12.7 萬枚 BTC 被沒收？安全背後的隨機性生命線

2025 年 10 月 14 日，紐約布魯克林聯邦法院解封了一項起訴書，顯示美國司法部近期開展了一次史上最大規模的加密貨幣查沒行動，沒收了約 12.7 萬枚比特幣，價值逾 150 億美元。

但更令人震撼的細節是，美國執法部門拿到私鑰並非通過破解或黑入系統，而是發現了一個荒唐的事實——這批私鑰生成，從一開始就不是「隨機」的。

可以說，這場由私鑰缺陷引發的百億美元級風波，將行業的焦點從宏觀敘事瞬間拉回到錢包安全最底層的技術細節：隨機性。

12.7 萬枚比特幣的「被盜」羅生門

細看的話，這件涉及約 127271 枚比特幣（價值約 150 億美元）的大案，其實是一出牽扯到「礦池盜竊」的羅生門。

整個事件有兩個關鍵詞：殺豬盤和 Lubian 礦池。

一切的起源，與一個復雜的非法收益洗白鏈條有關，即柬埔寨某殺豬盤組織將詐騙犯罪所得，投向表面合法且自己控制的加密挖礦業務 Lubian 礦池，礦場源源不斷產出新比特幣，原本帶有犯罪污點的黑錢，就被轉換爲新挖出的「幹淨」BTC，從而徹底洗白。

有意思的是，Lubian 在 2020 年一度是全球最大的礦池之一，算力峯值時曾控制着比特幣網路近 6% 的總哈希率，正是這樣一個高調的比特幣挖礦實體，成爲了整個非法洗錢網路的關鍵樞紐。

來源：Arkham

然而，吊詭的是，LuBian 在 2020 年 12 月突然疑似被盜 127,426 枚比特幣。

爲什麼說疑似？因爲 LuBian 和黑客均未公開承認此次黑客攻擊，只有鏈上情報平台 Arkham 首次公開報告此事，且 Lubian 在受創後不久便銷聲匿跡，於 2021 年 2 月突然關閉了礦池業務。

因此，外界一直猜測究竟是外部黑客竊走了黑錢，還是殺豬盤控制人自導自演，將贓款轉移出礦池，試圖制造「被盜」假象，反正無論是何種情況，這批價值連城的比特幣此後在鏈上沉寂了三年多，成爲了一段懸案。

直到 2024 年 7 月，約 127,000 枚 BTC 突然完成了一次大規模集中轉移和歸集，而這些地址經比對，正是 2020 年 Lubian「被盜」資金的去向，細究的話時間點更極其微妙——恰好發生在美國、柬埔寨及東南亞多國執法部門聯合收網的前夕。

而據美國司法部民事沒收訴訟文件中列出 25 個錢包地址，確實與 Lubian 礦池失竊案中的黑客地址高度吻合，換句話說，美國政府認定這些 BTC 並非被黑客盜走，而是詐騙集團及其同夥通過 Lubian 洗錢所得。

來源：Milk Sad

當然真正的謎團在於，雖然該詐騙集團的實際控制人理論上仍未歸案，但美國政府已經掌握了相關私鑰，Cobo 聯合創始人神魚就認爲執法機構並非通過暴力破解或入侵方式獲得私鑰，而是因爲 Lubian 在運營過程中使用了存在嚴重缺陷的僞隨機算法，導致 Lubian 錢包生成的私鑰具備可預測性。

簡言之，這起天價資產的被「沒收」，是私鑰隨機數有漏洞所致，而非比特幣底層機制問題。

隨機性：Crypto 安全背後的數字秩序

那究竟什麼是隨機性？

在區塊鏈世界，私鑰本質上是一個 256 位的二進制數，這個數字大得近乎抽象——理論大小是 2 的 256 次方，遠超宇宙中原子的數量，正是如此，才保證了私鑰被暴力破解的可能性在理論上趨近於零：

隨機性就是生成密鑰、種子或助記詞這個巨型數字的「不可預測性」，換言之，一個安全的私鑰，必須是完全隨機生成的，即從 2 的 256 次方的可能中，真正隨機、均勻地抽取一個。

如果這個抽取過程是完全隨機的，那麼攻擊者想通過枚舉、猜測或重復生成來碰撞到你的私鑰，幾乎是不可能的，但問題在於，一旦隨機性不足時，可預測性就會顯著增加，暴力破解範圍變小，從而讓私鑰易被猜出。

