Kunci privat Bitcoin senilai $15 miliar secara tidak sengaja berhasil dipecahkan oleh Amerika Serikat.

Pada Oktober 2025, Pengadilan Distrik Federal Amerika Serikat untuk Distrik Timur New York mengungkap kasus penyitaan aset kripto terbesar dalam sejarah, di mana pemerintah AS menyita 127.271 bitcoin, dengan nilai pasar sekitar 15 miliar dolar AS.

Shenyu, salah satu pendiri Cobo, menyatakan bahwa lembaga penegak hukum tidak memperoleh private key melalui peretasan atau kekerasan, melainkan memanfaatkan celah pada sistem randomisasi. Beberapa forum juga menyebutkan bahwa lembaga penegak hukum secara langsung menyita mnemonic wallet atau file private key dari server dan hardware wallet yang dikendalikan oleh Chen Zhi, eksekutif Prince Group, dan keluarganya, namun fakta detailnya belum dilaporkan secara terbuka.

Hardware wallet tersebut kemudian dipindahkan ke cold storage multisignature yang dikelola oleh US Marshals Service (USMS) di bawah Departemen Keuangan AS. Pada 15 Oktober 2025, transfer 9.757 BTC yang ditandatangani oleh USMS ke alamat kustodian resmi berasal dari wallet ini. Dalam surat dakwaan, Departemen Kehakiman AS menggambarkan Lubian sebagai bagian dari jaringan pencucian uang Prince Group Kamboja, menekankan bahwa kelompok kriminal tersebut mencoba memutihkan dana hasil penipuan dengan menggunakan "koin baru" yang ditambang dari mining pool.

Beberapa anggota komunitas melacak data on-chain dan menyimpulkan bahwa bitcoin tersebut adalah hasil pencurian dari Lubian mining pool pada akhir 2020 akibat celah keamanan. Lubian mining pool tiba-tiba muncul pada 2020 tanpa latar belakang tim yang jelas atau model operasional yang diumumkan, namun dalam beberapa bulan saja berhasil masuk ke jajaran 10 besar mining pool dunia, bahkan sempat menguasai hampir 6% hash rate global.

Laporan menyebutkan bahwa Chen Zhi membanggakan kepada anggota Prince Group lainnya bahwa "keuntungannya besar karena tidak ada biaya", namun hingga kini belum jelas apakah ia pendiri atau hanya pengendali setelahnya. Namun, kasus ini telah mengungkap kembali keberadaan whale yang selama ini diam, dan membuat orang kembali menyoroti bencana keamanan private key wallet yang terjadi sekitar tahun 2020.

Dalam penelitian ulang setelah kejadian, dua kata pertama dari mnemonic pada wallet yang dihasilkan dengan proses key generation yang rusak adalah Milk Sad, sehingga peristiwa ini kemudian dikenal sebagai Insiden Milk Sad.

Risiko Tersembunyi dari Random Number Generator yang Lemah

Semua ini bermula dari Mersenne Twister MT19937-32, sebuah generator bilangan acak semu.

Private key bitcoin seharusnya terdiri dari 256 bit angka acak, secara teori terdapat 2^256 kombinasi. Untuk menghasilkan urutan yang sama persis, diperlukan 256 kali "lempar koin" yang hasilnya identik, kemungkinannya hampir nol. Keamanan wallet tidak berasal dari keberuntungan, melainkan dari ruang kemungkinan yang sangat besar ini.

Namun, generator bilangan acak Mersenne Twister MT19937-32 yang digunakan oleh Lubian mining pool dan alat lainnya bukanlah "mesin lempar koin" yang benar-benar adil, melainkan seperti perangkat yang macet, selalu memilih angka dalam rentang terbatas dan berpola.

Setelah hacker memahami pola ini, mereka dapat dengan cepat melakukan brute force untuk menemukan semua kemungkinan weak private key dan membuka wallet bitcoin terkait.

Karena kesalahpahaman tentang keamanan oleh pengguna wallet atau mining pool, pada 2019 hingga 2020, banyak wallet bitcoin yang dihasilkan dengan "algoritma acak lemah" ini menyimpan kekayaan dalam jumlah besar, sehingga banyak dana masuk ke zona rawan ini.

Menurut statistik tim Milk Sad, selama 2019 hingga 2020, jumlah bitcoin yang tersimpan di wallet dengan weak key ini sempat melebihi 53.500 BTC.

Sumber dana berasal dari transfer whale dalam jumlah besar, misalnya pada April 2019, empat wallet lemah menerima sekitar 24.999 bitcoin dalam waktu singkat. Ada juga hasil mining harian, beberapa alamat menerima lebih dari 14.000 bitcoin sebagai reward miner bertanda "lubian.com" dalam setahun, dan kini ditemukan ada total 220.000 wallet jenis ini. Pemiliknya jelas tidak menyadari bahaya pada proses pembuatan private key, bahkan hingga kini masih terus memasukkan aset ke dalamnya.

