2020年12月28日、中国のマイニングプール「Lubian」に関連するウォレットから、わずか2時間で約12万7000ビットコインが流出した。民間研究者と情報機関によるオンチェーンフォレンジックによって、これらの資金が「弱ランダム」に生成されたウォレットのクラスと一致したことが判明したのは2025年になってからだった。8月には、アーカム・インテリジェンスがLubian窃盗事件のオンチェーン・ポートレートを体系的に公開した。10月には、ニューヨーク州東部の連邦検察官が、ビットコインに関する史上最大規模の民事没収訴訟を起こし、12万7271BTCが現在米国政府のアドレスに保管されていると主張した。訴状には「Lubianは中国のビットコインマイニング事業である」と明記されており、添付された「添付資料A」のアドレスリストは、民間のサンプルとほぼ重複していた。
Milk Sadの研究チームの最新の調査では、以前にリストアップされていた「脆弱な秘密鍵ウォレット」のリストを統合・拡張し、総残高約136,951BTCのウォレット群が明らかになりました。トランザクション95384d1c..8617c9e2を起点に、わずか2時間で75,000satsという典型的な固定手数料で多額の資金流出が発生しました。数日のうちに、資金はほぼ完全に枯渇しました。また、この調査では、その日の流出のすべてが攻撃者とされる人物に渡ったわけではなく、約9,500BTCがLubianが現在も使用している支払いアドレスに送金されたことも指摘されています。
なぜこれらのアドレスはLubianと関連しているのでしょうか?研究チームは2024年という早い時期に、マイナーのコインベースタグ(「lubian.com」「Buffett」)を使用して多数のマイニングプールとアカウントを共有し、受信アドレスの一部をLubianのマイニング活動と照合しました。
技術的な根本原因:「弱いランダム性」によって引き起こされるシステムリスク
Milk Sad研究チームは、これらのウォレットがLibbitcoin Explorer (bx) 3.xの「Milk Sad」脆弱性(CVE-2023-39910)に起因すると結論付けました。実効エントロピーがわずか32ビットのmt19937(メルセンヌ・ツイスター)擬似乱数生成器シードの使用により、秘密鍵の列挙/推論が可能になったのです。2025年7月、研究者らはPRNGオフセットパターンを再発見し、以前の見落としを解明し、一見分散しているように見えるウォレットをオンチェーン上で共有状態に統合することを可能にしました。
「弱いランダム性」の蔓延を読者に理解してもらうために、広く文書化されている別のインシデントを例に挙げましょう。Trust Wallet Coreブラウザ拡張機能も、2022年から2023年にかけて32ビットエントロピーの問題により悪用されました(CVE-2023-31290)。どちらの事例も、汎用疑似乱数を暗号学的ランダム性の源として使用することの危険性を浮き彫りにしています。
2025年8月2日、アーカム・インテリジェンスは長文の投稿と発表ページを公開し、2020年5月にルビアンがネットワーク全体のコンピューティングパワーの約6%を制御し、2020年12月28日に127,426 BTC(当時の価値で約35億ドル、現在の価値で約145億ドル)が送金されたと述べた。
Arkhamは1,516件のOP_RETURNブロードキャストを特定し、約1.4BTCを費やして「資金の返還」を要求しました。これは、ブルートフォース攻撃を用いて秘密鍵を解読した別のハッカーによるものではないことを示唆しています。また、LuBianはブルートフォース攻撃に対して脆弱なアルゴリズムを使用して秘密鍵を生成した可能性があると指摘されています。これは、ハッカーが悪用した脆弱性である可能性があります。
Arkhamは1,516件のOP_RETURNブロードキャストを特定し、約1.4BTCを費やして「資金の返還」を要求しました。これは、ブルートフォース攻撃を用いて秘密鍵を解読した別のハッカーによるものではないことを示唆しています。また、LuBianはブルートフォース攻撃に対して脆弱なアルゴリズムを使用して秘密鍵を生成した可能性があると指摘されています。これは、ハッカーが悪用した脆弱性である可能性があります。
Milk Sadの研究チームはその後、アップデート#14で、以前は「オフセットによってマスクされていた」約20個の脆弱な秘密鍵アドレスを特定し、2つの完全な合成OP_RETURNメッセージ(「MSG from LB...」を含む)を初めて公開しました。また、これらのウォレットの秘密鍵が漏洩しており、「誰でも彼らに代わってブロードキャストできる」状態にあるため、資金源に基づいてこの情報の真正性を検証する必要があると警告しました。
司法継承:司法省の「史上最大の没収」はどのように機能したか
10月14日、ニューヨーク州東部の米国連邦検事局はプレスリリースで、約127,271BTCの民事没収訴訟を起こしたと発表しました。これらのビットコインは「以前は被告が秘密鍵を保有していた非管理型ウォレットに保管されていた」もので、現在は「米国政府によって保管されている」とのことです。同日公開されたこの没収訴状の「事実」欄には、「Lubianは中国やイランなど、様々な場所で活動する中国のビットコインマイニング企業です」と記載されています。末尾の「添付資料A」には、ページごとのアドレスリストが掲載されており、Milk Sad調査チームの新しい表と相互参照できます(例:3Pja5F...、338uPV...、3B1u4P...など)。
注意すべき点がある。公式文書では、コインの管理がどのように行われたかは明らかにされておらず、コインは「現在、米国政府によって/政府公認の住所に保管されている」とのみ明記されている。したがって、メディアは「これらのコインが政府によって管理されている」ことが「秘密鍵が取得された」ことと同義であるという技術的な主張を避けるべきである。
