首頁

快訊深度數據

社區

Search Extension

當隨機數不再隨機：12萬枚BTC失竊真相

2025-10-20 18:02

閱讀本文需 24 分鐘

從Wintermute 到 Lubian：加密史上最大隨機數漏洞複盤

原文來源：Max He@Safeheron Lab

近期，加密貨幣社群廣泛討論一則重磅訊息：美國執法部門疑似已掌握 2020 年那次神秘轉移的約 12 萬枚比特幣私鑰，價值高達 150 億美元。根據 Elliptic 報告顯示 [1]，這些資產最初與礦池 Lubian.com 有關聯，後來被美國司法部正式沒收。外界普遍推測，執法機構可能利用了錢包產生時的隨機數缺陷來重建或接管私鑰，也有觀點認為這是美國政府主導的技術破解行動。

此消息傳出後，在整個加密貨幣行業引發了強烈震動，迅速成為業內焦點話題。不僅在技術與安全層面掀起了廣泛討論，更讓投資人對加密資產的可靠性與風險防範產生了新的憂慮。本文將從技術與事實的雙重視角出發，對事件及其背後的安全根源進行系統性梳理，深入解析關鍵技術細節，全面回顧事件演變脈絡，並探討其可能帶來的深遠影響。

隨機數與私鑰安全：區塊鏈世界的生命線

在區塊鏈的世界裡，隨機數堪稱加密安全的基石。每個比特幣或以太坊錢包的私鑰，都由隨機數產生——一旦隨機數缺乏足夠的「隨機性」，駭客就有可能預測私鑰，進而直接竊取數位資產。為了有效規避這種風險，錢包必須採用密碼學安全隨機數產生器（CSPRNG），以確保產生的隨機數字真正做到不可預測、不可重現。

那些依賴不安全隨機演算法的錢包，表面上看似正常運作，實際上卻暗藏隱患：一旦隨機性被成功預測，資產損失將變得不可逆轉。

歷史重演：多起重大安全事件的啟示

2022 年至 2023 年期間，因相同的隨機數漏洞引發的多起重大安全事件相繼被披露，充分暴露了這一問題的嚴重性和廣泛性。

安全事件 1：Wintermute 損失 1.6 億美元的慘痛教訓

2022 年 9 月 20 日，知名做市商 Wintermute 遭遇重大安全事故，約 1.6 億美元的數位資產被竊 [2]。攻擊者巧妙利用了地址產生工具 Profanity 的弱點——該工具在部分用法中依賴 Mersenne Twister（MT19937）作為偽隨機數來源來產生「靚號地址」。

由於 MT19937 的輸出在缺乏充分熵注入的情況下具有可預測性，攻擊者得以重現部分位址/私鑰產生流程，從而成功計算出對應私鑰並轉移資金。此案成為加密史上首例因隨機數誤用導致機構級錢包被攻破的標誌性事件，標誌著隨機性問題已從單純的開發者疏忽演變為系統性安全風險。

關於此次攻擊，Safeheron 當時撰文分析了詳細的攻擊技術細節，並復現了攻擊過程。 [3]

安全事件 2：Trust Wallet 隨機數漏洞引發的信任危機

2023 年 4 月，安全研究者發現 Trust Wallet 瀏覽器擴展版（版本 0.0.172–0.0.182） Mersenne Twister（MT19937）偽隨機數演算法（如下圖），隨機空間僅約 2^32 種可能性，遠遠不足以抵禦窮舉攻擊。

攻擊者可以在有限時間內列舉所有可能的助記詞組合，從而重建私鑰並竊取使用者資產。 Trust Wallet 官方隨後發佈公告，正式確認漏洞存在並緊急提醒受影響用戶及時遷移資產。根據專案社群論壇的官方聲明，該漏洞已導致約 17 萬美元的潛在損失，因為攻擊者可能成功利用此漏洞實施了針對性攻擊。

此事件成為首個影響主流錢包終端用戶的隨機數漏洞案例，也讓「隨機數安全」問題首次引發大規模的公眾關注。

安全事件 3：Libbitcoin Explorer (bx seed) 弱隨機數事件

2023 年 8 月，安全研究團隊 Distrust 宣布發現命令列工具 Libbitcoin Explorer (bx) 3.x 版本有嚴重的隨機漏洞數 [5.x] 版本有嚴重漏洞的漏洞數 [5.x] 版本存在嚴重漏洞。該工具在執行 bx seed 指令產生錢包種子時，內部同樣使用 Mersenne Twister（MT19937）偽隨機數產生器，並僅以系統時間作為種子來源，導致隨機性極低、輸出可預測。攻擊者可在有限時間內列舉全部種子值，從而重建錢包私鑰並直接竊取資產。

