Kunci privat Bitcoin senilai $15 miliar secara tidak sengaja berhasil dipecahkan oleh Amerika Serikat.

Penulis: BUBBLE

 

Pada Oktober 2025, Pengadilan Distrik Federal Amerika Serikat untuk Distrik Timur New York mengungkap kasus penyitaan aset kripto terbesar dalam sejarah, di mana pemerintah AS menyita 127.271 bitcoin, senilai sekitar 15 miliar dolar AS menurut harga pasar.

Co-founder Cobo, Shenyu, menyatakan bahwa lembaga penegak hukum tidak memperoleh private key melalui peretasan atau kekerasan, melainkan dengan memanfaatkan celah pada sistem randomisasi. Beberapa forum juga menyebutkan bahwa lembaga penegak hukum secara langsung menyita mnemonic wallet atau file private key dari server dan hardware wallet yang dikendalikan oleh eksekutif Prince Group, Chen Zhi, dan keluarganya, namun fakta detailnya belum dilaporkan secara terbuka.

Hardware wallet tersebut kemudian dipindahkan ke cold storage multi-signature yang dikelola oleh US Marshals Service (USMS) di bawah Departemen Keuangan AS. Pada 15 Oktober 2025, transfer 9.757 BTC yang ditandatangani oleh USMS ke alamat kustodian resmi berasal dari aset ini. Dalam surat dakwaan, Departemen Kehakiman AS menggambarkan Lubian sebagai bagian dari jaringan pencucian uang Prince Group Kamboja, menekankan bahwa kelompok kriminal mencoba mencuci dana hasil penipuan melalui "koin baru" yang ditambang oleh mining pool.

Beberapa anggota komunitas melacak data on-chain dan menyimpulkan bahwa bitcoin ini adalah hasil pencurian dari Lubian mining pool pada akhir 2020 akibat celah keamanan. Lubian mining pool tiba-tiba muncul pada 2020 tanpa latar belakang tim yang jelas dan tanpa mengumumkan model operasional, namun dalam beberapa bulan saja berhasil masuk ke jajaran 10 besar mining pool dunia, sempat menguasai hampir 6% hash rate global.

Laporan menyebutkan bahwa Chen Zhi membanggakan kepada anggota Prince Group lainnya bahwa "keuntungannya besar karena tidak ada biaya", namun hingga kini belum jelas apakah mining pool ini didirikan oleh Chen Zhi atau baru dikendalikan olehnya kemudian. Namun, kasus ini telah membangunkan "whale" yang lama tertidur dan membuat orang kembali menyoroti bencana keamanan private key wallet yang terjadi sekitar tahun 2020.

Dalam penyelidikan ulang oleh para peneliti, dua kata pertama dari mnemonic yang dihasilkan oleh proses key generation yang rusak adalah Milk Sad, sehingga peristiwa ini kemudian dikenal sebagai Insiden Milk Sad.

Risiko Tersembunyi dari Random Number Generator yang Lemah

Semua ini berawal dari Mersenne Twister MT19937-32, sebuah generator pseudo-random number.

Private key bitcoin seharusnya terdiri dari 256 bit angka acak, secara teori terdapat 2^256 kemungkinan kombinasi. Untuk menghasilkan urutan yang benar-benar sama, diperlukan hasil "lempar koin" sebanyak 256 kali yang seluruhnya identik—kemungkinannya hampir nol. Keamanan wallet bukan berasal dari keberuntungan, melainkan dari ruang kemungkinan yang sangat besar ini.

Namun, generator random number Mersenne Twister MT19937-32 yang digunakan oleh Lubian mining pool dan alat lain bukanlah "mesin lempar koin" yang benar-benar adil, melainkan seperti perangkat yang macet, selalu memilih angka dalam rentang terbatas dan berpola.

Setelah hacker memahami pola ini, mereka dapat dengan cepat melakukan brute force untuk menghasilkan semua kemungkinan weak private key dan membuka wallet bitcoin terkait.

Karena kesalahpahaman tentang keamanan oleh beberapa pengguna wallet atau mining pool, pada 2019 hingga 2020, banyak wallet bitcoin yang dibuat dengan "algoritma random lemah" ini menyimpan kekayaan dalam jumlah besar, sehingga dana dalam jumlah besar masuk ke zona rawan ini.

Menurut statistik tim Milk Sad, selama 2019 hingga 2020, jumlah bitcoin yang disimpan di wallet dengan weak key ini pernah melebihi 53.500 BTC.

Sumber dana berasal dari transfer besar-besaran oleh whale, misalnya pada April 2019, empat wallet lemah menerima sekitar 24.999 bitcoin dalam waktu singkat. Ada juga hasil mining harian, beberapa alamat menerima lebih dari 14.000 bitcoin dalam setahun sebagai reward miner bertanda "lubian.com". Kini ditemukan ada 220.000 wallet jenis ini, dan para pemiliknya tampaknya tidak menyadari bahaya pada proses pembuatan private key, bahkan hingga kini masih terus memasukkan aset ke dalamnya.

