El Centro Nacional de Respuesta a Emergencias contra Virus Informáticos de China acaba de acusar a Estados Unidos de llevar a cabo el exploit LuBian Bitcoin de 2020.
Sin embargo, la investigación occidental vincula el evento a una falla de número aleatorio de la billetera y no nombra a un actor estatal.
Análisis forense de código abierto sobre el drenaje de LuBian
Los hechos centrales del episodio están ahora bien documentados en fuentes abiertas. Según Arkham, aproximadamente 127.000 BTC se sacaron de billeteras asociadas con el grupo de minería LuBian durante un período de aproximadamente dos horas del 28 al 29 de diciembre de 2020, mediante retiros coordinados en cientos de direcciones.
Según el equipo de investigación de MilkSad y CVE-2023-39910, esas billeteras se crearon con software que sembró MT19937 con solo 32 bits de entropía, lo que redujo el espacio de búsqueda a aproximadamente 4,29 mil millones de semillas y expuso lotes de direcciones P2SH-P2WPKH a ataques de fuerza bruta.
La actualización n.º 14 de MilkSad vincula un clúster que contiene aproximadamente 136,951 BTC que se agotó a partir del 28 de diciembre de 2020 con LuBian.com a través de la actividad minera en cadena y documenta el patrón de tarifa fija de 75,000 sat en las transacciones de barrido. La reconstrucción de Blockscope muestra que la mayor parte de los fondos permanecieron con un movimiento mínimo durante años.
Esas mismas monedas ahora se encuentran en billeteras controladas por el gobierno de Estados Unidos. Según el Departamento de Justicia de EE. UU., los fiscales están buscando la confiscación de aproximadamente 127,271 BTC como producto e instrumento de presunto fraude y lavado de dinero vinculado a Chen Zhi y el Grupo Prince. El Departamento de Justicia afirma que los activos se encuentran actualmente bajo custodia estadounidense.
Elliptic muestra que las direcciones en la queja del Departamento de Justicia se asignan al grupo de clave débil de LuBian que MilkSad y Arkham ya habían identificado, y Arkham ahora etiqueta las billeteras de destino consolidadas como controladas por el gobierno de EE. UU. Los detectives en cadena, incluido ZachXBT, han notado públicamente la superposición entre las direcciones incautadas y el conjunto de claves débiles anterior.
Lo que muestra el registro forense sobre la hazaña de LuBian
En cuanto a la atribución, los equipos técnicos que identificaron por primera vez la falla y rastrearon los flujos no afirman saber quién ejecutó el drenaje de 2020. MilkSad se refiere repetidamente a un actor que descubrió y explotó claves privadas débiles, afirmando que no conoce la identidad.
Arkham y Blockscope describen la entidad como el hacker LuBian, centrándose en el método y la escala. Elliptic y TRM limitan sus afirmaciones al rastreo y a la coincidencia entre las salidas de 2020 y la posterior incautación del Departamento de Justicia. Ninguna de estas fuentes nombra a un actor estatal para la operación 2020.
CVERC, amplificado por el Global Times, propiedad del PCC, y por medios locales, presenta una narrativa diferente.
Sostiene que el período de inactividad de cuatro años se desvía de los patrones criminales comunes de retiro de efectivo y, por lo tanto, apunta a una organización de piratería a nivel estatal.
Luego vincula la posterior custodia estadounidense de las monedas con la acusación de que actores estadounidenses ejecutaron el exploit en 2020 antes de convertirlo en una incautación policial.
Las secciones técnicas del informe siguen de cerca la investigación abierta e independiente sobre claves débiles, MT19937, procesamiento por lotes de direcciones y patrones de tarifas.
Su salto de atribución se basa en inferencias circunstanciales sobre la inactividad y la custodia final en lugar de nuevos análisis forenses, vínculos de herramientas, superposiciones de infraestructura u otros indicadores estándar utilizados en la atribución de actores estatales.
Lo que realmente sabemos sobre la fuga de Bitcoin de LuBian
Hay al menos tres lecturas coherentes que se ajustan a lo público.
- Una es que una parte desconocida, criminal o no, encontró el patrón de clave débil, drenó el grupo en 2020, dejó las monedas en su mayor parte inactivas y las autoridades estadounidenses obtuvieron posteriormente las claves mediante incautaciones de dispositivos, testigos que cooperaron o medios de investigación relacionados, lo que culminó en presentaciones de consolidación y decomiso en 2024-2025.
- Un segundo trata a LuBian y entidades relacionadas como parte de una red interna de tesorería y lavado de Prince Group, donde un aparente hackeo podría haber sido un movimiento interno opaco entre billeteras controladas por claves débiles, consistente con la definición del Departamento de Justicia de las billeteras como no alojadas y dentro de la posesión del acusado, aunque los documentos públicos no detallan completamente cómo la red de Chen llegó a controlar las claves específicas.
- La tercera, adelantada por CVERC, es que un actor estatal estadounidense fue el responsable de la operación de 2020. Los dos primeros se alinean con la postura probatoria presentada en las presentaciones de MilkSad, Arkham, Elliptic, TRM y el DOJ.
La tercera es una acusación no fundamentada por pruebas técnicas independientes de dominio público.
A continuación se muestra una breve cronología de los eventos no disputados.
Desde el punto de vista de la capacidad, la fuerza bruta en un espacio semilla de 2^32 está al alcance de actores motivados. A aproximadamente 1 millón de conjeturas por segundo, una sola configuración puede atravesar el espacio en unas pocas horas, y los equipos distribuidos o acelerados por GPU lo comprimen aún más.
La viabilidad es fundamental para la debilidad de la clase MilkSad, lo que explica cómo un solo actor puede barrer miles de direcciones vulnerables simultáneamente. El patrón de tarifa fija y los detalles de derivación de direcciones publicados por MilkSad y reflejados en el artículo técnico de CVERC refuerzan este método de explotación.
Las disputas restantes radican en la propiedad y el control de cada paso, no en la mecánica. El Departamento de Justicia considera las billeteras como depósitos de ganancias criminales vinculadas a Chen y afirma que los activos son confiscables según la ley estadounidense.
Las autoridades chinas acusan a LuBian de víctima de robo y acusan a un actor estatal estadounidense de la hazaña original.
Los grupos forenses independientes de blockchain conectan las salidas de 2020 con la consolidación e incautación de 2024-2025, y no llegan a nombrar quién presionó el botón en 2020. Ese es el estado del registro.