此漏洞影響所有使用 Libbitcoin Explorer 3.x 產生錢包的用戶，以及依賴 libbitcoin-system 3.6 函式庫的相關應用。截至 2023 年 8 月，已有超過 90 萬美元的加密貨幣資產因該漏洞而被盜 [6]。漏洞揭露後正式登記為 CVE-2023-39910。

儘管 Libbitcoin-explorer 已經及時打上了正確的安全補丁，但事情並沒有就此結束。

浮出水面的巨大冰山

在 Libbitcoin Explorer 3.x 安全事件披露後，由 Distrust 團隊牽頭的白帽研究者成立了 MilkSad 項目，持續追蹤漏洞影響並推動社區回應。

到 2024 年，研究者首次系統性地梳理了這些「弱錢包」的生成機制、錢包類型以及偽隨機數產生器（PRNG）的配置方式 [7]，並揭示出它們與比特幣礦池 Lubian.com 之間的潛在關聯以及相關資金的分佈特徵。

2025 年，在一位匿名白帽研究員提供的關鍵線索幫助下，長期停滯的分析工作取得了突破。 MilkSad 團隊發現受影響的軟體在產生私鑰時引入了一個新參數——PRNG 偏移量（offset），這項發現使研究者得以重新關聯先前分散的錢包群體，揭示出背後統一的隨機數產生模式。這項發現成為理解整個「弱錢包」事件成因的關鍵所在 [8]。

根據團隊的進一步深入分析，2023 年最初發現的 2,630 個問題錢包只是整個冰山的一角。透過在 PRNG 輸出的不同區段進行搜索，研究者現已成功重構並識別出超過 227,200 個獨立錢包（如下圖所示），這些錢包均在主網上存在有效使用記錄，構成了迄今為止規模最大的“弱隨機錢包”群簇。

鏈上數據顯示，這批由隨機數缺陷產生的錢包共持有約 13.7 萬枚比特幣（BTC）。在 2020 年 12 月 28 日短短兩小時內，這些錢包被集中清空，餘額從 13.7 萬枚驟降至不到 200 枚，其中約 9,500 枚 BTC 流向礦池 Lubian 的付款地址，其餘約 12 萬枚 BTC 被推測轉入攻擊者控制的錢包。所有可疑交易均使用相同手續費，呈現明顯的自動化批量轉移特徵。

此事後來又出現了新的重要線索，進一步印證了這起大規模被盜事件的真實存在 [9]。研究者在比特幣主網上發現，部分受害錢包在 2022 年 7 月 3 日和 2024 年 7 月 25 日仍有異常的交易活動。這些交易透過 OP_RETURN 機制嵌入了完全相同的訊息：

「MSG from LB. To the whitehat who is saving our asset, you can contact us through 1228btc@gmail.com to discuss the return of asset and your reward.」

研究者推測，「LB」可能代表 Lubian.com，而「saving our asset」或指向 2020 年 12 月 28 日那次大規模資金轉移事件。這些訊息被多次廣播到不同地址，似乎是 Lubian 方面試圖與掌握資產的「白帽」建立聯繫，討論資產返還及獎勵的公開嘗試。

不過，由於這些錢包的私鑰早已處於洩露狀態，理論上任何人都可以從這些地址發起交易或寫入訊息，因此目前仍無法確定性地確認這些資訊是否真正出自 Lubian 團隊，還是一場誤導性或惡作劇式的操作。

至此，冰山的主體終於浮出水面──這場因隨機數缺陷引發的系統性漏洞，已經發展成為比特幣史上規模最大、影響最深遠的安全事件之一。

技術細節：暴力攻破 22 萬個 BTC 錢包的完整過程

那麼，這 22 萬個 BTC 弱隨機錢包是如何產生的呢？讓我們詳細介紹具體的技術搜尋過程 [8]

第一步：選擇相同的偽隨機數產生器（PRNG）MT19937 來產生隨機數。再次強調，該 PRNG 完全不具備密碼學安全性。

第二步：採用極低熵種子（0～2^32-1）來初始化 MT19937。這些 BTC 錢包私鑰能如此快速地推測出來，低熵種子是最大的罪魁禍首。

第三步：MT19937 每輪輸出一個 32 位元整數，但並非全部使用，只選用最高 8 位元，也就是說每輪 MT19937 將會得到一個位元組。

第四步：引入 OFFSET 這個特徵，以擴展私鑰範圍。須知 BTC 中的私鑰種子為 32 位元組（等同於 24 個助記詞，即 256 bit），這 32 個位元組由第（32* OFFSET）輪到第（32 * OFFSET + 31）輪獲得，從而產生 BTC 私鑰種子。須知 BTC 中的私鑰種子是 32 字節，具體來說：

