bộ mốc thời gian tấn công và đánh giá các cơ chế bảo mật của Bitcoin, hy vọng sẽ cung cấp những hiểu biết có giá trị về bảo mật cho ngành công nghiệp tiền điện tử và người dùng.Nhóm khai thác LuBian, được thành lập vào đầu năm 2020, là một nhóm khai thác Bitcoin đang phát triển nhanh chóng với Trung Quốc và Iran là cơ sở hoạt động chính. Vào tháng 12 năm 2020, nhóm khai thác LuBian đã phải chịu một cuộc tấn công hack quy mô lớn, dẫn đến việc hơn 90% số Bitcoin nắm giữ của nhóm bị đánh cắp. Tổng số tiền bị đánh cắp là 127.272,06953176 BTC, về cơ bản phù hợp với con số 127.271 BTC được nêu trong cáo trạng của Bộ Tư pháp Hoa Kỳ.
Mô hình hoạt động của nhóm khai thác LuBian bao gồm lưu trữ tập trung và phân phối phần thưởng khai thác. Bitcoin trong địa chỉ nhóm khai thác không được lưu trữ trên một sàn giao dịch tập trung được quản lý, mà tồn tại trong các ví không lưu ký.
Mô hình hoạt động của nhóm khai thác LuBian bao gồm lưu trữ tập trung và phân phối phần thưởng khai thác. Bitcoin trong địa chỉ nhóm khai thác không được lưu trữ trên một sàn giao dịch tập trung được quản lý, mà tồn tại trong các ví không lưu ký.
Về mặt kỹ thuật, ví không lưu ký (còn được gọi là ví lạnh hoặc ví phần cứng) được coi là nơi trú ẩn an toàn tối ưu cho tài sản tiền điện tử. Không giống như các tài khoản sàn giao dịch có thể bị đóng băng chỉ bằng một sắc lệnh, chúng giống như một két ngân hàng chỉ thuộc về người nắm giữ, với khóa (khóa riêng tư) chỉ do người nắm giữ nắm giữ.
Là một loại tiền điện tử, các địa chỉ trên chuỗi của Bitcoin được sử dụng để xác định quyền sở hữu và luồng tài sản Bitcoin. Việc kiểm soát khóa riêng của một địa chỉ trên chuỗi cho phép kiểm soát hoàn toàn số Bitcoin được nắm giữ tại đó. Theo báo cáo từ các cơ quan phân tích trên chuỗi, số lượng Bitcoin khổng lồ do Chen Zhi nắm giữ, do chính phủ Hoa Kỳ kiểm soát, trùng lặp rất nhiều với vụ tấn công nhóm khai thác LuBian. Hồ sơ dữ liệu trên chuỗi cho thấy vào ngày 29 tháng 12 năm 2020 (giờ Bắc Kinh), địa chỉ ví Bitcoin cốt lõi của LuBian đã trải qua một lần chuyển bất thường, tổng cộng là 127.272,06953176 BTC, gần giống với 127.271 BTC được đề cập trong bản cáo trạng của Bộ Tư pháp Hoa Kỳ. Sau lần chuyển bất thường này, số Bitcoin bị đánh cắp vẫn nằm im cho đến tháng 6 năm 2024. Từ ngày 22 tháng 6 đến ngày 23 tháng 7 năm 2024 (giờ Bắc Kinh), số Bitcoin bị đánh cắp này lại được chuyển đến một địa chỉ trên chuỗi mới và vẫn không bị động đến kể từ đó. ARKHAM, một nền tảng theo dõi blockchain nổi tiếng của Hoa Kỳ, đã đánh dấu những địa chỉ cuối cùng này là do chính phủ Hoa Kỳ nắm giữ.