しかし、まだ答えられていない疑問が 3 つあります。
- まず、2020年12月28日の「パージ」は窃盗だったのか、それとも全く別の何かだったのか?Milk Sadの研究チームは、トランザクション手数料とブロック生成の頻度を用いて異常性をプロファイリングした。Arkhamの評価は、脆弱な秘密鍵の悪用を示唆するものだった。しかし、事態の最終的な本質は司法審査によって判断される必要がある。
- 第二に、政府はどのようにしてこれらのコインを押収したのだろうか?検察側の文書には、「被告らが以前保有していた非管理ウォレットが現在政府の管理下にある」とだけ記されている。WiredはEllipticの分析を引用し、いくつかの仮説(例えば、以前の盗難とその後の法執行との関連性など)を提示しているが、これらはあくまで業界の憶測に過ぎず、公式発表ではない。
- 3つ目:その後の動きは何を意味するのか?10月15日、Lubian関連とマークされたウォレットは再び約9,757 BTC(約11億ドル)を送金し、「セキュリティ上の移行、売り圧力、または法的措置」といった様々な解釈を引き起こしました。
ルビアン事件は、テクノロジー、ブロックチェーン、そして法的手続きが絡み合う閉ループの稀有な例です。技術的には、弱いランダム性によって列挙可能な秘密鍵がシードされました。オンチェーンでは、公開台帳によって研究者が数年後に基礎データ(PRNGオフセット、OP_RETURNブロードキャスト、異常な手数料率など)を再構築することができました。法的には、検察はルビアンがマイニング事業であったという事実を起訴状に盛り込み、「現在の政府管理下」を装って史上最大のビットコイン押収を発表しました。資金がどのように奪われたのか、そして実際に盗難が行われたのかどうかについては依然として疑問が残りますが、この5年間の事件は業界にとって教訓となります。暗号資産の世界では、悪質なランダム性は直ちに致命的となるわけではありませんが、致命的となる可能性があります。
227,000の自動化された弱いウォレットクラスター
2025年7月、Milk Sad研究チームはアップデート#13において、これまで知られていたものの85倍にも及ぶ、脆弱な暗号資産ウォレットの大規模クラスターに関する新たな研究結果を報告しました。PRNGオフセットに基づく新たな検索手法を用いて、チームは2023年から既知の約2,630件のサンプルを227,294アドレスに拡張しました。このクラスターは、非常に一貫性のある工業化された特性を示しています。均一なBIP49(プレフィックス3)パターン、固定された導出パスm/49'/0'/0'/0/0、2018年10月3日から2018年10月8日の間に発生した少額の一時預金(一般的な額面:0.00019555/0.00000918/0.00000602 BTC)のクラスター、そしてその後のスピルオーバーと拡散の軌跡です。技術的なブレークスルーは、単一のPRNGシード処理中に複数の秘密鍵(通常は2個、18個、場合によっては100個以上)が順次取得される点にあります。これは、libbitcoin-explorerの脆弱な手法である「シード処理サイトごとに1つの鍵のみを取得する」方法とは異なります。これは、以前の研究における「回避」を説明しています。研究チームはさらに、この生成器はbxを直接使用したのではなく、同様のロジックを開発または修正した可能性が高いと指摘しています。しかし、その根底にある原理は、MT19937(メルセンヌ・ツイスター)アルゴリズムの弱いエントロピーによって生成される列挙可能な鍵であることに変わりありません。
Milk Sadの研究チームは、残りの資金が正体不明の攻撃者によって盗まれたと主張しています。この動きは2023年5月に始まりましたが、主に2023年12月から2025年1月の間に発生しました。私は、これらの資金が攻撃者によって不正に移動されたと疑っています。攻撃者は疑似乱数生成器(PRNG)のオフセット計算を解読し、ビットコインの手数料が低い時期を狙って送金しました。いつものように、真の所有者が名乗り出て盗難だと宣言するまで、これらの取引が承認されたかどうかを判断することは困難であるため、これは未証明の仮説のままです。
一般ユーザーへの影響としては、libbitcoin-explorer (bx) 3.0.0~3.6.0(CVE-2023-39910に該当)を使用してニーモニックを生成したことがある場合、この脆弱性を高リスクと見なす必要があります。信頼できる環境(ハードウェアウォレットまたは最新のクライアントが望ましい)で直ちに新しいシードを再生成し、すべてのアドレスを移行してください。古いシードを使用して新しいアドレスを生成しないでください。主流のハードウェアウォレット(TrezorやLedgerなど)は影響を受けるbxコードを使用していませんが、脆弱なシードをハードウェアウォレットにインポートして使い続けても状況は改善されません。さらに、Trust Walletブラウザ拡張機能のバージョン0.0.172~0.0.182では、32ビットエントロピーの問題(CVE-2023-31290)が露呈していました。この期間中にこの拡張機能を使用してニーモニックを生成していた場合は、ローテーションと移行も推奨されます。
5 つの簡単なステップ: 1. ニーモニック フレーズのソースを思い出してください (bx シード、スクリプト、または Web ページ ジェネレーターを使用したかどうか)。2. 支払いに BIP49 プライマリ アドレスのみを長期間使用していないかどうかを確認します (これは十分な条件ではなく、参照用です)。3. 頻繁に使用するアドレスを、Milk Sad データ ウェアハウスの弱いアドレス リストとオフラインで比較します。4. 一致が見つかった場合、または除外できない場合は、プライバシーのベスト プラクティスに従って、すぐに移行し、一括で送金します。5. 権利の保護や報告に備えて、署名とトランザクションの領収書を保管します。
全てのコメント