史上最大150億加密貨幣沒收案背後,20 萬比特幣地址恐外洩!被點名錢包回應了
2020 年 12 月,約 120,000 枚比特幣在區塊鏈上進行大規模轉移,轉出自一批此前沉寂已久、幾乎無交易紀錄的錢包地址。而隨著美國司法部(DOJ)於 2025 年宣布查封東南亞電詐帝國太子集團等值 150 億美元的比特幣,兩起事件似乎產生了關聯。但問題是,怎麼辦到的?
(美英聯手掃蕩東南亞最大加密詐騙網:主嫌挖礦洗錢遭查封 127,000 個比特幣)
用偽隨機數生成私鑰,DOJ 暴力枚舉破解錢包
根據調查報告,這批資金實際屬於 Lubian 礦池,其背後與太子集團關聯密切。報告指出,Lubian 錢包生成私鑰時,使用了漏洞百出的偽隨機數生成器 (PRNG),導致生成的私鑰並未真正隨機。換言之,這些錢包的私鑰是可被數學推導的。美國執法部門正是透過識別這批弱私鑰地址,暴力枚舉破解了這些錢包。
廣告 - 內文未完請往下捲動
涉案 Lubian 曾是全球前十礦池,卻出現私鑰生成漏洞
KOL Dr.PR 說明,Lubian 是由中國團隊於 2019 年創立的比特幣礦池,主打算力強、手續費低,一度位居全球前十。然而在 2020 年底,Lubian 網站與社群帳號突然下線,礦池服務終止。同年 12 月 28 日,其控制的錢包地址內超過 13 萬枚 BTC 在兩小時內被掃空,按當時幣價約值 30 億美元。
當時外界懷疑是駭客攻擊,但多年後的研究證實:問題出在 Lubian 自行開發的錢包生成算法。
Dr. PR 補充:「Lubian 為了方便批次支付給礦工,自行寫了私鑰生成程式。但他們用的並非真正的隨機數,而是一種偽隨機算法 (PRNG),對外看似亂數,實際上根據某個起始值規律地推算出一串可預測的私鑰。多個錢包之間僅有微小偏移,導致它們在數學上連成一線。只要找出這條線,就能逐一推算 Lubian 所有私鑰。」
Trust Wallet 回應:2018 年 7 月後新創錢包安全無虞
據統計有約 22 萬比特幣地址可能有此缺陷,被點名的 Trust Wallet 表示有注意到,社群近期出現了一些關於 2018 年早期錢包版本漏洞的討論。
他們也澄清:「此問題源自於早期版本中被業界廣泛使用的第三方開源隨機數庫,已於 2018 年 7 月徹底修復。修復記錄可在我們開源的 Wallet Core library 可查。當時受影響的用戶數約為 1 萬名早期用戶,我們已逐一通知並提供資產遷移方案。沒有任何用戶受到損失,並且所有受影響的錢包已被棄用。」
並重申自 2018 年 7 月以來,所有 Trust Wallet 用戶新創建的錢包均不再受到此漏洞影響。目前的 Trust Wallet 使用經過審計的現代加密庫與高強度隨機數演算法,錢包私鑰產生安全、可驗證。自 2019 年起,已完成多輪獨立安全審計,並上線了 公開漏洞懸賞計劃 (Bug Bounty Program)。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
