150億ドルのビットコインの秘密鍵が、アメリカによって偶然に破られた。

著者：BUBBLE

2025年10月、アメリカニューヨーク東区連邦地方裁判所は、前例のない規模の暗号資産押収事件を公表しました。アメリカ政府は127,271枚のビットコインを押収し、市場価格で約150億ドルに相当します。

Coboの共同創業者である神魚は、法執行機関は暴力的なハッキングや侵入によって秘密鍵を取得したのではなく、ランダム性の脆弱性を利用したと述べています。また、あるフォーラムでは、法執行機関が太子グループの幹部である陳志とその家族が管理するサーバーやハードウェアウォレットから直接押収したウォレットのリカバリーフレーズや秘密鍵ファイルを取得したとされていますが、具体的な事実はまだ公表されていません。

これらのハードウェアウォレットは、その後、アメリカ財務省のUS Marshals Service（USMS）が管理するマルチシグ冷蔵庫に移されました。そして、2025年10月15日にUSMSが署名した公式保管アドレスへの9,757 BTCの送金は、ここから来たものです。アメリカ司法省は起訴状の中で、Lubianをカンボジアの太子グループのマネーロンダリングネットワークの一部として説明し、犯罪グループがマイニングプールで掘り出された「新しいコイン」を利用して詐欺資金を洗浄しようとしたことを強調しています。

一部のコミュニティメンバーは、チェーン上のデータを追跡し、これが2020年末にLubinマイニングプールで脆弱性により盗まれたビットコインの一部であると判断しました。Lubinマイニングプールは2020年に突然登場し、チームの背景情報や運営モデルは公開されていませんが、そのハッシュレートは短期間で世界のトップ10のマイニングプールに入るほど急成長し、一時は世界の約6%のハッシュレートを占めていました。

報告書には、陳志が他の王子グループのメンバーに「利益は大きい、コストはない」と自慢していたと記載されていますが、これは陳志が設立したものなのか、それとも後に管理されたものなのかは不明です。しかし、この事件は眠っていた巨大なクジラを再び水面に引き上げ、2020年前後に起きたウォレット秘密鍵のセキュリティ災害を再評価させることになりました。

事後に研究者が再調査を行った際、壊れた鍵生成プロセスの最初のリカバリーフレーズの最初の2つの単語は「Milk Sad」であり、その後「Milk Sad事件」と呼ばれるようになりました。

弱いランダム数がもたらす危険

すべての始まりは、Mersenne Twister MT19937-32という擬似乱数生成器です。

ビットコインの秘密鍵は256ビットのランダム数で構成されるべきであり、理論的には2^256通りの組み合わせがあります。完全に一致するシーケンスを生成するには、256回の「コイン投げ」の表裏が完全に一致する必要があり、その確率は0とは言えませんが、ほぼ0に近いです。ウォレットの安全性は運から来るのではなく、この巨大な可能性の空間から来ています。

しかし、Lubianマイニングプールなどのツールが使用しているMersenne Twister MT19937-32乱数生成器は、真の公平な「コイン投げ機」ではなく、限られた規則的な範囲内で番号を選択する故障した装置のようなものです。

ハッカーがこの規則を把握した後、暴力的な列挙を通じてすべての可能な弱い秘密鍵を迅速に列挙し、対応するビットコインウォレットを解除することができました。

一部のウォレットやマイニングプールのユーザーがセキュリティについて誤解していたため、2019年から2020年の間に、多くの「弱いランダムアルゴリズム」を使用して生成されたビットコインウォレットが驚異的な富を蓄積しました。大量の資金がこの脆弱な領域に流入しました。

Milk Sadチームの統計によると、2019年から2020年の間に、これらの弱い鍵を持つウォレットが累計で53,500枚以上のビットコインを保有していたことがありました。

資金源には、クジラ級の集中送金があり、2019年4月には4つの弱いウォレットが短時間で約24,999枚のビットコインを受け取りました。また、日常的なマイニング報酬もあり、特定のアドレスは1年以内に「lubian.com」とマークされた14,000枚以上のマイナー報酬を受け取りました。このようなウォレットは現在、22万個が発見されており、保有者は秘密鍵生成プロセスの危険性に気づいていないようで、今日でも資産を継続的に投入しています。

2020年末の大規模撤退

長い間潜伏していたセキュリティの脆弱性が2020年末に爆発しました。2020年12月28日、チェーン上に異常な取引が発生し、Lubianの弱い鍵の範囲に属する大量のウォレットが数時間内に空にされ、約136,951枚のビットコインが一度に転送されました。当時の約26,000ドルの単価で計算すると、約37億ドルに相当します。

