Vào tháng 12/2020, LuBian - một trong những mỏ khai thác Bitcoin lớn nhất thế giới đã bất ngờ biến mất khỏi mạng lưới. Hoạt động tại Trung Quốc và từng chiếm gần 6% tổng hashrate của mạng Bitcoin, LuBian đã gặp phải một sự cố an ninh nghiêm trọng.
Hơn 127.000 BTC (tương đương khoảng 3,5 tỷ USD lúc đó) đã bị rút khỏi ví của họ chỉ trong hai giao dịch.
Không có bất kỳ thông báo chính thức nào được đưa ra. Không có cảnh báo công khai. LuBian chưa bao giờ thừa nhận vụ vi phạm này, và suốt gần 5 năm sau, số tiền bị đánh cắp vẫn bất động trên blockchain.
Vào tháng 8/2025, Arkham Intelligence công bố kết quả một cuộc điều tra on-chain chi tiết, làm sáng tỏ toàn bộ sự việc.
Phân tích cho thấy gì?
Theo Arkham, hơn 90% lượng BTC của LuBian đã bị rút chỉ trong một ngày. Một phần nhỏ khác được chuyển từ ví có liên quan đến giao thức Omni Layer. Chỉ còn khoảng 12.000 BTC được LuBian chuyển đến ví khôi phục mới, và sau đó họ dừng toàn bộ hoạt động.
Tài sản bị đánh cắp — hiện trị giá hơn 14,5 tỷ USD nhờ giá BTC tăng — vẫn chưa được rửa qua mixer hay sàn giao dịch, khiến việc truy vết dễ dàng hơn.
LuBian tăng trưởng thần tốc trong năm 2020
Ra mắt năm 2020, LuBian nhanh chóng trở thành một trong những mỏ khai thác lớn nhất, từng nằm trong top 10 toàn cầu. Hạ tầng của họ trải dài khắp Trung Quốc đại lục và có thể cả Iran.
Tên "LuBian" nghĩa là “vệ đường” trong tiếng Trung, thể hiện sự kín tiếng. Khi họ đột ngột ngừng hoạt động vào đầu 2021, nhiều người cho rằng đó là do Trung Quốc đàn áp hoạt động đào tiền điện tử.
Suy đoán đó đã tồn tại trong nhiều năm cho đến khi Arkham chứng minh ngược lại. Thực tế, sự biến mất của LuBian là hậu quả của một vụ đánh cắp nội bộ lớn.
Cuộc điều tra kỹ thuật của Arkham
Arkham kết hợp phân tích blockchain, phân tích thông điệp và kiểm tra thuật toán tạo khóa riêng để lần ra vụ việc.
Hai giao dịch lớn từ các ví của LuBian chuyển BTC sang các ví không hoạt động trước đó, và số BTC này không hề được sử dụng sau đó.
Một chi tiết đặc biệt là LuBian đã gửi hơn 1.500 giao dịch nhỏ đến các ví của hacker, mỗi giao dịch chứa một thông điệp ẩn trong trường OP_RETURN của Bitcoin. Những thông điệp này là lời cầu xin hoàn trả số tiền, thậm chí đề nghị liên hệ qua email để đàm phán và trao thưởng.
LuBian đã tiêu tốn hơn 1,4 BTC chỉ để gửi các lời nhắn này - một nỗ lực rõ ràng và nghiêm túc nhằm liên lạc với hacker. Tuy nhiên, họ không nhận được phản hồi, và số BTC đánh cắp vẫn chưa di chuyển.
Nguyên nhân vụ đánh cắp: Entropy yếu
Arkham phát hiện lỗ hổng nghiêm trọng trong cách LuBian tạo khóa riêng. Thay vì do malware hay truy cập nội bộ, hacker đã lợi dụng việc LuBian sử dụng thuật toán tạo khóa chỉ có entropy 32-bit — mức ngẫu nhiên hóa quá thấp so với tiêu chuẩn bảo mật hiện nay.
Với không gian khóa chỉ khoảng 4 tỷ khả năng, hacker chỉ cần sức mạnh tính toán tương đối để brute-force ra khóa riêng đúng.
Vụ trộm giá trị lớn nhất lịch sử crypto
Vụ LuBian hiện được coi là vụ đánh cắp tiền điện tử có giá trị lớn nhất từng được ghi nhận tại thời điểm xảy ra.
Dù vụ Mt. Gox năm 2014 mất tới 850.000 BTC, nhưng phần lớn đã được phục hồi và giá trị tổn thất thời điểm đó (khoảng 450 triệu USD) vẫn thấp hơn vụ LuBian.
Vụ Bitfinex 2016 mất 119.756 BTC, vụ Poly Network 2021 mất 610 triệu USD, Ronin Bridge 2022 mất 625 triệu USD, hay FTX năm 2022 mất 400 triệu USD — đều chưa thể so sánh về mặt giá trị hiện tại.
Đặc biệt, nhiều vụ trong số đó đã được phục hồi một phần. Ngược lại, vụ LuBian hoàn toàn bị che giấu cho đến tận năm 2025.
Hacker hiện là holder BTC lớn thứ 13 thế giới
Theo dữ liệu mới nhất từ Arkham, hacker đang giữ số BTC nhiều hơn cả các ví liên quan đến vụ Mt. Gox. Người này hiện đứng thứ 13 trong danh sách những holder lớn nhất thế giới, vị trí thường chỉ dành cho các sàn lớn hoặc các miner đời đầu.
Việc hacker không hề di chuyển số BTC trong suốt 5 năm là điều cực kỳ bất thường. Hầu hết các vụ hack trước đó đều có hoạt động rửa tiền qua mixer, DEX hoặc công cụ bảo mật.
Vụ LuBian chỉ được phát hiện nhờ phân tích sâu của Arkham. Nếu không, rất có thể vụ trộm này sẽ mãi mãi chìm trong im lặng.