Эксперты выявили кражу биткоина на $14 млрд 5-летней давности. Что не так

Эксперты выявили кражу биткоина на $14 млрд 5-летней давности
Что не так в истории с кражей более $10 млрд в биткоине у неизвестного крупного майнера, работавшего в Китае и Иране в 2020 году

В декабре 2020 года хакеры взломали кошельки майнингового пула Lubian, выведя почти 127,5 тыс. BTC, оцениваемые в $14,5 млрд по курсу на начало августа 2025 года. Об этом написала в Х аналитическая платформа Arkham со ссылкой на собственное исследование, но официального подтверждения их версии нет.

Сообщение привлекло внимание общественности из-за колоссального объема и того, что до начала августа 2025 года никто не сообщал о взломе. Lubian являлся малоизвестным пулом, который стал одним из крупнейших для майнинга биткоина с весны 2020 года по начало 2021 года. По сообщениям тех лет, он был открыт только для частных клиентов и обслуживал майнеров из Китая и Ирана. Пул появился на рынке майнинга, так же как и пропал, практически в одночасье.

Майнинг-пул — это объединение майнеров, которые складывают мощности и делят награду в равной пропорции. Дело в том, что на текущий момент к сети первой криптовалюты подключены сотни тысяч устройств и даже больше, поэтому одиночному майнеру сложно вносить весомый вклад в добычу блоков и обработку транзакций. Есть вероятность, что одиночный майнер никогда не найдет блок даже при учете колоссальных затрат на оборудование и электричество.

На момент предполагаемого взлома биткоины Lubian оценивались в $3,5 млрд. Однако с ростом цены главной криптовалюты Arkham определили запасы возможного хакера на 13-е место в списке крупнейших держателей биткоина в мире. Аналитики уточнили, что на адресах, контролируемых Lubian, осталось около 11,9 тыс. биткоинов ($1,35 млрд). Ни хакер, ни Lubian не продавали и практически не перемещали биткоины с момента вероятного взлома.

«Lubian сохранил 11 886 BTC, в настоящее время оцениваемые в $1,35 млрд, и до сих пор хранит их. Хакер также до сих пор хранит украденные BTC, а его последнее известное перемещение — консолидация кошельков в июле 2024 года», — написали аналитики.

В качестве аргумента к возможной атаке на пул Arkham привело следующее наблюдение: «Каждый адрес хакера получил сообщение, в котором Lubian просит вернуть средства. Lubian потратил 1,4 BTC [около $160 тыс.] на 1516 различных транзакций для отправки этих сообщений. Это говорит о том, что это не подделка от другого хакера, взломавшего приватные ключи».

Существуют различные методы и сервисы, позволяющие отправлять сообщения к транзакциям в биткоине, например использование функции Op_Return в скриптах или использование сторонних сервисов, которые предоставляют возможность отправки зашифрованных сообщений вместе с транзакциями.

Согласно предоставленным Arkham транзакциям, приведенным в качестве примера, Lubian разослал сообщения только в июле 2024 года.

Эксперты добавили, что Lubian мог использовать алгоритм генерации приватных ключей, уязвимый к атакам методом подбора — это и стало возможной причиной потери средств пулом.

Взлом приватного ключа биткоина методом подбора (брутфорс) практически невозможен из-за криптографической сложности. Однако есть некоторые сервисы и алгоритмы, пренебрегающие безопасностью при создании новых адресов.

Так, например, в 2022 году криптокошелек Trust Wallet позволял пользователям создавать легко взламываемые адреса, где злоумышленник, зная только публичный адрес держателя криптовалюты, мог подобрать секретный ключ и получить доступ к кошельку и средствам на нем.

Что такое Lubian
В середине мая 2020 года майнинговый пул Lubian занял шестую строчку в рейтинге крупнейших пулов с долей около 6% мощности. Как сообщало старейшее китайское издание на тему криптовалют 8btc, в пуле доминировали майнеры из Китая. Однако соучредитель Лю Пин рассказал изданию, что они выходят на рынок Ирана, заявляя о связях с правительственными организациями для налаживания бизнес-процессов:

«У нас есть собственные каналы таможенного оформления из-за имеющегося опыта создания логистической компании. Кроме того, у нас есть хорошие местные ресурсы в Иране — мы поддерживаем хорошие отношения с Министерством энергетики, Министерством иностранных дел и даже с армией Ирана».