Hiện tại, chính phủ Hoa Kỳ chưa tiết lộ trong bản cáo trạng cách họ lấy được khóa riêng tư cho các địa chỉ Bitcoin trên chuỗi khổng lồ của Chen Zhi. Hình 1: Dòng thời gian của các hoạt động chính II. Phân tích liên kết tấn công Như đã biết, trong thế giới blockchain, các số ngẫu nhiên là nền tảng của bảo mật mã hóa. Bitcoin sử dụng công nghệ mã hóa bất đối xứng; khóa riêng tư của Bitcoin là số nhị phân ngẫu nhiên 256 bit, về mặt lý thuyết có thể bẻ khóa trong 2256 lần thử, gần như không thể. Tuy nhiên, nếu khóa riêng tư nhị phân 256 bit này không được tạo hoàn toàn ngẫu nhiên—ví dụ: nếu 224 bit tuân theo một mẫu có thể dự đoán được và chỉ có 32 bit được tạo ngẫu nhiên—thì độ mạnh của khóa riêng tư sẽ giảm đi đáng kể, chỉ cần 2^32 (khoảng 4,29 tỷ) lần thử để bẻ khóa bằng phương pháp tấn công vũ phu. Ví dụ, vào tháng 9 năm 2022, nhà tạo lập thị trường tiền điện tử Wintermute của Anh đã bị đánh cắp 160 triệu đô la do một lỗ hổng số giả ngẫu nhiên tương tự. Vào tháng 8 năm 2023, nhóm nghiên cứu bảo mật quốc tế MilkSad lần đầu tiên công bố phát hiện ra lỗ hổng trình tạo số giả ngẫu nhiên (PRNG) trong một công cụ tạo khóa của bên thứ ba và đã đăng ký thành công mã số CVE (CVE-2023-39910). Báo cáo nghiên cứu của nhóm đề cập rằng nhóm khai thác Bitcoin LuBian cũng có lỗ hổng tương tự, và trong số các địa chỉ nhóm khai thác Bitcoin LuBian bị tấn công, họ tiết lộ có tất cả 25 địa chỉ Bitcoin được đề cập trong cáo trạng của Bộ Tư pháp Hoa Kỳ.Hình 2: Danh sách 25 địa chỉ ví Bitcoin trong cáo trạng của Bộ Tư pháp Hoa Kỳ
Là một hệ thống ví phi lưu ký, nhóm khai thác Bitcoin LuBian dựa vào thuật toán tạo khóa riêng tùy chỉnh để quản lý tiền. Thay vì sử dụng tiêu chuẩn số nhị phân ngẫu nhiên 256 bit được khuyến nghị, nó dựa vào số nhị phân ngẫu nhiên 32 bit. Thuật toán này có một nhược điểm nghiêm trọng: nó chỉ dựa vào một "bộ tạo số giả ngẫu nhiên" như Mersenne Twister (MT19937-32), sử dụng dấu thời gian hoặc đầu vào yếu làm hạt giống. Một bộ tạo số giả ngẫu nhiên (PRNG) tương đương với tính ngẫu nhiên của một số nguyên 4 byte, có thể được tìm kiếm một cách hiệu quả và đầy đủ trong máy tính hiện đại. Về mặt toán học, xác suất bẻ khóa nó là 1/2^32. Ví dụ, giả sử tập lệnh tấn công kiểm tra 106 khóa mỗi giây, thời gian bẻ khóa sẽ là khoảng 4200 giây (chỉ khoảng 1,17 giờ). Trên thực tế, các công cụ tối ưu hóa như Hashcat hoặc các tập lệnh tùy chỉnh có thể đẩy nhanh quá trình này hơn nữa.
Những kẻ tấn công đã khai thác lỗ hổng này để đánh cắp một lượng lớn Bitcoin từ nhóm khai thác Bitcoin LuBian. Hình 3: So sánh các lỗ hổng bảo mật của nhóm khai thác LuBian với các tiêu chuẩn ngành Theo dõi kỹ thuật cho thấy toàn bộ dòng thời gian và chi tiết về cuộc tấn công của tin tặc vào nhóm khai thác LuBian như sau: 1. Giai đoạn tấn công và trộm cắp: Ngày 29 tháng 12 năm 2020 (Giờ Bắc Kinh) Sự kiện: Tin tặc đã khai thác lỗ hổng tạo số giả ngẫu nhiên trong khóa riêng của địa chỉ ví Bitcoin của nhóm khai thác LuBian để tấn công bằng vũ lực hơn 5.000 địa chỉ ví ngẫu nhiên yếu (loại ví: P2WPKH-lồng trong P2SH, tiền tố 3). Trong vòng khoảng 2 giờ, khoảng 127.272,06953176 BTC (trị giá khoảng 3,5 tỷ đô la vào thời điểm đó) đã bị rút khỏi các địa chỉ ví này, chỉ còn lại chưa đến 200 BTC. Tất cả các giao dịch đáng ngờ đều có cùng mức phí giao dịch, cho thấy cuộc tấn công được thực hiện bởi một tập lệnh chuyển tiền tự động hàng loạt.Người gửi: Một nhóm các địa chỉ ví Bitcoin yếu, ngẫu nhiên từ nhóm khai thác LuBian (do đơn vị vận hành trang trại khai thác LuBian kiểm soát, thuộc Tập đoàn Prince của Chen Zhi);
Người nhận: Một nhóm các địa chỉ ví Bitcoin do kẻ tấn công kiểm soát (các địa chỉ không được tiết lộ);
Đường dẫn chuyển tiền: Nhóm địa chỉ ví yếu → Nhóm địa chỉ ví của kẻ tấn công;
Phân tích tương quan: Tổng số tiền bị đánh cắp là 127.272,06953176 BTC, về cơ bản phù hợp với số tiền 127.271 BTC được đề cập trong bản cáo trạng của Bộ Tư pháp Hoa Kỳ.
