Das Bestreben der U.S.-Behörden, mehr als 127.000 Bitcoin zu beschlagnahmen, hat einen entscheidenden Faden wiederbelebt: Mehrere der betroffenen Wallets werden von Arkham Intelligence als mit dem “Lubian.com Hacker” verbunden bezeichnet, einem Cluster, das zuvor mit dem Milky Sad Schwachstellen-Vorfall in Verbindung gebracht wurde.
127.000 BTC unter US-Beschlagnahme aufgrund von Milky Sad Weak-Key-Schwachstelle, sagt Onchain-Ermittler
GESCHRIEBEN VON
TEILEN
Wallets mit 127K Bitcoin als Lubian.com Hacker-Adressen in Milky Sad Verbindung markiert
Arkams öffentliche Entitätsseite listet den “Lubian Hacker” und verfolgt ungefähr 127.426 BTC, die einem Exploit von Lubian.com, einem mit China verbundenen Mining-Pool, zugeschrieben werden, wobei die Transfers auf Ende 2020 datiert sind. Arkham veröffentlichte seine Untersuchung erstmals im August und nannte es einen Diebstahl, der jahrelang unbemerkt blieb und jetzt nach aktuellen Preisen in den zig Milliarden Dollar liegt.
Dieses Clustering ist bemerkenswert, da die Milky Sad Offenlegung – veröffentlicht im Jahr 2023 – einen katastrophalen Fehler im Libbitcoin Explorer (bx) dokumentierte: Es verwendete einen Mersenne Twister-Pseudozufallszahlengenerator für die Erstellung von Wallet-Seeds, was vorhersehbar schwache Schlüssel erzeugte. Angreifer konnten Seeds aus begrenzter Entropie rekonstruieren und Gelder abziehen. Das Problem ist als CVE-2023-39910 katalogisiert.
In einem Beitrag am Dienstag machte der Onchain-Ermittler ZachXBT auf die Überschneidung aufmerksam, schrieb, dass Adressen, die in der 127K-BTC-Angelegenheit der US-Regierung aufgeführt sind, zuvor in einem Milky Sad-Bericht aufgetaucht waren – und fügte hinzu, mit charakteristischer Vorsicht:
„Wahrscheinlich hat entweder jemand diese für die USG gehackt oder die USG selbst.“
Arkhams August-Bericht behauptet keine Regierungszuschreibung; vielmehr rekonstruiert es Flüsse, die darauf hinweisen, dass von Lubian.com kontrollierte Wallets im Dezember 2020 geleert und von einem unbekannten Akteur konsolidiert wurden. Separat hat die Medienberichterstattung Arkhams Zeitachse und Umfang widergespiegelt, und festgestellt, dass Lubians Team den Verlust nie öffentlich anerkannt hat, auch nicht, als Onchain-Bitten nach dem Umzug der Gelder erschienen.
Der Milky Sad eigener Bericht beschreibt, wie die 32-Bit-Entropie von bx das Brute-Forcing praktisch machte, ein reales Versagen, das zu Diebstählen auf mehreren Blockchains führte und zu einem anschließenden Kontakt mit den Strafverfolgungsbehörden, um weiteren Schaden zu begrenzen. In einem X Beitrag, der am Dienstag veröffentlicht wurde, erklärte Arkham, wie die U.S.-Strafverfolgung Lubian angeblich mit Gewinnen verbunden hat, die aus kriminellen Handlungen finanziert wurden.
„Das DOJ gibt nicht an, wie die Bitcoin in US-Gewahrsam gelangt sind, was offenlässt, ob die Schlüssel kompromittiert, übergeben wurden, oder ob der ‘Hack’ von 2020 tatsächlich eine verdeckte US-Operation war“, erklärte Arkham weiter auf sozialen Medien. „Die Bitcoin wurden ein weiteres Mal bewegt, im Juni-Juli 2024. Die Gerichtsakte erwähnt einen Vorfall, bei dem ‘ein Finanzpersonal’ mit [Geld] ‘geflohen’ ist und ‘versuchte, sich zu verstecken.’ Dies steht möglicherweise im Zusammenhang mit den BTC-Bewegungen im Juli 2024.“
Dieses technische Umfeld ist es, was die Lubian.com-Verbindung in der aktuellen US-Beschlagnahmeaktion hervortreten lässt: Die unter Beobachtung stehenden Wallets entsprechen einer Adressgruppe, die in der öffentlichen Forschung lange mit dem Schwachstellen-Vorfall in Verbindung gebracht wurde.
Während separate Berichte die 127.271 BTC mit breiteren strafrechtlichen Ermittlungen in Verbindung gebracht haben, ist heute die Nachricht für Kryptowährungskreise die Milky Sad Verbindung selbst: Arkhams “LuBian.com Hacker” Kennzeichnung ist öffentlich, und ein prominenter Ermittler wie ZachXBT verweist auf diesen Datensatz, während die Regierung ihren Fall vorantreibt. Die Frage, wer letztendlich die Schlüssel in jedem Schritt kontrollierte, bleibt offen.
FAQ 🧭
- Was ist Milky Sad? Eine Offenlegung im Jahr 2023 zeigte, dass Libbitcoin Explorer schwache Zufälligkeit verwendete, was es Angreifern ermöglichte, Wallet-Seeds zu rekonstruieren und Gelder zu stehlen.
- Warum ist Lubian.com relevant? Arkham schreibt eine 127K-BTC-Drainage Ende 2020 Controll-Adressen zu, die mit dem Mining-Pool Lubian.com verbunden sind, und diese als “Lubian.com Hacker” bezeichnet.
- Was sagte ZachXBT? Er bemerkte, dass Adressen in der 127K-BTC-Maßnahme der USA mit Milky Sad-referenzierten Wallets übereinstimmen und stellte konkurrierende Hypothesen auf, wie die Münzen erlangt wurden.
- Was ist bestätigt vs. Vermutung? Arkhams Bezeichnungen und der technische Mangel von Milky Sad sind dokumentiert; wer die Schlüssel in jeder Phase hielt oder bewegte, wurde nicht öffentlich bekannt gegeben.
