Arkham发现了2020年涉及127,000比特币的抢劫案。矿池从来没有报告过,资金也从来没有转移过。
总结- 2020年12月,主要比特币矿池LuBian在一次完全未报告的盗窃案中损失了127,000 BTC。
- 近五年来,被盗的比特币一直没有受到影响,LuBian悄然停止运营,但没有披露违规情况。
- Arkham Intelligence于2025年8月通过链上分析发现了这起盗窃案,揭示了LuBian私人钥匙系统中的一个关键缺陷。
- 攻击者利用钱包密钥生成中的弱信息,使他们能够强行访问并在未被发现的情况下转移资金。
- 被盗资产目前价值超过140亿美元,从未移动过,使其成为当时规模最大、最隐蔽的加密货币盗窃案。
比特币2020年被盗,2025年才暴露
2020年12月,全球最大的比特币(BTC)矿池之一突然从网络中消失。LuBian是一家总部位于中国的公司,曾占比特币网络总哈希率的近6%,但现在却遭遇了安全漏洞。
两笔交易中,超过127,000个BTC被从其钱包中提取,当时金额约为35亿美元。
没有发表官方声明。没有向公众发出警报。LuBian从未承认这一违规行为,近五年来,被盗资金在区块链上一直处于休眠状态。这起盗窃案没有被举报,也很少受到关注。
2025年8月,区块链分析公司Arkham Intelligence的一项详细调查揭示了2020年底发生的事情的全部范围。
爆炸性事件:阿卡姆破获价值35亿美元的抢劫案--有史以来最大规模的抢劫案
- Arkham(@arkham)2025年8月2日
吕边是一个中国矿池,在中国和伊朗设有设施。根据对链上数据的分析,2020年12月,鲁比亚有127,426个BTC被盗,当时价值35亿美元,现在价值. pic.twitter.com/PnIOKgMt0i
根据Arkham的链上分析,超过90%的LuBian持有量在一天内被转移,其次是与Omni Layer协议相关的钱包的少量流出。
剩下不到12,000 BTC,LuBian立即将其转移到新的恢复钱包中。不久之后,矿池停止了所有公共活动。
由于比特币的升值,被盗资产目前价值超过145亿美元,它们并没有通过搅拌机或交易所收集,从链上的角度来看,它们保持异常干净。
2020年鲁扁的矿业主导地位迅速增长
LuBian于2020年开始运营,并迅速崛起为比特币生态系统中最具影响力的矿池之一。
在高峰期,该池贡献了网络总哈希率的近6%,跻身全球十大采矿实体之列。
其基础设施延伸到中国大陆,据报道还延伸到伊朗部分地区。尽管规模庞大,吕变却保持低调。这个名字在中文中翻译为“路边”,反映了一种倾向于自由裁量权而不是公众知名度的做法。
2021年初,当鲁扁突然下线时,此举引发了猜测,但并未立即引起担忧。经过数月的持续活动,该池停止了区块生产,并在没有任何解释的情况下消失了。
当时,分析师将此次关闭归因于中国对加密货币采矿的监管打击。
政策转变、能源使用限制和法律不确定性的综合作用迫使许多运营商缩减或暂停活动,使得鲁扁的退出似乎与更广泛的行业混乱相一致。
多年来,这种说法一直完好无损,因为没有明显的迹象来挑战它。也没有用户投诉出现。没有检测到异常的钱包活动。在没有相反证据的情况下,监管退出的假设被广泛接受。
然而,阿卡姆的发现指出了不同的结论。该池的关闭是在大规模财务违规而不是外部压力之后发生的。
在可能损失了数十亿矿工收入和内部储备的情况下,鲁边的团队选择保持沉默,退出公众视野。
阿卡姆的调查和技术发现
Arkham Intelligence的调查结合了区块链跟踪,消息分析和密钥生成取证来重建事件序列。
它始于2020年12月下旬发生的两次大规模比特币转移。这些来自已知与LuBian的采矿业务有关的地址,并被发送到以前不活动的钱包,这些钱包在收到资金后没有显示进一步的移动。
