Web3. Безопасность. Взлом биткоина. Реальная атака 2025

Суть

Начну с главного: “Ончейн-данные указывают на то, что США могли взломать кошельки, связанные с конфискацией биткоинов, (а) … ZachXBT, обнаружил несоответствия в отчете Казначейства”.

Хотите верьте, хотите нет, но рынок почти НИКАК НЕ отреагировал на эту новость. Я подождал: день, неделю, месяц - и решил, что пора писать самому, т.к. ничего толкового не появилось.

Детали

Важный момент: “Хотя камбоджийская преступная группировка занималась мошенничеством, она также вела другие преступные и легальные дела. Одним из них был пул для майнинга биткоинов, который взломали в 2020 году”, - т.е. за 5 лет до базовой новости.

И более того: это не просто гипотеза абы кого, а многих исследователей, включая - целое государство и не абы какое, а целый Китай. Опять же - цитирую: “

Китайский национальный центр реагирования на чрезвычайные ситуации, связанные с компьютерными вирусами (CVERC), опубликовал технический анализ дела, в рамках которого правительство США конфисковало 127 тыс. биткоинов ($13 млрд). Эти монеты были похищены в декабре 2020 года при взломе китайского майнинг-пула LuBian, принадлежавшего основателю Prince Group Чэнь Чжи”.

См. подробности обвинения: globaltimes.cn/page/202511/1347745.shtml: “Правительство США, вероятно, похитило 127 000 биткоинов Чэнь Чжи ещё в 2020 году, используя хакерские методы, что делает этот случай типичным примером “разборок между ворами”, организованных государственной хакерской структурой”.

Опять же, важно, что “Почти четыре года украденные биткоины оставались нетронутыми, а взлом в значительной степени оставался незамеченным. Затем, в середине 2024 года, хранилище было тихо переведено на новые кошельки. Позже аналитическая компания по блокчейну Arkham отмечено эти кошельки как принадлежность правительству США”.

Но и это не самое интересное, хотя ещё раз подчеркну:

1. Китая напрямую обвиняет США и это мало чем отличается от обвинения самими Штатами, скажем, Северной Кореи;
2. Фактически мы имеем перевод после взлома в казну США.

И вот вам третий факт: “Соучредитель Cobo Fish God заявил, что правоохранительные органы не получили приватные ключи путём взлома или хакерской атаки, а воспользовались уязвимостью в генерации случайных чисел. На некоторых форумах также утверждалось, что правоохранительные органы напрямую изъяли мнемоническую фразу или файл приватного ключа кошелька с серверов и аппаратных кошельков, находящихся под контролем исполнительного директора Prince Group Чэнь Чжи и его семьи, однако конкретные факты пока не были обнародованы”.

Понимаете в чём дело?

Пока СМИ обсуждают атаки на Биткоин со стороны КК (Квантового компьютера) вполне стандартные, классические, компы уже ломают старые версии кошельков по схеме, близкой к компрометации Profanity-аккаунтов.

Общая схема этого взлома выглядит так:

Интересно, что “в ходе дальнейшего расследования исследователи выяснили, что первые два слова в мнемонической фразе, сгенерированной с помощью ошибочного процесса генерации ключей, были "Milk Sad", из-за чего событие получило название Milk Sad”.

То есть нам надо обратить внимание на Mersenne Twister MT19937-32 - генератор псевдослучайных чисел.

Почему? Опять же - потому что “из-за недопонимания вопросов безопасности некоторыми пользователями кошельков или майнинговых пулов с 2019 по 2020 год значительное количество средств было накоплено на кошельках bitcoin, сгенерированных с помощью этого "слабого алгоритма случайных чисел", что привело к массовому притоку средств в этот уязвимый диапазон”.

Вы даже можете пощупать эту уязвимость: git.distrust.co/milksad/data. И узнать тех. подробности: milksad.info.

Скажу вам больше…

Milk Sad - это ещё и группа исследователей безопасности, изучающая слабые приватные ключи в криптовалютных кошельках, возникающие из-за плохой генерации случайных чисел.

Главное открытие они сделали ещё в 2023 году: в кошельках Libbitcoin Explorer (bx) версии 3.x использовался тот самый слабый генератор случайных чисел Mersenne Twister, что делало приватные ключи предсказуемыми.

И уже 12 июля 2023 года злоумышленники воспользовались этой уязвимостью и украли крупные суммы криптовалюты.

Дальнейшие исследования были таковы, что команда продолжила анализировать похожие ошибки в других кошельках и библиотеках:

• Trust Wallet (CVE-2023-31290, CVE-2024-23660)
• Cake Wallet
• библиотека bip3x
• И в др.

В результате Белые шляпы выявили более 225 000 уязвимых кошельков и адресов, ранее владевших миллиардами (!) долларов.

Сами исследователи не извлекают средства из чужих кошельков, их цель - показать масштаб угрозы и повысить безопасность экосистемы. Но вот есть и Чёрные шляпы и у них уже цели вполне корыстные.

Выводы

Подобные атаки развиваются и будут эволюционировать дальше, а значит?

1. Вам всегда стоит проверять, что, как и где генерирует ваши кошельки / публичные кошельки / xPUBs / etc.
2. Вам нужно обязательно изучить ошибки в тех кошельках и аккаунтах, что были созданы раньше: HODL - это прекрасно, но куда важнее сохранить накопленное, а это требует апдейта протоколов безопасности.
3. Вам, наконец, следует обращать на подобные новости, а не обходить их стороной, как это сделало комьюнити в 2025 году.

Да, СМИ, конечно хайпанули, но ведь по факту мы получили схему, которую все постеснялись озвучить (или, скорее - побоялись):

1. Правительство ищет 0-day и прочие уязвимости;
2. Ломает кошельки;
3. Присваивает себе средства;
4. А потом, задним даже числом, говорит о том, что это всё было по закону;
5. Тогда как сами средства ранее были добыты не легальным путём;
6. Профит.

Ничего нового? Да. Но для тех, кто живёт в криптофшоре - это крайне важные знания и нивелировать их значение точно не стоит.

До!