Sự kiện: Sau khi bị đánh cắp thông qua lỗ hổng số giả ngẫu nhiên vào năm 2020, lô Bitcoin này vẫn nằm im trong một địa chỉ ví Bitcoin do kẻ tấn công kiểm soát trong bốn năm, với chưa đến một phần mười nghìn giao dịch có khả năng được sử dụng để thử nghiệm.
Phân tích tương quan: Lô Bitcoin này hầu như không bị động đến cho đến khi bị chính phủ Hoa Kỳ tiếp quản hoàn toàn vào ngày 22 tháng 6 năm 2024. Điều này rõ ràng không phù hợp với sự háo hức thông thường của tin tặc trong việc rút tiền và theo đuổi lợi nhuận, mà giống như một hoạt động chính xác được dàn dựng bởi một tổ chức tin tặc do nhà nước tài trợ.
Sự kiện: Sau khi Bitcoin bị đánh cắp, trong thời gian không hoạt động, đầu năm 2021, nhóm khai thác LuBian đã gửi hơn 1.500 tin nhắn (với chi phí khoảng 1,4 BTC) thông qua hàm Bitcoin OP_RETURN, nhúng chúng vào vùng dữ liệu blockchain, cầu xin tin tặc trả lại tiền. Ví dụ tin nhắn: "Vui lòng trả lại tiền cho chúng tôi, chúng tôi sẽ trả thưởng."
4. Giai đoạn kích hoạt và chuyển giao: Từ ngày 22 tháng 6 đến ngày 23 tháng 7 năm 2024 (Giờ Bắc Kinh)
Sự kiện: Bitcoin trong nhóm địa chỉ ví Bitcoin do kẻ tấn công kiểm soát đã được kích hoạt từ trạng thái không hoạt động và được chuyển đến địa chỉ ví Bitcoin cuối cùng. Địa chỉ ví cuối cùng được đánh dấu là do chính phủ Hoa Kỳ nắm giữ bởi ARKHAM, một nền tảng công cụ theo dõi blockchain nổi tiếng của Hoa Kỳ.
Người gửi: Nhóm địa chỉ ví Bitcoin do kẻ tấn công kiểm soát;
Người nhận: Nhóm địa chỉ ví cuối cùng mới được tích hợp (không được tiết lộ công khai, nhưng đã được xác nhận là nhóm địa chỉ ví do chính phủ Hoa Kỳ kiểm soát)
Đường dẫn chuyển: Nhóm địa chỉ ví Bitcoin do kẻ tấn công kiểm soát → Nhóm địa chỉ ví do chính phủ Hoa Kỳ kiểm soát;
Phân tích tương quan: Lô Bitcoin bị đánh cắp này, sau khi gần như không bị động đến trong 4 năm, cuối cùng đã bị chính phủ Hoa Kỳ kiểm soát.
5. Giai đoạn công bố và tịch thu: Ngày 14 tháng 10 năm 2025 (Giờ địa phương Hoa Kỳ) Sự kiện: Bộ Tư pháp Hoa Kỳ đã ban hành thông báo công bố các cáo buộc đối với Chen Zhi và "tịch thu" 127.000 Bitcoin do anh ta nắm giữ. Đồng thời, thông qua cơ chế công khai của blockchain, tất cả hồ sơ giao dịch Bitcoin đều được công khai theo dõi. Dựa trên điều này, báo cáo đã truy tìm nguồn gốc của số lượng lớn Bitcoin bị đánh cắp từ địa chỉ ví Bitcoin ngẫu nhiên yếu LuBian (do đơn vị vận hành khai thác LuBian kiểm soát, có thể thuộc về Prince Group của Chen Zhi). Tổng số Bitcoin bị đánh cắp là 127.272,06953176, có nguồn gốc từ: khoảng 17.800 Bitcoin từ hoạt động "khai thác" độc lập, khoảng 2.300 Bitcoin từ tiền lương của các nhóm khai thác, và 107.100 Bitcoin từ các sàn giao dịch và các kênh khác. Kết quả sơ bộ cho thấy có sự khác biệt với tuyên bố của Bộ Tư pháp Hoa Kỳ rằng tất cả Bitcoin đều có nguồn gốc từ thu nhập bất hợp pháp.
