150億美元比特幣被盜案的真相

作者：徐令予

2020 年 12 月 29 日，著名的 LuBian 礦池發生了一起震驚加密貨幣行業的重大黑客攻擊事件。攻擊者在短時間內成功轉走了12萬枚比特幣。按當時的幣價計算，這批比特幣價值約 35 億美元，以今日價格衡量，其價值接近 150 億美元！後來多方調查表明，這批巨額比特幣的控製權屬於柬埔寨太子集團主席陳誌，因此這一事件也被稱為“太子集團礦池被盜案”。

近日，中國國家計算機病毒應急處理中心在其官方公眾號發布了題為《LuBian 礦池遭黑客攻擊被竊取巨額比特幣事件技術溯源分析報告》的文章，對事件可能的技術原因進行了較為係統的分析。該報告的發布，使這起塵封多年的案例再次成為公眾和技術社區關注的焦點，也引發了有關比特幣安全性以及係統入侵方式的進一步討論。

然而，圍繞這起事件的各類解讀中，既有嚴肅的技術分析，也有媒體的誇大渲染，更有一些未經證實的推斷。為了幫助讀者更準確地理解事件背後的機製、可能的技術成因，以及其中的一些誤解，我們從比特幣的私鑰作用說起，對數字貨幣係統的安全機製與實際風險進行一次通俗而全麵的梳理。

一、比特幣私鑰與控製權：為什麽誰擁有私鑰，誰就擁有比特幣？

比特幣沒有傳統意義上的密碼或賬戶體係，也沒有銀行或中心化機構驗證身份。比特幣體係中，唯一決定你是否能夠動用某筆資金的，就是 私鑰（Private Key）。

私鑰是一串 256 位的隨機數字。任何持有這串數字的人，都可以生成有效的加密簽名，把對應地址中的比特幣全部轉走。比特幣網絡並不審查操作者的身份，隻驗證簽名是否有效。

因此：

• 擁有私鑰＝實際擁有比特幣  
• 私鑰丟失＝比特幣永遠無法找回  
• 私鑰泄露＝資產會在瞬間被別人轉走  

理解這一點，是理解比特幣安全性的基礎。

二、冷錢包和托管錢包：完全不同的安全機製

雖然所有的私鑰都是一串數字，但它們的存儲方式會決定安全等級。最常見的是 冷錢包（自托管） 與 托管錢包（平台代管）。

1. 冷錢包：私鑰完全離線、自托管

冷錢包的私鑰從不連接互聯網，私鑰存放在硬件錢包、紙錢包、或永不聯網的電腦中。

由於私鑰不暴露於網絡攻擊麵，這就像：把金條鎖在家裏的保險櫃裏，鑰匙握在自己手裏。優點是安全性最高，缺點是如果管理不善丟失私鑰，損失不可逆。

2. 托管錢包：平台代管私鑰（交易所、礦池）

托管錢包中：私鑰由平台服務器管理，用戶實際上不持有自己的私鑰，用戶資產的安全依賴平台的安全性  

這更像：把金條存放在銀行金庫，但鑰匙由銀行保管。一旦平台被攻破，所有用戶資產可能瞬間失竊。幾乎所有大型盜幣事件都發生在托管模式。

三、兩類攻擊方式：數學破解與係統入侵

比特幣資產要麽被破解，要麽被竊取，兩者之間有本質的不同。

1.數學破解的原理：試圖從公開的比特幣地址，反推生成它的私鑰。如果私鑰是標準的 256 位隨機數，那麽窮舉它就需要進行

 2^256 ≈ 1.16 × 10^77 次嚐試，這遠超目前可提供的算力資源，因此幾乎不可能。

什麽時候數學破解才“可能”發生？隻有在以下極端情況存在時：

• 私鑰的隨機數生成器出現重大缺陷
• 256 位中隻有少量位是真正隨機的
• 大部分位數是固定、可預測或可從模式中推斷
• 例如隻剩下 32 位隨機需要靠窮舉

當隨機性嚴重不足時，攻擊者可以把嚐試降為2^32（約 42.9 億次）使用現代 GPU 集群在幾小時內可以完成。這種安全漏洞源自糟糕的技術實施，而不是密碼學本身。

2. 係統入侵：現實世界中最常見的攻擊方式

絕大多數盜幣事件都屬於係統入侵，例如：

• 服務器被攻破  
• 私鑰文件被竊取  
• HD 主種子被獲取  
• 管理員賬號泄露  
• 密鑰或敏感數據被日誌、備份泄露  

一旦私鑰泄露：攻擊者無需破解，隻需“使用”私鑰即可轉走資產。這就像：黑客潛入金庫，把鑰匙拿走，不需要用暴力打開保險箱。這是現實世界中攻擊者最常采用的方式。

四、媒體推測與事實並不一致：弱隨機數漏洞是否確鑿存在？

在太子集團礦池比特幣被盜事件的相關報道中，有部分技術性文章提出十分詳盡的推測：礦池的私鑰生成器可能使用了與 Libbitcoin Explorer 事件中曾出現的與 “MilkSad” 漏洞類似的偽隨機數算法，例如以 Mersenne Twister (MT19937-32) 作為隨機數生成器，並且僅使用 32 位種子。若情況屬實，私鑰有效熵將隻有 32 位，攻擊者隻需窮舉 0 至 2³²−1 的所有可能種子、生成對應私鑰，再驗證其公鑰哈希是否匹配即可。這類報道進一步指出，超過 5,000 個地址受到影響，因此漏洞可能具有係統性，源於礦池係統的底層代碼的複用。

