美国政府如何转移价值 140 亿美元的比特币？

当私钥生成并不随机...

撰文：ChandlerZ，Foresight News

2020 年 12 月 28 日，接近 12.7 万枚比特币从与中国矿池 Lubian 相关的钱包在两小时内被扫空。直到 2025 年，民间研究与情报机构的链上取证将碎片连成线索：这些资金与一类「弱随机」生成的钱包相吻合；8 月，Arkham Intelligence 系统性披露 Lubian 被盗链上画像；10 月，美国东纽约联邦检方提起史上最大规模的比特币民事没收诉讼，称 127,271 BTC 现由美国政府地址托管，并在诉状中直述「Lubian 是一家中国比特币挖矿业务」，随附的「Attachment A」地址清单与民间样本高度重合。

Milk Sad 研究团队的最新研究汇总并扩展了此前「弱私钥钱包」列表，这一簇钱包的总余额约 136,951 BTC；自交易 95384d1c..8617c9e2 起，短短两小时内密集外流，常见固定 75,000 sats 手续费；数日后几近清空。该研究还指出，当天并非所有流出都去向疑似攻击者 —— 约 9,500 BTC 流向 Lubian 继续使用的某个支付地址。

这批地址为何与 Lubian 相关？研究团队早在 2024 年的就通过矿工 coinbase 标记（「lubian.com」「Buffett」）与大量矿池分账，将部分收款地址与 Lubian 的挖矿活动对应起来。

技术根因：一场由「弱随机」引发的系统性风险

Milk Sad 研究团队把这类钱包归因于 Libbitcoin Explorer（bx）3.x 的「Milk Sad」漏洞（CVE‑2023‑39910）：使用 mt19937（梅森旋转） 伪随机数生成种子，有效熵仅 32 位，使私钥可被枚举 / 推断。2025 年 7 月，研究者在再发现 PRNG offset 规律，解释此前搜索遗漏，并可在链上把看似分散的钱包串成共享状态的一组。

为帮助读者理解「弱随机」的普遍性，可对照另一起广为记录的事故：Trust Wallet Core 浏览器扩展在 2022–2023 年间也因 32 位熵问题被利用（CVE‑2023‑31290）。两起案例都凸显：用通用伪随机数当作加密随机源是灾难。

2025 年 8 月 2 日，Arkham Intelligence 公布长帖与公告页，指出 Lubian 在 2020 年 5 月曾掌握近 6% 全网算力，而在 2020 年 12 月 28 日被转走 127,426 BTC （当时约 35 亿美元，今值约 145 亿美元）；

Arkham 识别到 1,516 笔 OP_RETURN 广播，花费约 1.4 BTC，内容请求「归还资金」。这表明这不是另一个通过暴力破解私钥的黑客所为。其中也提到 LuBian 似乎使用了一种容易受到暴力破解攻击的算法来生成私钥。这可能是黑客利用的漏洞。

Milk Sad 研究团队随后在 Update #14 甄别出约 20 个此前「被偏移掩蔽」的弱私钥地址，并首次完整公布两段合成的 OP_RETURN 文案（含「MSG from LB…」）。同时提醒：这些钱包的私钥已泄露，「任何人都可代发广播」，需结合资金来源来判断信息真伪。

司法承接：DOJ 的「史上最大没收」如何落墨

10 月 14 日，美国东纽约检方新闻稿称，已对 约 127,271 BTC 提起民事没收诉讼，这些比特币「此前存放于被告掌握私钥的非托管钱包」，目前「由美国政府托管」。同日解封的没收诉状在「事实」部分写道：「Lubian 是一家中国比特币挖矿业务，业务分布于中国与伊朗等地。」文末「Attachment A」逐页列出地址清单，其中可与 Milk Sad 研究团队新表一一对照（如 3Pja5F…、338uPV…、3B1u4P… 等）。

需要十分审慎的表述是： 官方文件并未披露「如何取得控制权」—— 仅明确「现由美国政府托管 / 在政府已知地址中」。因此，媒体在行文上应避免将「政府控制这些币」等同为「已获取私钥」的技术性断言。