（1）第 0 ～ 31 輪，輸出 32 位元組私鑰。

（2）第 32 ～ 63 輪，輸出 32 位元組私鑰。

（3）第 32 * 2 ～ 95 輪，輸出 32 位元組私鑰。

（4）以此類推，OFFSET 最多可取到 3232。

第五步：在私鑰種子的基礎上，使用公開的 BIP32 錢包派生演算法，採用派生路徑 m/49'/0'/0'/0/0 派生子公私鑰對。

第六步：基於子公鑰，產生前綴為 3 的 P2WPKH-nested-in-P2SH 類型錢包位址。

第七步：如果產生的位址在鏈上確實有使用記錄，表示成功找到了弱隨機數錢包，記錄下其錢包位址和對應私鑰。

以上整個搜尋過程都是確定性的，唯一的變數在於低熵種子的選擇，共有 2^32 種可能性，遠低於 BTC 標準私鑰空間的 2^256，因此可以透過暴力搜尋的方式獲得所有 22 萬個弱隨機錢包及其對應私鑰。

完整故事的來龍去脈

讓我們完整地整理一下整個事件的發展脈絡。

早在數年前（最早可追溯至 2018 年），一些數位資產專案在開發過程中錯誤地引入了不具備密碼學安全性的偽隨機數產生器（PRNG），並將其應用於錢包私鑰產生這一極度敏感的環節。由於當時開發者缺乏對密碼學安全性的理解，這項錯誤在當時並未被發現，卻為後續的大規模漏洞埋下了安全隱患。

不幸的是，隨著時間推移，這一問題逐漸被駭客發現並惡意利用。不同的攻擊團體先後基於相同原理發動了多起知名攻擊事件——包括 Wintermute 被盜、Trust Wallet 隨機數漏洞事件、以及 Libbitcoin 弱錢包事件等。這些攻擊合計造成了數億美元的資產損失，也讓「隨機數安全」這個原本被忽視的技術細節成為產業焦點。

研究者在分析這些事件的共通性時，發現所有受害錢包都存在相似的隨機性缺陷，並進一步追溯到更早的 Lubian 礦池被盜事件。經過深入研究，他們確認 Lubian 使用的錢包同樣依賴不安全的隨機數產生機制，是這類「弱錢包」群體的一部分。隨後的系統化分析揭示出更驚人的事實：整個網路中共有約 22 萬個弱隨機錢包，涉及總金額 12 萬個 BTC，構成了迄今為止規模最大、影響最深遠的隨機數安全事件。

至於外界流傳的「美國司法部主導了 Lubian.com 被盜事件」的說法，主要源於一個微妙的事實：在司法部正式介入處理相關資產的過程中，原本長期處於靜止狀態的 Lubian 關聯比特幣地址突然發生了大規模的資產轉移，這一時間節點的重合鏈上直接破解還有另一種可能——美國政府並未直接暴力破解私鑰，而是控制了持有私鑰的個人或實體，促成了資金轉移。

儘管這批錢包屬於可被攻破的弱隨機錢包，其私鑰在理論上確實可以透過技術手段重現，但截至目前，仍然無任何公開且可驗證的證據表明，美國政府主導了針對相應私鑰的「暴力破解」行動。除非相關機構正式公開承認技術介入的事實，否則整個事件的真實過程仍將籠罩在謎團之中。

如何取得密碼學安全的隨機數？

如今我們已經認識到安全隨機數的重要性，那麼在實際開發和應用中應該如何正確獲取呢？需遵守以下幾個原則：

（1）優先使用作業系統提供的安全接口，以系統熵池為基礎產生隨機數。

（2）在具備條件時使用安全硬體熵源，如 Intel SGX CPU 的硬體隨機數指令。

（3）在 MPC 場景下，可融合多方熵源以提升整體安全性，例如將 Linux 系統熵池與 Intel SGX CPU 的硬體隨機數結合使用，從而避免單一熵源失效或被預測的風險。

（4）採用經過廣泛驗證的密碼學庫中的安全隨機數產生接口，如 libsodium、BoringSSL、OpenSSL 等。

（5）確保種子熵不少於 128–256 bit，禁止使用時間戳記、進程號等低熵源作為種子。

（6）嚴禁使用非密碼學安全的偽隨機數產生器（非 CSPRNG），例如 Mersenne Twister (MT19937)、Math.random()、rand()。

MPC 的多源熵融合優勢

與單方系統相比，MPC 具備天然的熵融合優勢：每一參與方都可獨立提供隨機熵源，最終的隨機結果由各方共同產生。只要其中任一方保持誠實，整個系統的隨機性就無法被預測或操縱。這種多源隨機結構顯著提升了系統的整體安全性與抗篡改性，是 MPC 協定在安全性上的核心優勢之一。

Safeheron 基於 MPC 與 TEE 技術建構了數位資產安全存管協議。在這個方案中，MPC 協定的各參與者採用多種獨立的安全熵來源，包括 Linux 系統熵池以及 TEE 硬體熵源（如 Intel SGX 硬體隨機數指令）等。這種多源熵融合機制不僅強化了系統的安全邊界，也為建構可信任執行環境（TEE）與分散式簽章系統奠定了更高的安全基線。