Kasus pencurian 1,27 juta BTC berbalik: Setelah 4 tahun hening, "diterima" oleh pemerintah Amerika, rincian teknis terungkap

Tinjauan Kasus

Pada 29 Desember 2020, kolam penambangan Bitcoin LuBian diserang oleh peretas, 127272 BTC (yang saat itu bernilai sekitar 3,5 miliar dolar, sekarang bernilai 15 miliar dolar) dicuri. Pemilik kolam penambangan adalah Chen Zhi, ketua grup pangeran Kamboja. Setelah pencurian, Chen Zhi beberapa kali meninggalkan pesan di blockchain memohon kepada peretas untuk mengembalikan, bahkan menyatakan bersedia membayar tebusan, tetapi tidak ada yang merespons.

Yang aneh adalah, selama empat tahun setelah pencurian BTC dalam jumlah besar ini, hampir tidak ada tindakan yang diambil—ini sangat bertentangan dengan logika perilaku peretas yang biasanya ingin segera menguangkan, melainkan tampak seperti tindakan yang direncanakan dengan cermat oleh “sebuah organisasi peretas tingkat negara.”

Plot Twist

Pada bulan Juni 2024, BTC yang dibekukan selama 4 tahun ini tiba-tiba dipindahkan ke alamat baru. Platform pelacakan blockchain Arkham menandai alamat-alamat ini sebagai dikuasai pemerintah AS.

Pada 14 Oktober 2025, Departemen Kehakiman AS mengumumkan pengajuan tuntutan pidana terhadap Chen Zhi dan “menyita” 127.000 BTC yang ia kendalikan.

Masalah kunci muncul: BTC yang disita ini, setelah dibandingkan dengan data di blockchain, adalah batch yang dicuri dari kolam tambang LuBian pada tahun 2020.

Kesimpulannya sangat menyakitkan: Pemerintah Amerika kemungkinan besar sudah mengendalikan BTC ini melalui metode peretasan sejak tahun 2020, dan sekarang baru secara resmi mengumumkan penyitaan — benar-benar “mencuri dari pencuri”.

Detail Teknik: Mengapa Begitu Mudah Diretas

Kelemahan fatal LuBian terletak pada algoritma generasi kunci privat:

• Praktik Standar: Menghasilkan kunci pribadi dengan angka acak 256 bit, tingkat kesulitan peretasan 2^256 (hampir tidak mungkin)
• Metode LuBian: hanya menggunakan 32-bit angka acak + generator angka acak Mersenne Twister
• Hasil: Tingkat kesulitan pemecahan turun drastis menjadi 2^32 (sekitar 4,3 miliar percobaan)

Dengan kata lain, peretas dapat membongkar sebuah kunci pribadi dalam waktu sekitar 1 jam dengan kemampuan komputasi modern. Dalam celah ini, lebih dari 5000 alamat dompet LuBian terpengaruh, dan 127272 BTC semuanya disedot dalam waktu 2 jam.

Ini sama dengan kerentanan “MilkSad” yang terungkap pada tahun 2023 (cacat yang sama dengan Trust Wallet) - keduanya menggunakan penghasil angka acak yang tidak aman.

Melacak Detail

Tahap Pencurian (29 Desember 2020 GMT+8): Peretas mentransfer 127272.06953176 BTC sekaligus dari alamat LuBian, yang secara substansial cocok dengan 127271 BTC yang dituduhkan oleh Departemen Kehakiman AS.

Tahap Sepi (Desember 2020 - Juni 2024): Jumlah besar ini terbaring tenang di alamat yang dikuasai oleh peretas selama 4 tahun, hampir tanpa transaksi. Ini tidak sesuai dengan pola peretas biasa.

Sinyal Darurat (Awal 2021, Juli 2022): LuBian mengirim lebih dari 1500 pesan melalui fungsi OP_RETURN di blockchain, menghabiskan biaya 1.4 BTC, dengan isi yang intinya adalah “Silakan kembalikan dana kami, kami akan membayar hadiah”.

Fase Restart (Juni-Juli 2024): BTC yang sudah lama diam tiba-tiba dipindahkan ke alamat baru, kemudian ditandai sebagai aset pemerintah Amerika Serikat.

Pengumuman Resmi (14 Oktober 2025): Departemen Kehakiman AS secara resmi mengumumkan penyitaan.

Apa yang dijelaskan ini

1. Pelajaran Pribadi: Jangan gunakan alat dompet DIY atau yang tidak dikenal untuk menghasilkan kunci privat, gunakan solusi tingkat perusahaan seperti BIP-39 standar, multisig, dompet dingin, dompet HD, dll.

2. Pelajaran dari Kolam: Kolam penambangan harus menggunakan algoritma kunci standar industri, bukan modifikasi sendiri, serta melakukan multi-tanda tangan, pemantauan on-chain secara real-time, dan peringatan anomali.

3. Latar Belakang Besar: Hal ini mengungkapkan paradoks akhir dari aset di blockchain — meskipun transaksi blockchain transparan dan dapat dilacak, keamanan kunci privat menentukan segalanya. Begitu kunci privat diretas, “desentralisasi” menjadi lelucon.

4. Rasa Politik: Setelah 4 tahun sepi, diambil alih oleh pemerintah, tindakan ini memiliki aroma yang sangat khusus — mengisyaratkan kemungkinan terlibatnya perang siber atau tindakan penegakan hukum tingkat nasional.