150亿美元比特币被盗案的真相

作者：徐令予

2020 年 12 月 29 日，著名的 LuBian 矿池发生了一起震惊加密货币行业的重大黑客攻击事件。攻击者在短时间内成功转走了12万枚比特币。按当时的币价计算，这批比特币价值约 35 亿美元，以今日价格衡量，其价值接近 150 亿美元！后来多方调查表明，这批巨额比特币的控制权属于柬埔寨太子集团主席陈志，因此这一事件也被称为“太子集团矿池被盗案”。

近日，中国国家计算机病毒应急处理中心在其官方公众号发布了题为《LuBian 矿池遭黑客攻击被窃取巨额比特币事件技术溯源分析报告》的文章，对事件可能的技术原因进行了较为系统的分析。该报告的发布，使这起尘封多年的案例再次成为公众和技术社区关注的焦点，也引发了有关比特币安全性以及系统入侵方式的进一步讨论。

然而，围绕这起事件的各类解读中，既有严肃的技术分析，也有媒体的夸大渲染，更有一些未经证实的推断。为了帮助读者更准确地理解事件背后的机制、可能的技术成因，以及其中的一些误解，我们从比特币的私钥作用说起，对数字货币系统的安全机制与实际风险进行一次通俗而全面的梳理。

一、比特币私钥与控制权：为什么谁拥有私钥，谁就拥有比特币？

比特币没有传统意义上的密码或账户体系，也没有银行或中心化机构验证身份。比特币体系中，唯一决定你是否能够动用某笔资金的，就是 私钥（Private Key）。

私钥是一串 256 位的随机数字。任何持有这串数字的人，都可以生成有效的加密签名，把对应地址中的比特币全部转走。比特币网络并不审查操作者的身份，只验证签名是否有效。

因此：

• 拥有私钥＝实际拥有比特币  
• 私钥丢失＝比特币永远无法找回  
• 私钥泄露＝资产会在瞬间被别人转走  

理解这一点，是理解比特币安全性的基础。

二、冷钱包和托管钱包：完全不同的安全机制

虽然所有的私钥都是一串数字，但它们的存储方式会决定安全等级。最常见的是 冷钱包（自托管） 与 托管钱包（平台代管）。

1. 冷钱包：私钥完全离线、自托管

冷钱包的私钥从不连接互联网，私钥存放在硬件钱包、纸钱包、或永不联网的电脑中。

由于私钥不暴露于网络攻击面，这就像：把金条锁在家里的保险柜里，钥匙握在自己手里。优点是安全性最高，缺点是如果管理不善丢失私钥，损失不可逆。

2. 托管钱包：平台代管私钥（交易所、矿池）

托管钱包中：私钥由平台服务器管理，用户实际上不持有自己的私钥，用户资产的安全依赖平台的安全性  

这更像：把金条存放在银行金库，但钥匙由银行保管。一旦平台被攻破，所有用户资产可能瞬间失窃。几乎所有大型盗币事件都发生在托管模式。

三、两类攻击方式：数学破解与系统入侵

比特币资产要么被破解，要么被窃取，两者之间有本质的不同。

1.数学破解的原理：试图从公开的比特币地址，反推生成它的私钥。如果私钥是标准的 256 位随机数，那么穷举它就需要进行

 2^256 ≈ 1.16 × 10^77 次尝试，这远超目前可提供的算力资源，因此几乎不可能。

什么时候数学破解才“可能”发生？只有在以下极端情况存在时：

• 私钥的随机数生成器出现重大缺陷
• 256 位中只有少量位是真正随机的
• 大部分位数是固定、可预测或可从模式中推断
• 例如只剩下 32 位随机需要靠穷举

当随机性严重不足时，攻击者可以把尝试降为2^32（约 42.9 亿次）使用现代 GPU 集群在几小时内可以完成。这种安全漏洞源自糟糕的技术实施，而不是密码学本身。

2. 系统入侵：现实世界中最常见的攻击方式

绝大多数盗币事件都属于系统入侵，例如：

• 服务器被攻破  
• 私钥文件被窃取  
• HD 主种子被获取  
• 管理员账号泄露  
• 密钥或敏感数据被日志、备份泄露  

一旦私钥泄露：攻击者无需破解，只需“使用”私钥即可转走资产。这就像：黑客潜入金库，把钥匙拿走，不需要用暴力打开保险箱。这是现实世界中攻击者最常采用的方式。

四、媒体推测与事实并不一致：弱随机数漏洞是否确凿存在？

在太子集团矿池比特币被盗事件的相关报道中，有部分技术性文章提出十分详尽的推测：矿池的私钥生成器可能使用了与 Libbitcoin Explorer 事件中曾出现的与 “MilkSad” 漏洞类似的伪随机数算法，例如以 Mersenne Twister (MT19937-32) 作为随机数生成器，并且仅使用 32 位种子。若情况属实，私钥有效熵将只有 32 位，攻击者只需穷举 0 至 2³²−1 的所有可能种子、生成对应私钥，再验证其公钥哈希是否匹配即可。这类报道进一步指出，超过 5,000 个地址受到影响，因此漏洞可能具有系统性，源于矿池系统的底层代码的复用。