余额的规模和缺乏后续活动引发了危险信号。
进一步的分析揭示了一个不寻常的细节。在黑客入侵后的几天里,LuBian向黑客控制的地址发送了1,500多笔微交易。
每一个都包含少量的BTC和嵌入在OP_RETURN字段中的消息,OP_RETURN字段是比特币交易中用于存储任意数据的机制。
这些信息不是例行的。这些信件似乎是来自鲁边运营商的直接请求,要求攻击者返还资金。其中一条消息甚至要求收件人扮演白帽黑客,通过电子邮件与他们联系,讨论可能的合作和奖励。
LuBian总共花费了约1.4 BTC的交易费来发送这些消息,这表明这是一次认真而故意的尝试来发起沟通。
这些消息没有收到回复,被盗的硬币也一动不动。即便如此,这些公共记录仍留下了清晰的数字痕迹,确认发生了盗窃事件。
使用地址集群技术,Arkham能够将与LuBian采矿活动相关的钱包组与与攻击者相关的钱包组分开。
随着时间的推移,一起开采或定期从同一来源收到付款的钱包往往会形成可观察的集群。一旦漏洞发生,攻击者将被盗的资金整合到一组新的钱包中,然后这些钱包保持闲置。
此次泄密事件最具启发性的方面之一是它是如何发生的。阿卡姆的结论是,盗窃是由于LuBian钱包架构的一个严重缺陷造成的。这次入侵不是利用了恶意软件或内部访问,而是利用了LuBian生成私人密钥的方式中的一个弱点。
它的钱包软件使用的算法仅依赖32位的信息量--其随机性水平远低于公认的加密标准。
由于搜索空间仅限于大约40亿个可能的密钥,计算能力中等的攻击者可以在可管理的时间内强行获取正确的私有密钥。
该漏洞使LuBian的钱包系统面临离线暴力攻击。一旦发现缺陷,攻击者就可以系统地计算密钥、定位正确的密钥并提取资金,而不会触发警报。
LuBian的违规行为现已被列为最有价值的加密货币盗窃案
卢比安的盗窃案现已被列为当时有记录的最有价值的加密货币盗窃案。相比之下,2014年Mt的倒塌。Gox导致约85万BTC损失,当时价值约为4.5亿美元。
而山。Gox案件涉及的比特币数量更大,后来追回了约20万个比特币,总体财务影响低于LuBian。
LuBian的漏洞也让2016年Bitfinex黑客攻击黯然失色,当时约有119,756个比特币被盗。这起事件发生时价值7200万美元,多年来一直是人们关注的焦点,直到大部分资金最终被美国当局没收。
随后发生的其他重大事件,例如2021年保利网络6.1亿美元被盗事件、2022年6.25亿美元的Ronin Bridge漏洞以及FTX倒闭期间流失的4亿美元事件,规模都很严重,但总体价值却与鲁扁不符。
在其中许多情况下,资金要么被追回,要么被自愿返还。吕变的案件至今仍完全不为人知。
2025年2月,Bybit的一项重大漏洞从该平台上删除了15亿美元的数字资产,短暂引起了关注。当时,它被描述为加密货币历史上最大的黑客攻击。
然而,阿卡姆的发现后来改变了这一排名。自LuBian泄密事件以来,比特币的价格大幅上涨,被盗和未动资产的价值目前在140亿至150亿美元之间,成为有记录以来最有价值的盗窃案。
Arkham的最新数据显示,与LuBian黑客关联的地址比与Mt.相关的集群持有更多比特币。Gox事件。
该黑客目前排名全球第十三大BTC持有者,这一职位通常与主要交易所或保持不活跃的早期矿工联系在一起。很少有个人或组织能够控制更多。
被盗资产完全不活动也是不寻常的。在几乎所有之前的高价值漏洞中,攻击者都试图使用混合器、去中心化交易平台或隐私工具来混淆或转移资金。
在这种情况下,资金完全静止。由于缺乏行动,这起盗窃案多年来一直不被注意到。如果没有阿卡姆的调查,漏洞很可能不会被发现。