Eksodus Massal Akhir 2020

Risiko keamanan yang telah lama tersembunyi akhirnya meledak pada akhir 2020. Pada 28 Desember 2020 (UTC+8), terjadi transaksi abnormal di blockchain, di mana banyak wallet dalam zona weak key Lubian dikosongkan dalam beberapa jam, sekitar 136.951 bitcoin dipindahkan sekaligus, dengan nilai sekitar 3,7 miliar dolar AS pada harga saat itu sekitar 26.000 dolar AS per BTC.

Biaya transfer tetap sebesar 75.000 sats, tidak peduli jumlahnya, menunjukkan operator sangat memahami mekanisme jaringan bitcoin. Sebagian dana kemudian kembali ke Lubian mining pool untuk reward mining berikutnya, menandakan tidak semua aset yang keluar jatuh ke tangan hacker. Namun bagi korban, kerugian sudah terjadi.

Yang lebih aneh, beberapa transaksi on-chain membawa pesan.

Apakah itu ejekan dari hacker atau permintaan tolong dari korban, masih belum diketahui. Yang fatal, transfer besar-besaran ini tidak langsung dianggap sebagai pencurian pada saat itu.

Peneliti Milk Sad dalam analisis selanjutnya mengakui bahwa saat itu harga bitcoin melonjak dan reward mining pool berhenti, mereka tidak yakin apakah itu ulah hacker atau manajemen Lubian yang menjual di harga tinggi dan merestrukturisasi wallet. Mereka menyatakan, "Jika pencurian terjadi pada 2020, itu akan lebih awal dari timeline serangan weak key Mersenne Twister yang sudah dikonfirmasi, tapi kami tidak bisa menutup kemungkinan itu."

Karena ketidakpastian ini, eksodus dana pada akhir 2020 tidak memicu alarm di industri, dan bitcoin dalam jumlah besar itu kemudian bertahun-tahun diam di blockchain, menjadi misteri yang belum terpecahkan.

Bukan hanya Lubian yang terkena dampak, tetapi juga Trust Wallet versi lama. Pada 17 November 2022 (UTC+8), tim keamanan Ledger Donjon pertama kali melaporkan celah random number di Trust Wallet kepada Binance. Tim proyek merespons cepat, keesokan harinya memperbaiki di GitHub dan secara bertahap memberi tahu pengguna yang terdampak.

Namun hingga 22 April 2023 (UTC+8), Trust Wallet baru secara resmi mengumumkan detail celah dan mekanisme kompensasi. Selama periode ini, hacker memanfaatkan celah tersebut untuk beberapa kali serangan, termasuk pada 11 Januari 2023 (UTC+8) yang mencuri sekitar 50 bitcoin.

Peringatan yang Terlambat

Pada saat yang sama, celah ini juga muncul di proyek lain.

Perintah bx seed pada Libbitcoin Explorer versi 3.x menggunakan algoritma pseudo-random MT19937 dengan waktu sistem 32-bit sebagai seed, sehingga ruang kunci yang dihasilkan hanya 2^32 kombinasi.

Hacker segera mulai melakukan serangan percobaan, sejak Mei 2023 muncul beberapa pencurian kecil di blockchain. Pada 12 Juli 2023 (UTC+8), serangan mencapai puncaknya, banyak wallet yang dihasilkan bx dikosongkan sekaligus. Pada 21 Juli 2023 (UTC+8), peneliti Milk Sad menemukan akar masalah saat membantu pengguna melacak kerugian, yaitu weak random number pada bx seed memungkinkan private key di-brute force, dan mereka segera melapor ke tim Libbitcoin.

Namun karena perintah ini dianggap sebagai alat uji oleh pengembang resmi, komunikasi awal tidak berjalan lancar. Akhirnya, tim melewati pengembang proyek dan pada 8 Agustus 2023 (UTC+8) secara terbuka mengumumkan celah tersebut dan mengajukan nomor CVE.

Berkat penemuan tahun 2023 ini, tim Milk Sad mulai menelusuri data historis secara reverse engineering. Mereka terkejut menemukan bahwa zona weak key yang mengumpulkan dana besar pada 2019-2020 terkait dengan Lubian, dan pada 28 Desember 2020 (UTC+8) terjadi transfer besar seperti yang disebutkan di atas.

Saat itu, sekitar 136.951 bitcoin berada di wallet lemah ini, transfer massal pada hari itu bernilai sekitar 3,7 miliar dolar AS, dan pergerakan terakhir yang diketahui adalah konsolidasi wallet pada Juli 2024 (UTC+8).

Dengan kata lain, kecurigaan pada insiden Lubian baru muncul setelah celah random number lemah terungkap, dan kesempatan untuk membunyikan alarm sudah terlewat. Nasib bitcoin saat itu pun lenyap tanpa jejak. Setelah 5 tahun, baru kali ini Departemen Kehakiman AS (DOJ) dan otoritas Inggris bersama-sama menuntut Prince Group dan Chen Zhi, sehingga kasus ini mulai terkuak.

Bagi kita, kini pepatah "Not your Wallet, Not Your Money" hanya berlaku jika didasari randomisasi yang kuat.