#钱包安全事件 Відстежив повний ланцюг подій Milk Sad, і це дійсно варто детальніше вивчити.

Основна проблема чітка: у 2019-2020 роках у використанні таких інструментів, як майнинговий пул Lubian, існував смертельний вразливий уразливий генератор псевдовипадкових чисел MT19937, що призвело до зменшення простору приватних ключів з теоретичних 2^256 до діапазону, який можна перебрати методом грубої сили. Тоді ці слабкі гаманці з ключами зберігали понад 53 500 BTC, з яких 24 999 BTC були швидко переказані у вигляді китових транзакцій.

Аномалія 28 грудня 2020 року стала ключовою точкою — за кілька годин було виведено 136 951 BTC, що тоді коштувало близько 3,7 мільярдів доларів. Однак цей переказ не був одразу кваліфікований як крадіжка, оскільки припинилися доходи з майнингу, ціни зросли, і було важко визначити, чи це дія хакерів, чи реструктуризація керівництва майнингового пулу. Цей сліпий кут розуміння тривав багато років.

Лише у 2023 році, коли було виявлено вразливість bx seed у Libbitcoin Explorer, почалася зворотна трасування, і команда Milk Sad зрозуміла справжню причину масштабної переказу 2020 року — і ця лінія веде до групи Тайцзи.

Ключовий висновок: дані на ланцюгу самі по собі не брешуть, але різниця у часі — так. Ті BTC мовчали з 2020 року до останньої консолідації у липні 2024 року, майже 5 років. У випадку з проблемами у базовому елементі генерації випадкових чисел, принцип "Not Your Keys, Not Your Coins" потребує додаткової умови — ці Keys мають бути справді випадковими.