这些内容从技术角度看非常详尽，然而必须强调：目前并无公开证据表明 LuBian 矿池确实使用了 MT19937 或等效的弱随机数生成方式。

没有人获得矿池的源代码，也没有可验证的审计报告能够确认这些推断。所谓“使用 MT19937”、“32 位熵”、“复现 MilkSad 漏洞”皆属于针对链上行为的推理性描述，而非基于实际代码的事实陈述。

更重要的是，链上呈现的行为，例如多个地址在短时间内被迅速清空，这不仅符合“弱随机数导致多地址私钥被暴力破解”的表现，也同样符合“系统被攻破、批量私钥或 HD 主种子被一次性窃取”的模式。在中心化矿池或交易系统中，如果主种子（HD master seed）或私钥库（key store）被入侵者成功获取，那么攻击者能够瞬间控制所有衍生地址，其链上表现与弱随机数导致的破解几乎无法区分。

因此，这类技术报道虽提供了一种可能性较高的理论解释，但它们并不能证明弱随机数问题真实存在。对缺乏源代码的外部事件进行技术复原本身带有不确定性，而偏向使用已有漏洞模型（如 MilkSad）是常见的“框架套用”方式，也容易让读者误以为分析所描述的是“已被证实的事实”。然而在安全领域里：

技术推测 ≠ 事实证据；链上现象 ≠ 漏洞成因。

在缺乏内部资料、源代码或系统日志的情况下，弱随机数漏洞只能被视为一种“可能解释”，而非确定结论。反之，系统入侵、运维权限泄露、服务器后门或主密钥管理不当等原因，则在历史案例中更为常见，也更符合大规模资产在短时间内被完全转移的特征。

综合行业经验、历史案例与攻击模式来看，最合理的技术解释应该是

• 矿池服务器遭入侵  
• 私钥库或 HD 主种子被一次性窃取  
• 资产被短时间内集中转移  

五、比特币系统本身没有问题：风险始终来自“最弱的环节”

在审视本次矿池比特币失窃事件时，有一个常被忽视却至关重要的事实：比特币的底层系统并没有出现任何结构性安全漏洞。公钥密码学仍然稳固，ECDSA 椭圆曲线算法没有被破解，标准的私钥生成机制在数学上依然安全。无论此次事件的具体原因是服务器遭入侵、密钥管理不当，还是某一模块的随机数实现存在缺陷，这些都属于技术实施层面的缺陷，而非比特币协议本身的安全问题。

如同所有现代的信息系统一样，比特币生态的安全性并不是由某个单一组件决定，而是由一整条相互依赖的安全链共同维系。随机数生成器的质量、软件代码的实现细节、服务器的配置与维护、硬件环境的安全性、密钥的存储方式、权限体系的管理、开发和运维人员的安全意识等，都是这条链上的薄弱环节。链条的整体强度永远取决于其中最薄弱的环节，而不是最坚固的部分。

历史反复证明，引发灾难的往往不是复杂高深的密码学被破解，而是一些看似微不足道的技术细节错误，例如弱随机数、明文存储密钥、服务器补丁没有及时更新、管理员玩忽职守，或者开发者在日志中意外暴露敏感数据。真正的危险通常来自这些最低级的疏忽，但却常常被人们忽视。

与此形成鲜明对比的是，媒体和某些“专家”往往热衷于渲染所谓的“公钥密码学危机”或“量子计算机即将摧毁密码体系”。这种缺乏技术依据的叙事不仅容易误导公众，使他们误以为问题源自某种不可抵挡的数学崩塌，还会无形中掩盖真正需要警惕的风险，那些最普通、最基础、最容易被忽略但又最致命的安全漏洞。

因此，本次事件更应当被视为对系统安全管理的再次警示：信息系统的安全从来不是由某个独立技术决定，而是取决于整套机制是否组织严密、各个环节是否稳固可靠、人员是否遵循规范。比特币的密码学基础依然稳固，而风险来自实施与管理层的失职，这才是该事件给予整个行业最值得深思的启示。

徐令予 作于南加州（2025年11月17日）