Vào tháng 10 năm 2025, Tòa án Quận Hoa Kỳ tại Quận phía Đông New York đã tiết lộ một vụ tịch thu tài sản tiền điện tử chưa từng có, dẫn đến việc chính phủ Hoa Kỳ tịch thu 127.271 Bitcoin, trị giá khoảng 15 tỷ đô la theo giá thị trường. Nhà đồng sáng lập Cobo, Shenyu, tuyên bố rằng các cơ quan thực thi pháp luật không lấy được khóa riêng tư thông qua tấn công vũ phu hoặc hack, mà khai thác các lỗ hổng ngẫu nhiên. Một số diễn đàn cũng tuyên bố rằng các cơ quan thực thi pháp luật đã trực tiếp thu giữ các tệp ghi nhớ hoặc khóa riêng tư từ các máy chủ và ví phần cứng do giám đốc điều hành của Prince Group, Chen Zhi và gia đình ông kiểm soát, nhưng các sự kiện cụ thể vẫn chưa được báo cáo công khai. Các ví phần cứng này sau đó đã được chuyển đến kho lạnh đa chữ ký do Cơ quan Cảnh sát Tư pháp Hoa Kỳ (USMS), một công ty con của Bộ Tài chính Hoa Kỳ, quản lý. Giao dịch chuyển 9.757 BTC do USMS ký đến địa chỉ ký quỹ chính thức vào ngày 15 tháng 10 năm 2025, có nguồn gốc từ cơ sở lưu trữ này. Trong bản cáo trạng, Bộ Tư pháp Hoa Kỳ mô tả Lubian là một phần của mạng lưới rửa tiền của Tập đoàn Prince Campuchia, nhấn mạnh rằng nhóm tội phạm này đã cố gắng rửa tiền gian lận bằng cách sử dụng "coin mới" do nhóm khai thác này khai thác. Một số thành viên cộng đồng đã truy vết dữ liệu trên chuỗi và xác định rằng đây là lô Bitcoin bị đánh cắp từ nhóm khai thác Lubin do lỗ hổng bảo mật vào cuối năm 2020. Nhóm khai thác Lubin đột nhiên xuất hiện vào năm 2020 mà không có thông tin cơ bản hoặc mô hình vận hành công khai. Tuy nhiên, sức mạnh tính toán của nhóm đã tăng lên và trở thành một trong 10 nhóm khai thác hàng đầu thế giới chỉ sau vài tháng, có thời điểm chiếm gần 6% sức mạnh tính toán toàn cầu. Báo cáo đề cập rằng Chen Zhi đã khoe khoang với các thành viên khác của Tập đoàn Prince về "lợi nhuận đáng kể vì không có chi phí". Tuy nhiên, không rõ liệu Chen Zhi có phải là người sáng lập hay sau đó kiểm soát nhóm hay không. Tuy nhiên, vụ việc này đã khơi lại một "con cá voi" tiềm ẩn, thúc đẩy sự giám sát chặt chẽ hơn đối với cuộc khủng hoảng bảo mật khóa riêng tư của ví tiền điện tử vốn đã âm ỉ từ khoảng năm 2020.

Sau đó, khi các nhà nghiên cứu điều tra lại sự việc, họ phát hiện ra rằng hai từ đầu tiên trong cụm từ ghi nhớ được sử dụng để tạo khóa bị xâm phạm là "Milk Sad", dẫn đến việc sự cố này được gọi là sự cố Milk Sad.

Những mối nguy hiểm tiềm ẩn của số ngẫu nhiên yếu

Và tất cả những điều này đều bắt nguồn từ Mersenne Twister MT19937-32, một trình tạo số giả ngẫu nhiên.

Khóa riêng tư của Bitcoin được cho là bao gồm các số ngẫu nhiên 256 bit. Về mặt lý thuyết, có 2^256 tổ hợp có thể xảy ra. Để tạo ra một chuỗi hoàn toàn giống hệt nhau, mặt sấp và mặt ngửa của 256 lần "tung đồng xu" phải khớp hoàn hảo. Xác suất xảy ra điều này không phải là không, nhưng rất gần. Bảo mật ví không đến từ may mắn, mà đến từ vũ trụ vô tận của những khả năng.