但目前仍有尚未得到答案的三个疑问：

• 其一：2020 年 12 月 28 日 的「清空」究竟是盗窃，还是别的？Milk Sad 研究团队用交易费用、出块节奏等侧写「异常」；Arkham 判断倾向「弱私钥被利用」；但最终性质仍须司法定性。
• 其二：政府如何接管这批币？检方文件仅称「此前在被告掌握私钥的非托管钱包」「现由政府托管」；Wired 引用 Elliptic 的分析给出若干假设（例如先前的「被盗」与后续执法间的关联路径），但它们都只是行业推测而非官方披露。
• 其三：事后动向意味着什么？10 月 15 日，标注为 Lubian 相关的钱包再次转出约 9,757 BTC（约 11 亿美元），引发「安全迁移、抛压或司法处置」的不同解读。

Lubian 事件是一次少见的「技术 — 链上 — 司法」三线闭环：技术上，弱随机种下了可枚举的私钥；链上，公开账本让研究者在几年后仍可还原脉络（PRNG 偏移、OP_RETURN 广播、异常费率）；司法上，检方把「Lubian 是挖矿业务」的事实写入诉状，并以「现由政府托管」宣布史上最大规模的比特币没收行动。尽管「如何接管资金」「是否真正经历过盗窃」等问题仍待澄清，但这起跨越五年的事件已经足以成为行业教材：在加密世界，坏随机不会马上要命，但终将要命。

22.7 万个自动化弱钱包集群

2025 年 7 月，Milk Sad 研究团队在 Update #13 报告了对大量弱加密货币钱包集群进行的新研究，其规模是之前所知的 85 倍。研究团队基于 PRNG 偏移（offset） 的新检索方法，将 2023 年已知的 ~2,630 个样本扩展到 227,294 个地址。该集群具有高度一致的工业化痕迹：统一的 BIP49（3 字头） 形态、固定派生路径 m/49'/0'/0'/0/0、2018‑10‑03 至 2018‑10‑08 集中出现的小额一次性入金（常见面额 0.00019555/0.00000918/0.00000602 BTC），随后呈洒出 — 扩散的搬运轨迹。技术突破点在于同一次 PRNG 播种，会顺序取多把私钥（常见 2 把、常见 18 把，个别超过 100 把），而非像脆弱的 libbitcoin-explorer 那样「每个播种位点只取一把」，这解释了早期检索的「漏网」。研究团队进一步指出：生成方很可能不是直接用 bx，而是自研或改造了相近逻辑，但本质仍是 MT19937（梅森旋转）弱熵导致的可枚举密钥。

Milk Sad 研究团队称，到目前为止，剩余的资金已被不明身份的攻击者盗取。这始于 2023 年 5 月，但主要发生在 2023 年 12 月至 2025 年 1 月之间。我怀疑这些资金是被攻击者非法转移的，他们破解了伪随机数生成器（PRNG）的抵消计算，并等待比特币手续费较低的时期进行转移。像往常一样，在真正的所有者出面宣布这是盗窃之前，很难判断这些交易是否得到了许可，所以这只能算作一个未经证实的理论。

它对普通用户的影响在于，如果用户曾用 libbitcoin‑explorer (bx) 3.0.0–3.6.0 生成过助记词（对应 CVE‑2023‑39910），应视为高危：立刻在可信环境（建议硬件钱包或现代客户端）重新生成新种子并整体迁移，不要在旧种子下生成任何新地址。主流硬件钱包（如 Trezor、Ledger）未使用受影响的 bx 代码，但把脆弱种子导入硬件钱包并继续使用也无法补救。另外，Trust Wallet 浏览器扩展曾在 0.0.172–0.0.182 版本暴露出 32 位熵问题（CVE‑2023‑31290）；若你在该时段用其生成过助记词，同样建议轮换迁移。

简明五步：1、回忆助记词生成来源（是否用过 bx seed、脚本或网页生成器）；2、检查是否长期只用 BIP49 首地址收款（并非充分条件，仅作画像参考）；3、将常用地址与 Milk Sad 数据仓库弱地址清单离线对比；4、一旦命中或无法排除，立刻迁移并按隐私最佳实践分批转出；5、保留签名与交易凭证，以备维权或报案。