#钱包安全事件 Theo dõi toàn bộ chuỗi sự kiện Milk Sad, thực sự đáng để hiểu rõ hơn.

Vấn đề cốt lõi rất rõ ràng: Trong khoảng thời gian 2019-2020, công cụ như bể khai thác Lubian sử dụng bộ sinh số giả MT19937 gặp lỗ hổng chết người, dẫn đến không gian khoá riêng được tạo ra bị thu hẹp từ lý thuyết 2^256 xuống phạm vi có thể brute-force. Lúc đó, các ví yếu này tích trữ hơn 53.500 BTC, trong đó có 24.999 BTC đã nhanh chóng chảy vào trong các giao dịch lớn.

Sự bất thường ngày 28/12/2020 là bước ngoặt quan trọng — 136.951 BTC bị rút sạch trong vài giờ, trị giá khoảng 3,7 tỷ USD vào thời điểm đó. Tuy nhiên, lần chuyển khoản này không ngay lập tức bị coi là trộm cắp, vì lợi nhuận từ bể khai thác dừng lại, giá cả tăng vọt, rất khó phân biệt đó là do hacker hay do nhóm quản lý bể khai thác thực hiện tái cấu trúc. Điểm mù nhận thức này đã kéo dài nhiều năm.

Cho đến khi tháng 2023, lỗ hổng bx seed của Libbitcoin Explorer bị phát hiện, mới kích hoạt quá trình truy vết ngược, nhóm Milk Sad cuối cùng mới nhận ra sự thật về đợt chuyển lớn năm 2020 — và cuối cùng, manh mối này dẫn đến Tài Tử Group.

Bài học quan trọng: Dữ liệu trên chuỗi không tự nói dối, nhưng sự chênh lệch thời gian thì có thể. Đợt BTC đó từ năm 2020 im lặng cho đến lần tổng hợp cuối cùng vào tháng 7/2024, kéo dài gần 5 năm. Trong bối cảnh vấn đề xuất phát từ việc sinh số ngẫu nhiên, nguyên tắc "Not Your Keys, Not Your Coins" cần thêm một điều kiện tiên quyết — những chìa khoá đó phải thực sự ngẫu nhiên.