Tuy nhiên, máy tạo số ngẫu nhiên Mersenne Twister MT19937-32 được sử dụng bởi các công cụ như nhóm khai thác Lubian không phải là một "máy tung đồng xu" thực sự công bằng, mà là một thiết bị bị kẹt, liên tục chọn các số trong một phạm vi giới hạn và đều đặn. Một khi tin tặc hiểu được mô hình này, chúng có thể nhanh chóng liệt kê tất cả các khóa riêng tư yếu có thể bằng phương pháp tấn công vũ phu, từ đó mở khóa các ví Bitcoin tương ứng. Do một số người dùng ví và nhóm khai thác hiểu lầm về bảo mật, từ năm 2019 đến năm 2020, nhiều ví Bitcoin được tạo bằng "thuật toán ngẫu nhiên yếu" này đã tích lũy được một lượng tài sản khổng lồ, với một lượng tiền khổng lồ đổ vào phạm vi dễ bị tấn công này. Theo nhóm Milk Sad, từ năm 2019 đến năm 2020, tổng số Bitcoin được nắm giữ bởi các ví khóa yếu này đã vượt quá 53.500. Số tiền này đến từ cả hai giao dịch chuyển tiền tập trung cấp độ cá voi, với bốn ví yếu nhận được khoảng 24.999 Bitcoin trong một khoảng thời gian ngắn vào tháng 4 năm 2019. Chúng cũng đến từ doanh thu khai thác hàng ngày, với một số địa chỉ nhận được hơn 14.000 phần thưởng cho thợ đào được đánh dấu "lubian.com" chỉ trong vòng một năm. Hiện có 220.000 ví như vậy, và những người nắm giữ chúng dường như không nhận thức được những nguy cơ tiềm ẩn trong quá trình tạo khóa riêng tư, tiếp tục đầu tư tài sản của họ cho đến ngày nay. Làn sóng di cư hàng loạt vào cuối năm 2020 đã phơi bày những rủi ro bảo mật bị chôn vùi từ lâu vào cuối năm 2020. Vào ngày 28 tháng 12 năm 2020, các giao dịch bất thường trên chuỗi đã xảy ra. Chỉ trong vòng vài giờ, một lượng lớn ví thuộc phạm vi khóa yếu Lubian đã bị rút sạch, dẫn đến việc chuyển đồng thời khoảng 136.951 Bitcoin, trị giá khoảng 3,7 tỷ đô la vào thời điểm đó, với đơn giá khoảng 26.000 đô la. Phí giao dịch được cố định ở mức 75.000 sats, bất kể số tiền là bao nhiêu, chứng tỏ sự am hiểu toàn diện của nhà điều hành về mạng lưới Bitcoin. Một phần tiền sau đó đã được chuyển trở lại nhóm khai thác Lubian để nhận phần thưởng khai thác tiếp theo, cho thấy không phải tất cả tài sản được chuyển đều rơi vào tay tin tặc. Tuy nhiên, đối với các nạn nhân, tổn thất đã được nhận thấy. Kỳ lạ hơn nữa, một số giao dịch trên chuỗi còn mang theo thông báo như "Gửi những người dùng mũ trắng muốn cứu tài sản của chúng tôi, vui lòng liên hệ 1228btc@gmail.com." Vì các địa chỉ khóa riêng yếu đã bị lộ, bất kỳ ai cũng có thể gửi giao dịch kèm tin nhắn đến các địa chỉ này, và những tin nhắn này không nhất thiết phải đến từ chính nạn nhân.Liệu là trò đùa của tin tặc hay là lời kêu cứu từ các nạn nhân vẫn chưa được xác định. Điều quan trọng là, khoản chuyển tiền khổng lồ này đã không được nhận diện ngay lập tức là một vụ trộm. Trong một phân tích sau đó, các nhà nghiên cứu tại Milk Sad thừa nhận rằng, với việc giá Bitcoin tăng vọt và lợi nhuận của các nhóm khai thác bị đình trệ vào thời điểm đó, họ không chắc liệu vụ trộm là do tin tặc hay ban quản lý Lubian đang bán và tái cấu trúc ví ở thời điểm cao trào. Họ lưu ý: "Nếu vụ trộm xảy ra vào năm 2020, thì sẽ sớm hơn mốc thời gian đã được xác nhận cho cuộc tấn công khóa yếu Mersenne Twister, nhưng chúng tôi không thể loại trừ khả năng này." Chính vì sự không chắc chắn này, việc rút tiền vào cuối năm 2020 đã không gây ra báo động nào cho ngành, và lượng Bitcoin khổng lồ vẫn nằm trên chuỗi trong nhiều năm, một bí ẩn chưa được giải đáp. Do đó, không chỉ Lubian bị ảnh hưởng mà cả các phiên bản cũ hơn của Trust Wallet cũng vậy. Vào ngày 17 tháng 11 năm 2022, nhóm nghiên cứu bảo mật Ledger Donjon lần đầu tiên tiết lộ một lỗ hổng số ngẫu nhiên trong Trust Wallet cho Binance. Nhóm đã phản hồi nhanh chóng, đưa bản sửa lỗi lên GitHub vào ngày hôm sau và thông báo cho những người dùng bị ảnh hưởng. Tuy nhiên, mãi đến ngày 22 tháng 4 năm 2023, Trust Wallet mới chính thức tiết lộ chi tiết về lỗ hổng bảo mật và các biện pháp bồi thường. Trong thời gian này, tin tặc đã khai thác lỗ hổng bảo mật trong một số cuộc tấn công, bao gồm một cuộc tấn công vào ngày 11 tháng 1 năm 2023, trong đó khoảng 50 bitcoin đã bị đánh cắp. Trong khi đó, lỗ hổng bảo mật đang âm ỉ trong một dự án khác. Lệnh bx seed trong Libbitcoin Explorer 3.x sử dụng thuật toán số giả ngẫu nhiên MT19937 cộng với thời gian hệ thống 32 bit làm hạt giống, dẫn đến không gian khóa chỉ có 2^32 tổ hợp có thể có.

