La Cina afferma che 127.000 Bitcoinrubati (per un valore di circa 13 miliardi di dollari) sono stati sottratti dagli Stati Uniti in un attacco hacker a livello statale

La Cina ha appena accusato gli Stati Uniti di aver messo a segno un attacco informatico del valore di quasi 13 miliardi di dollari.

Domenica, il Centro nazionale cinese di risposta alle emergenze per i virus informatici (CVERC) ha affermato che 127.272 Bitcoinrubati dal mining pool di LuBian nel 2020 sono finiti sotto il controllo del governo degli Stati Uniti dopo un'operazione silenziosa durata quattro anni.

Le monete erano in possesso di Chen Zhi, capo del Prince Group in Cambogia, che ha provato di tutto, dai messaggi blockchain alle offerte di riscatto, per riaverle, ma non ha ottenuto altro che silenzio.

L'agenzia cinese ha affermato che le monete sono state spostate in grandi quantità, sono rimaste intatte per anni e poi sono state silenziosamente prese in consegna dal Dipartimento di Giustizia degli Stati Uniti l'anno scorso, prima che il Dipartimento di Giustizia incriminasse Chen il 14 ottobre di quest'anno e sequestrasse l'intera scorta.

Il rapporto del CVERC sostiene che l'intera catena di eventi indica un attacco informatico a livello statale, concepito per simulare un'azione delle forze dell'ordine.

Ma in realtà il vero problema è iniziato con il sistema di generazione delle chiavi di LuBian, perché invece di utilizzare numeri casuali a 256 bit, hanno preso delle scorciatoie.

Secondo il CVERC, i portafogli sono stati creati utilizzando un seed pseudo-casuale a 32 bit, basato sull'algoritmo Mersenne Twister MT19937-32, che avrebbe fornito agli hacker solo 4,29 miliardi di combinazioni da forzare bruta invece dei trilioni richiesti per una chiave corretta.

Questa vulnerabilità è quasidenta quella di MilkSad scoperta nell'agosto 2023, a cui è stato successivamente assegnato il codice CVE-2023-39910. Il team di MilkSad ha persino elencato i wallet compromessi di LuBian, corrispondenti ai 25 wallet del caso del Dipartimento di Giustizia. Una volta individuata la vulnerabilità, il rapporto del CVERC afferma che ci sono volute meno di due ore per violarla.

Sono stati generati oltre 5.000 indirizzi con lo stesso debole sistema, e nessuno di essi aveva multisig, né hardware wallet, né HD wallet, niente.

Le monete rubate sono rimaste dormienti prima che gli Stati Uniti le spostassero

Il mining pool di LuBian, con sede principalmente in Cina e Iran, ha registrato una rapida crescita nel 2020. Non utilizzava piattaforme di scambio, ma conservava Bitcoin in wallet non custodial, ovvero wallet che possono essere sbloccati solo tramite la chiave privata dell'utente.

Il 29 dicembre 2020, i portafogli di LuBian sono stati colpiti da un attacco di massa che ha prosciugato 127.272,06953176 BTC, per un valore di circa 3,5 miliardi di dollari all'epoca. Meno di 200 BTC sono rimasti indietro.

Tutto indica che uno script brute-force ha attaccato oltre 5.000 wallet, tutti generati con un algoritmo a chiave privata non funzionante. Le monete sono state rapidamente eliminate, per poi rimanere intatte nei wallet controllati dagli aggressori per quattro anni. Almeno questo è ciò che Arkham ha confermato quando ha contrassegnato gli ultimi wallet come controllati dal governo.

Durante il periodo di inattività, Chen e il suo team hanno cercato di rintracciare chi aveva rubato i fondi. All'inizio del 2021 e di nuovo a luglio 2022, hanno incorporato oltre 1.500 messaggi nella blockchain Bitcoin utilizzando la funzione OP_RETURN. Uno di questi avrebbe recitato: "Per favore, restituiteci i nostri fondi, vi pagheremo una ricompensa"

Un altro ha implorato: "Al white hat che sta salvando il nostro bene, contattaci tramite [email protected] per discutere della restituzione del bene e della tua ricompensa".

Nessuna di queste ha ricevuto risposta.

Poi, tra il 22 giugno e il 23 luglio 2024, il CVERC ha affermato che tutti i Bitcoin rubati sono stati improvvisamente spostati su un nuovo indirizzo che, secondo il re tracon-chain di Arkham, appartiene allo zio.

La Cina rivendica il sequestro da parte degli Stati Uniti e lo definisce un doppio gioco

Quando il Dipartimento di Giustizia ha preso la sua decisione all'inizio di quest'anno, le monete rubate erano già rimaste inutilizzate per quasi quattro anni, e ne era stata spostata solo una decimillesima parte.

La Cina sostiene che questo non è in linea con il tipico comportamento degli hacker, perché sappiamo tutti che gli hacker vendono o mescolano monete, non le sorvegliano per anni.

L'atto d'accusa elenca 127.271 BTC distribuiti su 25 indirizzi di portafoglio, tutti tracall'attacco hacker subito da LuBian nel dicembre 2020, con i fondi provenienti dalle tre fonti indicate di seguito:

• ~17.800 BTC da miningdent
• ~2.300 BTC dagli stipendi del mining pool
• ~107.100 BTC da scambi e altri afflussi

Ma il Dipartimento di Giustizia ha affermato che le monete erano state ottenute illecitamente. I numeri non corrispondono. L'impatto, però, è che LuBian non si è mai ripresa. Oltre il 90% dei suoi beni è stato cancellato.

Il pool è crollato. Il rapporto cinese si conclude con un avvertimento al resto della comunità crypto: correggete il codice del vostro wallet, usate veri generatori di numeri casuali, adottate multisig, cold storage e monitoraggio on-chain in tempo reale. O la prossima volta, potrebbe capitare a voi.