譬如私鑰生成時使用的隨機源（即種子）過於薄弱，來自可預測源（如時間戳、固定硬件計數、易推斷變量）時，就會導致生成的私鑰範圍被縮小到一個可預測、可枚舉的極小集合——有主流錢包就曾在早期版本中就曾被曝出 iOS 版本中使用的某庫，在生產環境下僅依據時間戳作初始熵，導致部分錢包私鑰極易通過暴力搜索還原。

其實弱隨機數所導致的加密資產損失，並非新鮮事，早在 2015 年，黑客組織 Blockchain Bandit 就利用故障的隨機數生成器和程序碼漏洞，系統性地搜尋弱安全私鑰，成功掃出了 70 多萬個脆弱錢包地址，並盜走了其中超過 5 萬枚 ETH。

而據 Milk Sad 研究發現，全面查看 256 位範圍內的錢包歷史時，簡直令人瞠目結舌——在 2020 年 11 月 5 日的歷史高點，該區間弱隨機性錢包上存儲的比特幣累計數量曾超過 53,500 BTC！

更離譜的是，即使漏洞被公開，至今仍有人繼續向這些已知的弱地址轉帳…

總的來看，這類事故並非比特幣協議本身的脆弱，而是實現層（錢包、礦池、密鑰管理系統）在生成私鑰時沒有遵守密碼學級別的熵要求或錯誤遷移了測試代碼到生產環境，從而把原本不可窮舉的保險箱變成了可排查的目標。

如何築牢安全防線？

**由上所述，對錢包來說，安全的關鍵在於是不是「僞隨機」，**只要像 imToken 一樣使用與銀行級安全相同的加密級隨機算法，做到了不可預測、不可復現、不可逆推，就能安全無虞。

值得一提的是，imToken 的私鑰生成邏輯自 2018 年 10 月起就完全開源（TokenCore 代碼庫），其在 Android 和 iOS 系統上，直接調用操作系統底層提供的安全隨機數生成器。

以 iOS 爲例，系統熵（entropy）來源於一段時間內系統內核事件的統計數據，包括觸控輸入、CPU 中斷、時鍾抖動、傳感器噪聲等——這些參數在每一毫秒都不同，連系統自身都無法復現。

因此，imToken 生成的私鑰具備「不可預測、不可復現、不可逆推」的特徵，從熵源層面消除了僞隨機風險，這也是爲什麼 imToken 用戶不會受到 Lubian 事件類漏洞影響的根本原因。

當然，技術安全只是基礎，爲了進一步理解並避免安全風險，以下幾點也至關重要：

1. **優先使用經過時間與社區驗證、開源且經審計的非托管錢包（如 imToken），**有條件的用戶應優先使用硬體錢包（如 imKey），進一步隔離私鑰生成與網路風險。

譬如對於硬體錢包 imKey，隨機性安全更進一步——其私鑰由安全芯片內部的物理真隨機數發生器（True Random Number Generator, TRNG）直接生成，所採用的 Infineon SLE 78CLUFX5000PH 安全芯片（SLE78 系列）更是通過了德國 BSI AIS 31 PTG.2 等級認證，這一標準屬於針對物理熵源的最高級別安全評估，要求隨機源必須經過統計測試、熵建模與在線健康檢測，以確保用於密碼學密鑰生成的隨機性質量。

換句話說，imKey 的私鑰是在安全芯片內部生成、存儲且永不出芯片邊界，其隨機源基於物理噪聲，不依賴任何軟件或外部種子，這意味着即便攻擊者完全掌握設備系統，也無法預測或重現其私鑰。 2. **另外助記詞與私鑰不要截圖、不要復制粘貼、不要存雲盤或聊天記錄，**永遠不要向任何人透露你的助記詞或私鑰；同時建議手寫助記詞，並存放在安全的離線位置，可使用不鏽鋼助記詞板防潮、防火、防腐蝕，且至少在 2~3 個安全地點進行多點備份。 3. **最後還要警惕釣魚與惡意插件，**公鑰可以公開，但訪問錢包或籤名時務必核實連結，避免在設備上安裝未知來源的插件或 App。

結語

客觀而言，在光鮮亮麗的 Crypto 世界中，每一起重大的安全事件，都是一堂昂貴的公共教育課。

甚至可以說，Web3 安全本身就是是一場與時間賽跑、與概率博弈的長期戰爭，我們永遠無法讓風險徹底消失。

但大家可以讓安全邊界不斷前移——每一行代碼、每一個隨機數、每一個用戶的安全習慣，都是這場戰爭中不可或缺的防線。