Tin tặc nhanh chóng bắt đầu các cuộc tấn công thăm dò và bắt đầu từ tháng 5 năm 2023, nhiều vụ trộm nhỏ đã xảy ra trên chuỗi. Cuộc tấn công đạt đến đỉnh điểm vào ngày 12 tháng 7, với một số lượng lớn ví do bx tạo ra bị làm trống. Vào ngày 21 tháng 7, trong khi giúp người dùng khắc phục sự cố mất mát, các nhà nghiên cứu của MilkSad đã phát hiện ra nguyên nhân gốc rễ của vấn đề: số ngẫu nhiên yếu trong hạt giống bx cho phép tấn công brute-force khóa riêng. Họ đã ngay lập tức thông báo cho nhóm Libbitcoin.

Tuy nhiên, vì lệnh này chính thức được coi là một công cụ thử nghiệm, nên việc giao tiếp ban đầu không được suôn sẻ. Cuối cùng, nhóm đã bỏ qua dự án và công khai lỗ hổng vào ngày 8 tháng 8, đồng thời xin cấp số CVE.

Chính khám phá này vào năm 2023 đã thúc đẩy nhóm Milk Sad tiến hành kỹ thuật đảo ngược dữ liệu lịch sử. Họ ngạc nhiên khi phát hiện ra rằng phạm vi khóa yếu đã tích lũy một lượng tiền đáng kể từ năm 2019 đến năm 2020 có liên quan đến Lubian và giao dịch chuyển tiền lớn nói trên xảy ra vào ngày 28 tháng 12 năm 2020. Vào thời điểm đó, có khoảng 136.951 Bitcoin nằm trong các ví yếu này. Dòng tiền chảy ra lớn vào ngày hôm đó có giá trị khoảng 3,7 tỷ đô la và giao dịch cuối cùng được biết đến là tích hợp ví vào tháng 7 năm 2024. Nói cách khác, bản chất đáng ngờ của sự cố Lubian chỉ nổi lên sau khi lỗ hổng ngẫu nhiên yếu bị phát hiện. Cửa sổ cảnh báo bị bỏ lỡ đã biến mất và tung tích của Bitcoin vào thời điểm đó cũng không còn nữa. Năm năm sau, với bản cáo trạng chung của Prince Group và Chen Zhi do Bộ Tư pháp Hoa Kỳ (DOJ) và các nhà chức trách Vương quốc Anh đưa ra, vụ việc cuối cùng đã trở nên sáng tỏ.

Đối với chúng tôi, câu nói “Không phải ví của bạn, không phải tiền của bạn” chỉ có thể có hiệu quả khi dựa trên tiền đề ngẫu nhiên.

Chào mừng bạn tham gia cộng đồng chính thức của BlockBeats:

Nhóm Telegram đăng ký: https://t.me/theblockbeats

Nhóm Telegram thảo luận: https://t.me/BlockBeats_App

Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia