Arkham發(fā)現(xiàn)了2020年涉及127,000比特幣的搶劫案。礦池從來沒有報告過,資金也從來沒有轉(zhuǎn)移過。
總結(jié)- 2020年12月,主要比特幣礦池LuBian在一次完全未報告的盜竊案中損失了127,000 BTC。
- 近五年來,被盜的比特幣一直沒有受到影響,LuBian悄然停止運營,但沒有披露違規(guī)情況。
- Arkham Intelligence于2025年8月通過鏈上分析發(fā)現(xiàn)了這起盜竊案,揭示了LuBian私人鑰匙系統(tǒng)中的一個關鍵缺陷。
- 攻擊者利用錢包密鑰生成中的弱信息,使他們能夠強行訪問并在未被發(fā)現(xiàn)的情況下轉(zhuǎn)移資金。
- 被盜資產(chǎn)目前價值超過140億美元,從未移動過,使其成為當時規(guī)模最大、最隱蔽的加密貨幣盜竊案。
比特幣2020年被盜,2025年才暴露
2020年12月,全球最大的比特幣(BTC)礦池之一突然從網(wǎng)絡中消失。LuBian是一家總部位于中國的公司,曾占比特幣網(wǎng)絡總哈希率的近6%,但現(xiàn)在卻遭遇了安全漏洞。
兩筆交易中,超過127,000個BTC被從其錢包中提取,當時金額約為35億美元。
沒有發(fā)表官方聲明。沒有向公眾發(fā)出警報。LuBian從未承認這一違規(guī)行為,近五年來,被盜資金在區(qū)塊鏈上一直處于休眠狀態(tài)。這起盜竊案沒有被舉報,也很少受到關注。
2025年8月,區(qū)塊鏈分析公司Arkham Intelligence的一項詳細調(diào)查揭示了2020年底發(fā)生的事情的全部范圍。
爆炸性事件:阿卡姆破獲價值35億美元的搶劫案--有史以來最大規(guī)模的搶劫案
- Arkham(@arkham)2025年8月2日
呂邊是一個中國礦池,在中國和伊朗設有設施。根據(jù)對鏈上數(shù)據(jù)的分析,2020年12月,魯比亞有127,426個BTC被盜,當時價值35億美元,現(xiàn)在價值. pic.twitter.com/PnIOKgMt0i
根據(jù)Arkham的鏈上分析,超過90%的LuBian持有量在一天內(nèi)被轉(zhuǎn)移,其次是與Omni Layer協(xié)議相關的錢包的少量流出。
剩下不到12,000 BTC,LuBian立即將其轉(zhuǎn)移到新的恢復錢包中。不久之后,礦池停止了所有公共活動。
由于比特幣的升值,被盜資產(chǎn)目前價值超過145億美元,它們并沒有通過攪拌機或交易所收集,從鏈上的角度來看,它們保持異常干凈。
2020年魯扁的礦業(yè)主導地位迅速增長
LuBian于2020年開始運營,并迅速崛起為比特幣生態(tài)系統(tǒng)中最具影響力的礦池之一。
在高峰期,該池貢獻了網(wǎng)絡總哈希率的近6%,躋身全球十大采礦實體之列。
其基礎設施延伸到中國大陸,據(jù)報道還延伸到伊朗部分地區(qū)。盡管規(guī)模龐大,呂變卻保持低調(diào)。這個名字在中文中翻譯為“路邊”,反映了一種傾向于自由裁量權(quán)而不是公眾知名度的做法。
2021年初,當魯扁突然下線時,此舉引發(fā)了猜測,但并未立即引起擔憂。經(jīng)過數(shù)月的持續(xù)活動,該池停止了區(qū)塊生產(chǎn),并在沒有任何解釋的情況下消失了。
當時,分析師將此次關閉歸因于中國對加密貨幣采礦的監(jiān)管打擊。
政策轉(zhuǎn)變、能源使用限制和法律不確定性的綜合作用迫使許多運營商縮減或暫停活動,使得魯扁的退出似乎與更廣泛的行業(yè)混亂相一致。
多年來,這種說法一直完好無損,因為沒有明顯的跡象來挑戰(zhàn)它。也沒有用戶投訴出現(xiàn)。沒有檢測到異常的錢包活動。在沒有相反證據(jù)的情況下,監(jiān)管退出的假設被廣泛接受。
然而,阿卡姆的發(fā)現(xiàn)指出了不同的結(jié)論。該池的關閉是在大規(guī)模財務違規(guī)而不是外部壓力之后發(fā)生的。
在可能損失了數(shù)十億礦工收入和內(nèi)部儲備的情況下,魯邊的團隊選擇保持沉默,退出公眾視野。
阿卡姆的調(diào)查和技術(shù)發(fā)現(xiàn)
Arkham Intelligence的調(diào)查結(jié)合了區(qū)塊鏈跟蹤,消息分析和密鑰生成取證來重建事件序列。