Eksodus Massal Akhir 2020

Risiko keamanan yang telah lama tersembunyi akhirnya meledak pada akhir 2020. Pada 28 Desember 2020, terjadi transaksi abnormal di blockchain, di mana banyak wallet dalam zona weak key Lubian dikosongkan dalam beberapa jam, sekitar 136.951 bitcoin dipindahkan sekaligus, senilai sekitar 3,7 miliar dolar AS pada harga sekitar 26.000 dolar per bitcoin saat itu.

Biaya transfer tetap sebesar 75.000 sats, tidak peduli berapa pun jumlahnya, menunjukkan bahwa operator sangat memahami mekanisme jaringan bitcoin. Sebagian dana kemudian kembali ke Lubian mining pool sebagai reward mining berikutnya, menandakan tidak semua aset yang keluar jatuh ke tangan hacker. Namun bagi korban, kerugian sudah terjadi.

Yang lebih aneh, beberapa transaksi on-chain menyertakan pesan, seperti "Kepada white hat yang menyelamatkan aset kami, silakan hubungi 1228btc@gmail.com". Karena alamat weak private key sudah terekspos, siapa pun dapat mengirim transaksi dengan pesan ke alamat tersebut, sehingga pesan-pesan ini belum tentu berasal dari korban sebenarnya.

Apakah ini lelucon hacker atau permintaan tolong korban, masih belum diketahui. Yang fatal, transfer besar-besaran ini saat itu tidak langsung dianggap sebagai pencurian.

Peneliti Milk Sad dalam analisis selanjutnya mengakui bahwa saat itu harga bitcoin sedang melonjak dan reward mining pool berhenti, mereka tidak yakin apakah ini ulah hacker atau manajemen Lubian yang menjual di harga tinggi dan merestrukturisasi wallet. Mereka menyatakan, "Jika pencurian terjadi pada 2020, itu akan lebih awal dari timeline serangan weak key Mersenne Twister yang sudah dikonfirmasi, tapi kami tidak bisa menutup kemungkinan itu."

Karena ketidakpastian ini, eksodus dana pada akhir 2020 tidak memicu alarm di industri, dan bitcoin dalam jumlah besar itu tetap diam di blockchain selama bertahun-tahun, menjadi misteri yang belum terpecahkan.

Tidak hanya Lubian yang terkena dampak, tetapi juga Trust Wallet versi lama. Pada 17 November 2022, tim riset keamanan Ledger Donjon pertama kali melaporkan celah random number di Trust Wallet kepada Binance. Tim proyek merespons dengan cepat, keesokan harinya memperbaiki di GitHub dan secara bertahap memberi tahu pengguna yang terdampak.

Namun hingga 22 April 2023, Trust Wallet baru secara resmi mengumumkan detail celah dan langkah kompensasi. Dalam periode ini, hacker telah beberapa kali memanfaatkan celah tersebut, termasuk pada 11 Januari 2023 saat mencuri sekitar 50 bitcoin.

Peringatan yang Terlambat

Pada saat yang sama, celah serupa juga muncul di proyek lain.

Perintah bx seed pada Libbitcoin Explorer versi 3.x menggunakan algoritma pseudo-random MT19937 dengan waktu sistem 32-bit sebagai seed, sehingga ruang kunci yang dihasilkan hanya 2^32 kombinasi.

Hacker segera mulai melakukan serangan percobaan, sejak Mei 2023 muncul beberapa pencurian kecil di blockchain. Pada 12 Juli, serangan mencapai puncaknya, banyak wallet yang dibuat dengan bx dikosongkan sekaligus. Pada 21 Juli, peneliti Milk Sad menemukan akar masalah saat membantu pengguna melacak kerugian, yaitu weak random number pada bx seed memungkinkan private key di-brute force, dan mereka segera melaporkan ke tim Libbitcoin.

Namun karena perintah tersebut dianggap sebagai alat uji coba oleh pengembang resmi, komunikasi awal tidak berjalan lancar. Akhirnya, tim peneliti melewati pihak proyek dan secara terbuka mengungkapkan celah ini pada 8 Agustus serta mengajukan nomor CVE.

Berkat temuan tahun 2023 ini, tim Milk Sad mulai menelusuri data historis secara reverse engineering. Mereka terkejut menemukan bahwa zona weak key yang mengumpulkan dana besar pada 2019-2020 terkait dengan Lubian, dan pada 28 Desember 2020 terjadi transfer besar seperti yang disebutkan di atas.

Saat itu, sekitar 136.951 bitcoin tersimpan di wallet lemah ini, dan transfer massal pada hari itu bernilai sekitar 3,7 miliar dolar AS. Pergerakan terakhir yang diketahui adalah konsolidasi wallet pada Juli 2024.

Dengan kata lain, kejanggalan dalam kasus Lubian baru terungkap setelah celah random number lemah terekspos, dan kesempatan untuk membunyikan alarm pada saat itu sudah hilang, sementara jejak bitcoin yang keluar juga lenyap. Setelah lima tahun, baru kali ini Departemen Kehakiman AS (DOJ) dan otoritas Inggris bersama-sama menuntut Prince Group dan Chen Zhi, sehingga kasus ini mulai terkuak.

Bagi kita, kini pepatah "Not your Wallet, Not Your Money" hanya berlaku jika didasari randomisasi yang benar-benar kuat.