4 juni 2026
Recent beschuldigingen van het Chinese National Computer Virus Emergency Response Center zijn een interessant hoofdstuk in het verhaal van de LuBian Bitcoin-exploit uit 2020. De Chinese autoriteiten wijzen naar de Verenigde Staten als de dader van deze cyberaanval. Echter, onderzoek in het Westen legt de schuld bij een kwetsbaarheid in de wallet-software, zonder een specifieke staatsactor te impliceren. Dit roept vragen op over de reële dynamiek achter deze complexe kwestie.
De kern van de zaak is inmiddels goed gedocumenteerd in openbare bronnen. Volgens Arkham werden er op 28 en 29 december 2020 ongeveer 127.000 BTC verplaatst vanuit wallets die geassocieerd zijn met het LuBian-mining pool. Deze fondsen werden via coördineerde opnames over honderden adressen verspreid binnen een tijdspanne van ongeveer twee uur. De MilkSad-onderzoeksgroep, in samenwerking met CVE-2023-39910, ontdekte dat de wallets waren aangemaakt met een software-algoritme dat de MT19937-generator voerde met slechts 32 bits aan entropy. Dit beperkte de zoekruimte tot ongeveer 4,29 miljard mogelijke zaadwaarden, waardoor batches van P2SH-P2WPKH-adressen kwetsbaar werden voor brute-force-aanvallen.
Milksad Update #14 verbindt een cluster dat begin 2020 met ongeveer 136.951 BTC werd leeggeroofd aan LuBian.com, waar de on-chain mining-activiteit plaatsvond. Daarnaast documenteert het een vast patroon van transactiekosten van 75.000 satoshi op de opnames. De reconstructie van Blockscope laat zien dat de meeste van deze fondsen jarenlang nauwelijks in beweging waren. Uiteindelijk bevinden deze munten zich nu in wallets die onder controle staan van de Amerikaanse overheid. Het ministerie van Justitie van de Verenigde Staten is momenteel actief bezig met het vervolgen van de verbeurdverklaring van ongeveer 127.271 BTC, die volgens hen voortkomen uit fraude en witwaspraktijken die verband houden met Chen Zhi en de Prince Group.
Elliptic toont aan dat de adressen genoemd in de klacht van het ministerie van Justitie overeenkomen met het eerder geïdentificeerde zwakke sleutelcluster, terwijl Arkham deze geconsolideerde doelwallets als gecontroleerd door de Amerikaanse overheid classificeert. On-chain onderzoeksers zoals ZachXBT hebben deze overlapping tussen de in beslag genomen adressen en het zwakke sleutelset publiekelijk benadrukt.
Als het gaat om de vraag wie verantwoordelijk is voor de exploit, claimen de technische teams die de kwetsbaarheid als eerste identificeerden en de geldstromen volgden niet te weten wie de uitvoering op zich heeft genomen. MilkSad spreekt over een actor die zwakke privésleutels ontdekte en exploiteerde, maar identificeert deze niet verder. Arkham en Blockscope verwijzen naar de entiteit als de LuBian-hacker, waarbij de focus ligt op de methodiek en schaal. Elliptic en TRM houden zich aan het traceren en de overeenkomst tussen de uitstromen in 2020 en de daaropvolgende in beslag name door het ministerie van Justitie. Opmerkelijk is dat geen van deze bronnen een staatsactor noemt in verband met de gebeurtenissen van 2020.
CVERC, ondersteund door het door de CCP gecontroleerde Global Times en lokale media, presenteert een alternatieve narrative. Volgens hen wijkt de vierjarige inactiviteitsperiode af van gebruikelijke patronen van crimineel uitcashen, wat zou kunnen wijzen op een staatsniveau hackorganisatie. Het verbanden van de latere in beslagname door de VS met de bewering dat Amerikaanse actoren de exploit in 2020 uitvoerden en deze later omzetten in een rechtshandhaving beslaglegging, vormt de basis van hun verhaal. De technische secties van hun rapport komen echter sterk overeen met onafhankelijk open onderzoek naar zwakke sleutels, MT19937, adres batching en transactiekostenpatronen. Hun toeschrijving is echter gebaseerd op circumstantieel bewijs van inactiviteit en uiteindelijke bewaring, en niet op solide forensische gegevens.