Тогда же Лю Пин сообщил, что у Lubian есть четыре партнера-акционера, которые контролируют все вычислительные мощности и никогда не принимают участия в какой-либо другой деятельности на крипторынке. И помимо собственной майнинговой фермы в Иране Lubian также имел мощности в китайской провинции Сычуань.

«В настоящее время их цель — только майнинг и накопление биткоинов», — отметил Пин относительно майнеров, которых они обслуживали.

В публичном пространстве пул Lubian появился как раз в мае 2020 года, примерно в то же время, когда издание 8btc опубликовало информацию о них. Эксперты пришли к выводу, что ранее это был крупный частный пул, вышедший в публичное поле. Как отметила партнер криптофонда Primitive Crypto Дови Ван:

«Сегодня новый загадочный пул только что появился в топ-10. Должно быть, это был частный пул, прежде чем он стал публичным, поскольку хешрейт не показал никаких изменений».

Хешрейт — термин, используемый для измерения мощности устройств (оборудования), которые задействованы в процессе майнинга. Если бы это был новый пул с новыми мощностями, то это отразилось бы на показателях. Однако появление Lubian с 6% мощности не изменило общие показатели сети — на этом и строится вывод Дови Ван, что пул работал и ранее, но в частном порядке.

Появление этого пула совпало с тем, что власти Ирана выдали промышленным электростанциям разрешение на майнинг биткоина, где от майнеров требовали получение лицензии и соблюдения установленных в стране тарифов.

Нестыковки
Учитывая особенности работы майнинговых пулов, следует понимать, что они хоть и хранят криптовалюту своих участников, но время от времени распределяют накопленные активы среди майнеров. А заработок пула заключается в незначительной комиссии за операционную деятельность.

Также стоит отметить, что 11 мая, как раз во время появления пула Lubian в публичном пространстве, в сети биткоина произошел халвинг, который вдвое снизил награду майнеров за блок, до 6,25 BTC. Это значит, что в день тогда стало добываться примерно по 900 BTC.

Сюда же стоит привести данные о датах работы пула — согласно Nakamoto.observer, он работал с 16 мая 2020 года по 1 марта 2021 года. То есть как минимум три месяца после взлома.

Халвинг — это запланированное и запрограммированное в коде биткоина событие. Новые биткоины создаются майнерами, чьи компьютеры выполняют сложные вычисления, подтверждающие транзакции в публичном реестре — блокчейне.

И если использовать данные Национального бюро экономических исследований США в отчете «Блокчейн-анализ рынка биткоина» за октябрь 2021 года, где исследователи отметили, что Lubian добыл 13 279 BTC, то это примерно сходится с возможностями за время публичной работы пула. Ведь доля хешрейта пула находилась в пределах 6%, а всего биткоинов всеми майнерами было добыто около 261 тыс. (около 900 BTC в день, умноженные на 290 дней работы Lubian), что находится в диапазоне до 15 660 BTC.

Если взять ту же долю хешрейта в сети у Lubian (до 6%), то оставшиеся примерно 125 тыс. BTC (предположительно, украденные плюс оставшиеся на кошельках пула — всего 139 400, по оценке Arkham) им бы пришлось добывать около трех лет. Цифра взята из расчета, что до халвинга, то есть до 11 мая 2020 года, добывалось по 1800 BTC в сутки. Это значит, что примерно 125 тыс. BTC при доле хешрейта 6% при беспрерывном майнинге добывались бы около 1160 дней.

То есть, если следовать оценкам Arkham, управляющие пулом Lubian хранили весь добытый биткоин по крайней мере три года или же создавали через небезопасное программное обеспечение адреса для всех своих клиентов все это время. И эти же клиенты в этом случае просто хранили биткоины на своих адресах без действия. И только спустя более трех лет (в июле 2024 года) они начали рассылать сообщения с просьбой вернуть средства.

За пять лет никто до Arkham не проводил расследование этого дела, и на текущий момент никто не проверил выводы аналитиков. Другие аналитические сервисы не помечали связанные с Lubian биткоины как украденные, хотя они обычно максимально чувствительны к подобным инцидентам, проводя разметку грязной криптовалюты в оперативном порядке. Так было, например, в случае взлома биржи Bybit на $1,5 млрд в начале 2025 года — взлом этой биржи пока остается официально крупнейшим в истории крипторынка по сумме потерь.