Chiny oskarżają Stany Zjednoczone o przejęcie 127 tys. BTC z włamania do LuBian

Chiński Narodowy Centrum Reagowania na Wirusy Komputerowe (CVERC) poinformowało, że rząd Stanów Zjednoczonych przejął kontrolę nad około 127 000 bitcoinów związanych z włamaniem do puli wydobywczej LuBian w 2020 roku. Departament Sprawiedliwości Stanów Zjednoczonych postawił zarzuty kambodżańskiemu biznesmenowi Chenowi Zhi i określa te aktywa jako dochody uzyskane w wyniku działalności przestępczej.

W raporcie technicznym opublikowanym w niedzielę chiński urząd opisał, jak 29 grudnia 2020 r. cyberprzestępcy wykorzystali luki w zabezpieczeniach systemów LuBian, wyprowadzając około 127 272 BTC w ciągu około dwóch godzin za pomocą automatycznych przelewów z identycznymi opłatami. Według analizy on-chain, bitcoiny te były powiązane z portfelami należącymi do Prince Group, której Chen jest prezesem.

W raporcie zaznaczono, że monety pozostawały w bezruchu przez prawie cztery lata, zanim w czerwcu i lipcu 2024 r. zostały przeniesione na nowe adresy. Następnie firma analityczna Arkham oznaczyła te portfele jako powiązane z organami władzy USA. Takie oznaczenia są często stosowane do śledzenia przepływów, ale same w sobie nie dowodzą prawa własności.

W październiku 2025 r. prokuratorzy federalni postawili Chenowi zarzuty karne i poinformowali o zajęciu około 127 000 BTC powiązanych z nim i Prince Group. Departament Sprawiedliwości opisuje te bitcoiny jako dochody z zakrojonego na szeroką skalę oszustwa kryptowalutowego i nazywa konfiskatę legalnym działaniem organów ścigania.

CVERC zaprzecza takiej interpretacji. Korzystając z onchain-tracing, agencja twierdzi, że zidentyfikowała wpływy w wysokości 127 272,06953176 BTC z kilku źródeł: około 17 800 monet z indywidualnego kopania, około 2300 — z wypłat pul i około 107 100 — z giełd i innych kanałów. Centrum uważa, że taka struktura źródeł jest sprzeczna z twierdzeniami, że całe saldo pochodzi z nielegalnych dochodów.

Urząd nazywa tę sprawę „kłótnią między złodziejami” i twierdzi, że ma ona związek z „organizacją hakerską na szczeblu państwowym”. Wskazuje on na długotrwałą bezczynność aktywów i synchroniczne przeniesienia w połowie 2024 r. jako oznaki skoordynowanego planu.

W chronologii CVERC wyróżnia pięć etapów: atak w grudniu 2020 r.; długotrwałą „hibernację” z jedynie niewielkimi „pyłowymi” transakcjami; ponad 1500 komunikatów on-chain na początku 2021 r. i w lipcu 2022 r. z poszukiwaniem negocjacji w sprawie zwrotu monet; aktywację i przelewy w połowie 2024 r.; oraz ogłoszenie o konfiskacie przez Stany Zjednoczone w październiku 2025 r.

W raporcie wskazano, że adresy nadawców podczas włamania należały do portfeli operacyjnych LuBian, a identyczne prowizje świadczą o transferach skryptowych. Dodano, że naruszenie faktycznie doprowadziło do upadku LuBian i zniszczyło ponad 90% jego aktywów w tamtym czasie. Agencja wskazuje słabości w generowaniu kluczy prywatnych i praktykach liczb losowych jako główne ryzyko techniczne i zaleca bezpieczne generowanie kluczy, wielopodpis, przechowywanie w trybie offline, monitorowanie w czasie rzeczywistym oraz regularne audyty dla powierników i pul.