Er zijn ten minste drie samenhangende interpretaties die passen bij de beschikbare informatie. De eerste is dat een onbekende partij, crimineel of anderszins, het zwakke sleutelpatroon ontdekte, de cluster in 2020 leegloper en de munten vooral inactief liet, waarna Amerikaanse autoriteiten de toegang tot de sleutels verwierven via inbeslagnames van apparaten, samenwerkende getuigen of andere onderzoeksmethoden, wat uiteindelijk leidde tot de consolidatie en verbeurdverklaringen in 2024-2025.
De tweede interpretatie beschouwt LuBian en gerelateerde entiteiten als onderdeel van een interne schatkist en witwasnetwerk voor de Prince Group, waarbij een vermeende hack zou kunnen zijn gerelateerd aan een interne beweging tussen wallets met zwakke sleutels. Dit zou consistent zijn met de framing van het ministerie van Justitie die de wallets beschrijft als ongehost en in het bezit van de beklaagde, hoewel publieke documenten niet volledig uitleggen hoe Chen’s netwerk de specifieke sleutels in handen heeft gekregen.
De derde interpretatie, voorgesteld door CVERC, impliceert dat een Amerikaanse staatsactor verantwoordelijk is voor de operatie in 2020. De eerste twee interpretaties zijn in lijn met het bewijs gepresenteerd door MilkSad, Arkham, Elliptic, TRM, en het ministerie van Justitie. De derde interpretatie echter is een beschuldiging die niet wordt ondersteund door onafhankelijke technische bewijs in het publieke domein.
Een kort overzicht van de onbetwiste gebeurtenissen geeft inzicht in de situatie. Vanuit een capaciteitsstandpunt is het brute-forcen van een 2^32 zaadruimte goed haalbaar voor gemotiveerde actoren. Met een snelheid van ongeveer 1 miljoen gokken per seconde kan één enkele configuratie deze ruimte binnen enkele uren doorgronden. Gedistribueerde of GPU-versnelde setups kunnen dit proces verder versnellen. Deze haalbaarheid is cruciaal voor de zwakheid van MilkSad, en verklaart hoe één enkele acteur duizenden kwetsbare adressen tegelijkertijd kan opruimen. Het door MilkSad en in CVERC’s technische rapport gepubliceerde patroon van vaste kosten en adresafleiding versterkt deze exploitatie-methode.
De resterende geschillen bevinden zich op het vlak van eigendom en controle in elke stap, niet in de mechanics. Het ministerie van Justitie beschrijft de wallets als opslagplaatsen voor criminele opbrengsten die verband houden met Chen, en stelt dat de activa verbeurd kunnen worden verklaard volgens de Amerikaanse wetgeving. Chinese autoriteiten beschouwen LuBian als het slachtoffer van diefstal en beschuldigen een Amerikaanse staatsactor van de oorspronkelijke exploit. Onafhankelijke blockchain-forensische groepen verbinden de uitstromen van 2020 met de consolidatie en inbeslagneming in 2024-2025, zonder echter te onthullen wie het daadwerkelijk heeft uitgevoerd in 2020. Dit is de huidige stand van zaken.
Wat zijn de belangrijkste opvattingen over de LuBian-exploit?
Er zijn diverse interpretaties, maar geen van deze biedt definitieve antwoorden. Het blijft onduidelijk wie de exploit daadwerkelijk heeft uitgevoerd, en de bewijsvoering blijft tot nu toe circumstantial.
Waarom is deze zaak significant voor de cryptomarkt?
De casus raakt aan fundamentele kwesties van beveiliging en de integriteit van cryptocurrency. Het roept vragen op over de rol van staatsactoren en de potentie voor kwetsbaarheden binnen blockchain-technologieën.
Wat kunnen investeerders hiervan leren?
Investeren in crypto vereist niet alleen aandacht voor marktdynamieken, maar ook voor de veiligheid van de gebruikte technologieën. Begrip van deze complexe gevallen kan helpen om beter geïnformeerde beslissingen te nemen in een steeds evoluerende sector.
Bitcoin (BTC)
Ethereum (ETH)
XRP (XRP)
