China afirma que 127.000 Bitcoinrobados (valorados en ~$13 mil millones) fueron tomados por Estados Unidos en un ataque a nivel estatal

China acaba de acusar a Estados Unidos de perpetrar un ataque cibernético por un valor de casi 13.000 millones de dólares.

El domingo, el Centro Nacional de Respuesta a Emergencias de Virus Informáticos de China (CVERC) afirmó que 127.272 Bitcoinrobados del grupo minero LuBian en 2020 terminaron bajo el control del gobierno de Estados Unidos después de una operación silenciosa de cuatro años.

Las monedas estaban en poder de Chen Zhi, jefe de Prince Group en Camboya, quien intentó de todo, desde mensajes de blockchain hasta ofertas de rescate, para recuperarlas, pero no obtuvo nada más que silencio.

La agencia china dijo que las monedas fueron trasladadas en grandes cantidades, permanecieron intactas durante años y luego fueron confiscadas silenciosamente por el Departamento de Justicia de Estados Unidos el año pasado, antes de que el Departamento de Justicia acusara a Chen el 14 de octubre de este año y confiscara todo el alijo.

El informe de CVERC afirma que toda esta cadena de acontecimientos apunta a un ataque informático a nivel estatal diseñado para parecer policial.

Pero, en realidad, el verdadero problema empezó con el sistema de generación de claves de LuBian, porque en lugar de utilizar números aleatorios de 256 bits, tomaron atajos.

Según el CVERC, las billeteras se crearon utilizando una semilla pseudoaleatoria de 32 bits, basándose en el algoritmo Mersenne Twister MT19937-32, que supuestamente dio a los piratas informáticos solo 4,29 mil millones de combinaciones para forzar la seguridad en lugar de los billones necesarios para una clave adecuada.

Esto es casidenta la falla de MilkSad, revelada en agosto de 2023, a la que posteriormente se le asignó la CVE-2023-39910. El equipo de MilkSad incluso enumeró las billeteras comprometidas de LuBian, coincidiendo con las 25 billeteras del caso del Departamento de Justicia. Una vez que el atacante descubrió la vulnerabilidad, el informe del CVERC indicó que tardó menos de dos horas en entrar.

Se generaron más de 5.000 direcciones con el mismo sistema débil, y todas ellas no tenían multifirma, ni billeteras de hardware, ni billeteras HD, ni nada.

Las monedas robadas permanecieron inactivas antes de que Estados Unidos las moviera

El grupo de minería LuBian, con sede principalmente en China e Irán, experimentó un rápido crecimiento en 2020. No utilizaba exchanges, sino que almacenaba Bitcoin en monederos sin custodia, del tipo que solo se puede desbloquear con la clave privada.

El 29 de diciembre de 2020, las billeteras de LuBian sufrieron un ataque masivo que drenó 127,272.06953176 BTC, con un valor aproximado de $3,5 mil millones en ese momento. Quedaron menos de 200 BTC.

Todo apunta a un script de fuerza bruta que atacó más de 5000 billeteras, todas generadas con un algoritmo de clave privada defectuoso. Las monedas fueron expulsadas rápidamente y permanecieron intactas en billeteras controladas por los atacantes durante cuatro años. Al menos eso es lo que Arkham confirmó al marcar las últimas billeteras como controladas por el gobierno.

Durante el periodo de inactividad, Chen y su equipo intentaron contactar con quien robó los fondos. A principios de 2021 y de nuevo en julio de 2022, integraron más de 1500 mensajes en la blockchain Bitcoin mediante la función OP_RETURN. Uno supuestamente decía: «Por favor, devuélvannos nuestros fondos; les pagaremos una recompensa»

Otro suplicó: “Al experto en seguridad informática que está salvando nuestro activo, contáctenos a través de [email protected] para hablar sobre la devolución del activo y su recompensa”.

Ninguno de ellos obtuvo respuesta.

Luego, entre el 22 de junio y el 23 de julio de 2024, la CVERC dijo que todos los Bitcoin robados se trasladaron repentinamente a una nueva dirección, que según tracen cadena de Arkham, pertenece al tío.

China reivindica la confiscación estadounidense y la califica de traición

Cuando el Departamento de Justicia realizó su movimiento a principios de este año, las monedas robadas ya habían permanecido inactivas durante casi cuatro años, y solo se había movido menos de una diezmilésima parte.

China dice que esto no coincide con el comportamiento típico de los piratas informáticos, porque todos sabemos que los piratas informáticos venden o mezclan monedas, no las cuidan durante años.

La acusación formal enumera 127.271 BTC en 25 direcciones de billetera, todas trachasta el hackeo de LuBian en diciembre de 2020, con fondos provenientes de las tres fuentes que se indican a continuación:

• ~17,800 BTC dedent independiente
• ~2,300 BTC de los salarios del pool de minería
• ~107,100 BTC de intercambios y otras entradas

Pero el Departamento de Justicia afirmó que las monedas se obtuvieron ilícitamente. Las cifras no concuerdan. Sin embargo, el impacto es que LuBian nunca se recuperó. Más del 90% de sus activos fueron borrados.

El pool se cayó. El informe chino termina con una advertencia al resto de la comunidad cripto: corrijan el código de su billetera, usen generadores de números aleatorios reales, adopten la multifirma, el almacenamiento en frío y la monitorización en cadena en tiempo real. O la próxima vez, podría ser su culpa.