送金手数料は75,000サトシに固定されており、金額に関係なく一貫していることから、操作者がビットコインネットワークの操作に精通していることが示されています。一部の資金はその後、Lubianマイニングプールに戻り、後続のマイニング報酬に使用されたことから、すべての転出資産がハッカーの手に渡ったわけではないことが示唆されています。しかし、被害者にとっては、損失はすでに事実となっています。

さらに奇妙なのは、一部のチェーン上の取引がメッセージを伴っており、「私たちの資産を救ってくれるホワイトハットへ、[email protected]に連絡してください」といった内容です。弱い秘密鍵アドレスがすでに露出しているため、誰でもこれらのアドレスにメッセージ付きの取引を送信できますが、これらの情報が本当の被害者からのものであるかどうかは不明です。

結局、ハッカーの嘲笑なのか、被害者の救援要請なのかはわかりません。致命的なのは、この巨額の送金が直ちに盗難として認識されなかったことです。

Milk Sadの研究者は後の分析で、当時ビットコインの価格が急騰し、マイニングプールの収益が停止したため、ハッカーによるものなのか、Lubianの管理層が高値で売却しウォレットを再構成したのか不明であったと認めています。彼らは「2020年に盗難が発生していた場合、それは確認されたMersenne Twisterの弱い鍵攻撃のタイムラインよりも早くなるが、この可能性を排除することはできない」と指摘しました。

この不確実性のため、2020年末の資金撤退は業界の警報を引き起こすことができず、巨額のビットコインはその後数年間チェーン上で静かに眠り続け、未解決の謎となりました。

したがって、被害を受けたのはLubianだけでなく、旧版のTrust Walletも含まれます。2022年11月17日、セキュリティ研究チームLedger Donjonは初めてBinanceにTrust Walletのランダム数の脆弱性を報告しました。チームは迅速に反応し、翌日プロジェクトはGitHubに修正をプッシュし、影響を受けたユーザーに通知を行いました。

しかし、2023年4月22日まで、Trust Walletは脆弱性の詳細と補償措置を正式に公表しませんでした。この期間中、ハッカーは脆弱性を利用して数回の攻撃を行い、2023年1月11日には約50枚のビットコインを盗みました。

遅れた警報

その一方で、別のプロジェクトで脆弱性が育まれていました。

Libbitcoin Explorer 3.x版のbx seedコマンドは、MT19937擬似乱数アルゴリズムと32ビットのシステム時間をシードとして使用し、生成される鍵空間はわずか2^32通りの組み合わせしかありません。

ハッカーはすぐに試験的な攻撃を開始し、2023年5月からチェーン上に複数の小規模な盗難が発生しました。7月12日、攻撃はピークに達し、bxによって生成された大量のウォレットが一斉に空にされました。7月21日、Milk Sadの研究者はユーザーの損失を調査している際に問題の根源を発見しました。それはbx seedの弱いランダム数が原因で、秘密鍵が暴力的に列挙できることでした。彼らはすぐにLibbitcoinチームに通報しました。

しかし、このコマンドは公式にテストツールと見なされていたため、初期のコミュニケーションはスムーズではありませんでした。チームは最終的にプロジェクト側を回避し、8月8日に脆弱性を公に開示し、CVE番号を申請しました。

2023年のこの発見があったおかげで、Milk Sadチームは歴史データの逆解析を開始しました。彼らは、2019年から2020年の間に巨額の資金を蓄積した弱い鍵の範囲がLubianと関連していること、そして2020年12月28日に前述の巨大な移転が発生したことに驚きました。

当時、約136,951枚のビットコインがこれらの弱いウォレットに保管されており、その日の大規模な転出は約37億ドルの価値がありました。そして、最後に知られている動向は2024年7月のウォレット統合です。

言い換えれば、Lubian事件の疑わしい点は、弱いランダムの脆弱性が露見するまで明らかにならず、その時に逃した警報のウィンドウは二度と戻ってこないことになります。そして、当時のビットコインの行方も行方不明です。5年の時を経て、アメリカ司法省（DOJ）とイギリス当局が共同で太子グループと陳志を起訴したことで、ようやく事態が明らかになりました。

私たちにとって、今や「Not your Wallet, Not Your Money」という言葉は、ランダム性の大前提の下でのみ有効になるのです。