Cốt lõi của lỗ hổng khai thác LuBian nằm ở việc bộ tạo khóa riêng sử dụng một lỗ hổng tương tự như lỗi "MilkSad" trong Libbitcoin Explorer. Cụ thể, hệ thống sử dụng bộ tạo số giả ngẫu nhiên Mersenne Twister (MT19937-32), được khởi tạo chỉ với một hạt giống 32 bit, dẫn đến entropy thực tế chỉ là 32 bit. PRNG này không an toàn về mặt mật mã và dễ bị dự đoán cũng như bị đảo ngược. Kẻ tấn công có thể tạo khóa riêng tương ứng bằng cách liệt kê tất cả các hạt giống 32 bit có thể (từ 0 đến 2^32-1) và kiểm tra xem nó có khớp với hàm băm khóa công khai của một địa chỉ ví đã biết hay không.
Trong hệ sinh thái Bitcoin, quy trình tạo khóa riêng thường bao gồm: tạo hạt giống ngẫu nhiên → hàm băm SHA-256 → khóa riêng ECDSA. Việc triển khai thư viện cơ bản của nhóm khai thác LuBian có thể dựa trên mã tùy chỉnh hoặc thư viện nguồn mở (chẳng hạn như Libbitcoin), nhưng lại bỏ qua bảo mật entropy. Tương tự như lỗ hổng MilkSad, lệnh "bx seed" của Libbitcoin Explorer cũng sử dụng trình tạo số ngẫu nhiên MT19937-32, chỉ dựa vào dấu thời gian hoặc dữ liệu đầu vào yếu làm hạt giống, khiến khóa riêng dễ bị tấn công bằng phương pháp brute-force. Trong cuộc tấn công LuBian, hơn 5.000 ví đã bị ảnh hưởng, cho thấy lỗ hổng này mang tính hệ thống và có thể bắt nguồn từ việc tái sử dụng mã trong quá trình tạo ví số lượng lớn.(1) Xác định địa chỉ ví mục tiêu (bằng cách theo dõi hoạt động của nhóm khai thác LuBian trên chuỗi);
(2) Liệt kê hạt giống 32 bit: cho hạt giống từ 0 đến 4294967295;
(3) Tạo khóa riêng: private_key = SHA256(hạt giống);
(4) Lấy khóa công khai và địa chỉ: tính toán bằng đường cong ECDSA SECP256k1;
(5) Khớp: nếu địa chỉ lấy được khớp với mục tiêu, hãy sử dụng khóa riêng để ký giao dịch và đánh cắp tiền;
So sánh với các lỗ hổng tương tự: Lỗ hổng này tương tự như lỗi entropy 32 bit trong Trust Wallet, dẫn đến việc bẻ khóa địa chỉ ví Bitcoin trên quy mô lớn; Libbitcoin Explorer Lỗ hổng "MilkSad" cũng làm lộ khóa riêng tư do entropy thấp. Tất cả các trường hợp này đều bắt nguồn từ các vấn đề cũ trong các cơ sở mã ban đầu không áp dụng tiêu chuẩn BIP-39 (cụm từ hạt giống 12-24 từ, cung cấp entropy cao). Nhóm khai thác LuBian có thể đã sử dụng một thuật toán tùy chỉnh được thiết kế để đơn giản hóa việc quản lý nhưng lại bỏ qua bảo mật.
Các thiếu sót về phòng thủ: Nhóm khai thác LuBian không triển khai đa chữ ký (multisig), ví phần cứng hoặc ví xác định phân cấp (ví HD), tất cả đều có thể cải thiện bảo mật. Dữ liệu trên chuỗi cho thấy cuộc tấn công đã bao phủ nhiều ví, cho thấy lỗ hổng hệ thống chứ không phải một điểm lỗi duy nhất.
Tin nhắn OP_RETURN: Nhóm khai thác LuBian đã gửi hơn 1.500 tin nhắn thông qua hàm OP_RETURN của Bitcoin, với chi phí 1,4 BTC, yêu cầu kẻ tấn công trả lại tiền. Những tin nhắn này được nhúng trong blockchain, chứng minh rằng chúng là hành động của chủ sở hữu thực sự, không phải giả mạo.
Ví dụ về tin nhắn bao gồm "Vui lòng trả lại tiền" hoặc các yêu cầu tương tự, được phân phối trên nhiều giao dịch.