這些內容從技術角度看非常詳盡，然而必須強調：目前並無公開證據表明 LuBian 礦池確實使用了 MT19937 或等效的弱隨機數生成方式。

沒有人獲得礦池的源代碼，也沒有可驗證的審計報告能夠確認這些推斷。所謂“使用 MT19937”、“32 位熵”、“複現 MilkSad 漏洞”皆屬於針對鏈上行為的推理性描述，而非基於實際代碼的事實陳述。

更重要的是，鏈上呈現的行為，例如多個地址在短時間內被迅速清空，這不僅符合“弱隨機數導致多地址私鑰被暴力破解”的表現，也同樣符合“係統被攻破、批量私鑰或 HD 主種子被一次性竊取”的模式。在中心化礦池或交易係統中，如果主種子（HD master seed）或私鑰庫（key store）被入侵者成功獲取，那麽攻擊者能夠瞬間控製所有衍生地址，其鏈上表現與弱隨機數導致的破解幾乎無法區分。

因此，這類技術報道雖提供了一種可能性較高的理論解釋，但它們並不能證明弱隨機數問題真實存在。對缺乏源代碼的外部事件進行技術複原本身帶有不確定性，而偏向使用已有漏洞模型（如 MilkSad）是常見的“框架套用”方式，也容易讓讀者誤以為分析所描述的是“已被證實的事實”。然而在安全領域裏：

技術推測 ≠ 事實證據；鏈上現象 ≠ 漏洞成因。

在缺乏內部資料、源代碼或係統日誌的情況下，弱隨機數漏洞隻能被視為一種“可能解釋”，而非確定結論。反之，係統入侵、運維權限泄露、服務器後門或主密鑰管理不當等原因，則在曆史案例中更為常見，也更符合大規模資產在短時間內被完全轉移的特征。

綜合行業經驗、曆史案例與攻擊模式來看，最合理的技術解釋應該是

• 礦池服務器遭入侵  
• 私鑰庫或 HD 主種子被一次性竊取  
• 資產被短時間內集中轉移  

五、比特幣係統本身沒有問題：風險始終來自“最弱的環節”

在審視本次礦池比特幣失竊事件時，有一個常被忽視卻至關重要的事實：比特幣的底層係統並沒有出現任何結構性安全漏洞。公鑰密碼學仍然穩固，ECDSA 橢圓曲線算法沒有被破解，標準的私鑰生成機製在數學上依然安全。無論此次事件的具體原因是服務器遭入侵、密鑰管理不當，還是某一模塊的隨機數實現存在缺陷，這些都屬於技術實施層麵的缺陷，而非比特幣協議本身的安全問題。

如同所有現代的信息係統一樣，比特幣生態的安全性並不是由某個單一組件決定，而是由一整條相互依賴的安全鏈共同維係。隨機數生成器的質量、軟件代碼的實現細節、服務器的配置與維護、硬件環境的安全性、密鑰的存儲方式、權限體係的管理、開發和運維人員的安全意識等，都是這條鏈上的薄弱環節。鏈條的整體強度永遠取決於其中最薄弱的環節，而不是最堅固的部分。

曆史反複證明，引發災難的往往不是複雜高深的密碼學被破解，而是一些看似微不足道的技術細節錯誤，例如弱隨機數、明文存儲密鑰、服務器補丁沒有及時更新、管理員玩忽職守，或者開發者在日誌中意外暴露敏感數據。真正的危險通常來自這些最低級的疏忽，但卻常常被人們忽視。

與此形成鮮明對比的是，媒體和某些“專家”往往熱衷於渲染所謂的“公鑰密碼學危機”或“量子計算機即將摧毀密碼體係”。這種缺乏技術依據的敘事不僅容易誤導公眾，使他們誤以為問題源自某種不可抵擋的數學崩塌，還會無形中掩蓋真正需要警惕的風險，那些最普通、最基礎、最容易被忽略但又最致命的安全漏洞。

因此，本次事件更應當被視為對係統安全管理的再次警示：信息係統的安全從來不是由某個獨立技術決定，而是取決於整套機製是否組織嚴密、各個環節是否穩固可靠、人員是否遵循規範。比特幣的密碼學基礎依然穩固，而風險來自實施與管理層的失職，這才是該事件給予整個行業最值得深思的啟示。

徐令予 作於南加州（2025年11月17日）