它始于2020年12月下旬發(fā)生的兩次大規(guī)模比特幣轉(zhuǎn)移。這些來自已知與LuBian的采礦業(yè)務有關的地址,并被發(fā)送到以前不活動的錢包,這些錢包在收到資金后沒有顯示進一步的移動。
余額的規(guī)模和缺乏后續(xù)活動引發(fā)了危險信號。
進一步的分析揭示了一個不尋常的細節(jié)。在黑客入侵后的幾天里,LuBian向黑客控制的地址發(fā)送了1,500多筆微交易。
每一個都包含少量的BTC和嵌入在OP_RETURN字段中的消息,OP_RETURN字段是比特幣交易中用于存儲任意數(shù)據(jù)的機制。
這些信息不是例行的。這些信件似乎是來自魯邊運營商的直接請求,要求攻擊者返還資金。其中一條消息甚至要求收件人扮演白帽黑客,通過電子郵件與他們聯(lián)系,討論可能的合作和獎勵。
LuBian總共花費了約1.4 BTC的交易費來發(fā)送這些消息,這表明這是一次認真而故意的嘗試來發(fā)起溝通。
這些消息沒有收到回復,被盜的硬幣也一動不動。即便如此,這些公共記錄仍留下了清晰的數(shù)字痕跡,確認發(fā)生了盜竊事件。
使用地址集群技術(shù),Arkham能夠?qū)⑴cLuBian采礦活動相關的錢包組與與攻擊者相關的錢包組分開。
隨著時間的推移,一起開采或定期從同一來源收到付款的錢包往往會形成可觀察的集群。一旦漏洞發(fā)生,攻擊者將被盜的資金整合到一組新的錢包中,然后這些錢包保持閑置。
此次泄密事件最具啟發(fā)性的方面之一是它是如何發(fā)生的。阿卡姆的結(jié)論是,盜竊是由于LuBian錢包架構(gòu)的一個嚴重缺陷造成的。這次入侵不是利用了惡意軟件或內(nèi)部訪問,而是利用了LuBian生成私人密鑰的方式中的一個弱點。
它的錢包軟件使用的算法僅依賴32位的信息量--其隨機性水平遠低于公認的加密標準。
由于搜索空間僅限于大約40億個可能的密鑰,計算能力中等的攻擊者可以在可管理的時間內(nèi)強行獲取正確的私有密鑰。
該漏洞使LuBian的錢包系統(tǒng)面臨離線暴力攻擊。一旦發(fā)現(xiàn)缺陷,攻擊者就可以系統(tǒng)地計算密鑰、定位正確的密鑰并提取資金,而不會觸發(fā)警報。
LuBian的違規(guī)行為現(xiàn)已被列為最有價值的加密貨幣盜竊案
盧比安的盜竊案現(xiàn)已被列為當時有記錄的最有價值的加密貨幣盜竊案。相比之下,2014年Mt的倒塌。Gox導致約85萬BTC損失,當時價值約為4.5億美元。
而山。Gox案件涉及的比特幣數(shù)量更大,后來追回了約20萬個比特幣,總體財務影響低于LuBian。
LuBian的漏洞也讓2016年Bitfinex黑客攻擊黯然失色,當時約有119,756個比特幣被盜。這起事件發(fā)生時價值7200萬美元,多年來一直是人們關注的焦點,直到大部分資金最終被美國當局沒收。
隨后發(fā)生的其他重大事件,例如2021年保利網(wǎng)絡6.1億美元被盜事件、2022年6.25億美元的Ronin Bridge漏洞以及FTX倒閉期間流失的4億美元事件,規(guī)模都很嚴重,但總體價值卻與魯扁不符。
在其中許多情況下,資金要么被追回,要么被自愿返還。呂變的案件至今仍完全不為人知。
2025年2月,Bybit的一項重大漏洞從該平臺上刪除了15億美元的數(shù)字資產(chǎn),短暫引起了關注。當時,它被描述為加密貨幣歷史上最大的黑客攻擊。
然而,阿卡姆的發(fā)現(xiàn)后來改變了這一排名。自LuBian泄密事件以來,比特幣的價格大幅上漲,被盜和未動資產(chǎn)的價值目前在140億至150億美元之間,成為有記錄以來最有價值的盜竊案。
Arkham的最新數(shù)據(jù)顯示,與LuBian黑客關聯(lián)的地址比與Mt.相關的集群持有更多比特幣。Gox事件。
該黑客目前排名全球第十三大BTC持有者,這一職位通常與主要交易所或保持不活躍的早期礦工聯(lián)系在一起。很少有個人或組織能夠控制更多。
被盜資產(chǎn)完全不活動也是不尋常的。在幾乎所有之前的高價值漏洞中,攻擊者都試圖使用混合器、去中心化交易平臺或隱私工具來混淆或轉(zhuǎn)移資金。
在這種情況下,資金完全靜止。由于缺乏行動,這起盜竊案多年來一直不被注意到。如果沒有阿卡姆的調(diào)查,漏洞很可能不會被發(fā)現(xiàn)。