Bản cáo trạng hình sự của Bộ Tư pháp Hoa Kỳ đối với Chen Zhi (số vụ án 1:25-cr-00416) ngày 14 tháng 10 năm 2025 (giờ địa phương Hoa Kỳ) đã liệt kê 25 địa chỉ ví Bitcoin nắm giữ khoảng 127.271 BTC, trị giá khoảng 15 tỷ đô la, đã bị tịch thu. Thông qua phân tích blockchain và xem xét tài liệu chính thức, các địa chỉ này có mối tương quan cao với vụ tấn công nhóm khai thác LuBian:
Tương quan Trực tiếp: Phân tích blockchain cho thấy 25 địa chỉ trong bản cáo trạng của Bộ Tư pháp Hoa Kỳ là địa chỉ nắm giữ cuối cùng của số Bitcoin bị đánh cắp từ nhóm khai thác LuBian trong vụ tấn công năm 2020. Một báo cáo của Elliptic chỉ ra rằng lô Bitcoin này đã bị "đánh cắp" từ hoạt động khai thác của LuBian vào năm 2020. Arkham Intelligence xác nhận rằng số tiền bị Bộ Tư pháp Hoa Kỳ tịch thu có liên quan trực tiếp đến vụ trộm mỏ đào LuBian.
**Mức độ liên quan của bằng chứng trong bản cáo trạng:** Mặc dù bản cáo trạng của Bộ Tư pháp Hoa Kỳ không trực tiếp gọi vụ tấn công là "vụ hack LuBian", nhưng nó đề cập rằng số tiền này có nguồn gốc từ "các vụ tấn công đánh cắp vào hoạt động khai thác Bitcoin ở Iran và Trung Quốc", điều này phù hợp với phân tích trên chuỗi của Elliptic và Arkham Intelligence. **Mức độ liên quan của cuộc tấn công:** Các phương pháp tấn công cho thấy lượng Bitcoin khổng lồ mà LuBian nắm giữ vẫn nằm im trong bốn năm sau khi bị đánh cắp trong một cuộc tấn công kỹ thuật vào năm 2020. Trong thời gian này, chỉ một phần nhỏ Bitcoin được giao dịch và hầu như không bị động đến cho đến khi chính phủ Hoa Kỳ nắm quyền kiểm soát hoàn toàn vào năm 2024. Điều này không phù hợp với sự háo hức thông thường của tin tặc trong việc rút tiền và theo đuổi lợi nhuận; nó cho thấy một hoạt động chính xác được dàn dựng bởi một nhóm tin tặc do nhà nước tài trợ. Các nhà phân tích tin rằng chính phủ Hoa Kỳ có thể đã giành được quyền kiểm soát số Bitcoin này vào tháng 12 năm 2020.
Vụ tấn công nhóm khai thác LuBian vào năm 2020 đã gây ra tác động sâu sắc, dẫn đến việc nhóm này giải thể trên thực tế và thiệt hại tương đương hơn 90% tổng tài sản của nhóm tại thời điểm đó. Số Bitcoin bị đánh cắp hiện được định giá 15 tỷ đô la, làm nổi bật rủi ro của biến động giá gia tăng.
Sự cố tại nhóm khai thác LuBian đã phơi bày những rủi ro hệ thống trong việc tạo số ngẫu nhiên trong các chuỗi công cụ tiền điện tử. Để ngăn chặn các lỗ hổng tương tự, ngành công nghiệp blockchain nên sử dụng các trình tạo số giả ngẫu nhiên an toàn bằng mật mã (CSPRNG); triển khai các biện pháp phòng thủ đa lớp, bao gồm đa chữ ký (multisig), lưu trữ lạnh và kiểm toán thường xuyên; tránh các thuật toán tạo khóa riêng tùy chỉnh; và các nhóm khai thác cần tích hợp hệ thống giám sát chuỗi theo thời gian thực và cảnh báo chuyển khoản bất thường. Đối với người dùng thông thường, việc bảo vệ nên tránh sử dụng các mô-đun tạo khóa chưa được xác minh từ các cộng đồng nguồn mở. Sự cố này cũng nhắc nhở chúng ta rằng ngay cả khi blockchain có tính minh bạch cao, nền tảng bảo mật yếu vẫn có thể dẫn đến hậu quả thảm khốc. Nó cũng cho thấy tầm quan trọng của an ninh mạng trong sự phát triển tương lai của nền kinh tế kỹ thuật số và tiền kỹ thuật số.
Nguồn gốc