China beschuldigt die USA, den Mining-Pool LuBian gehackt zu haben

Im Dezember 2020 sollen dem chinesischen Mining-Pool LuBian etwas mehr als 127.000 Bitcoin gestohlen worden sein. Die Blockchain-Analysefirma Arkham Intelligence deckte diesen Umstand im August dieses Jahres erstmals auf.

Es wurde anscheinend eine Systemschwäche des Pools ausgenutzt, wodurch innerhalb von circa zwei Stunden 90 Prozent der Assets von LuBian entwendet werden konnten. Alle verdächtigen Transaktionen wiesen identische Transaktionsgebühren auf, was darauf hindeutet, dass der Diebstahl mithilfe eines automatisierten Batch-Transfer-Skripts durchgeführt wurde.

Der Pool-Betreiber sendete über OP_RETURN-Transaktionen daraufhin sogar mehr als 1.500 Nachrichten an den mutmaßlichen Angreifer und forderte vergeblich die Rückgabe der Coins. Dabei wurde auch versprochen, über eine Belohnung zu verhandeln.

Am 14. Oktober dieses Jahres verkündete das US-Justizministerium schließlich, 127.271 BTC von der Prince Holding Group, einem betrügerischen Firmenkonglomerat mit Sitz in Kambodscha, konfisziert zu haben. Der Mann hinter dem Betrugssystem war der in China geborene Chen Zhi, der noch nicht gefasst wurde.

In der Anklageschrift hieß es, dass unter anderem das in China ansässige Unternehmen LuBian dafür eingesetzt wurde, die illegalen Erlöse des Scam-Netzwerks zu waschen. Dafür spricht die Tatsache, dass der Pool nach dem vermeintlichen Hack seinen Betrieb einstellte.

Schon bei der Mitteilung zur Konfiszierung der Coins war unklar, ob LuBian diesen Hack lediglich vorgetäuscht hatte oder ob die USA selbst die Coins im Jahr 2020 entwendet hatten. Der am Sonntag veröffentlichte Report des chinesischen „National Computer Virus Emergency Response Center (CVERC)“ argumentiert nun für Letzteres.

Die chinesische Behörde suggeriert in dem Report, der Hack sei von einer „staatlichen Hackerorganisation“ durchgeführt worden, und deutet an, dass die Beschlagnahmung durch die USA Teil einer größeren Operation derselben Angreifer gewesen sei.

Die US-Regierung könnte die 127.000 Bitcoins, die sich im Besitz von Chen Zhi befanden, bereits 2020 durch Hacking-Techniken gestohlen haben – ein klassischer Fall eines staatlich geförderten Doppelagentenangriffs, orchestriert von einer nationalen Hackerorganisation.
^{Aus dem Bericht}

Um dies zu untermauern, wird in dem Bericht auf die Tatsache verwiesen, dass die Coins nach dem Hack für fast vier Jahre nicht weiter bewegt wurden, was auf eine „Hackerorganisation auf staatlicher Ebene“ schließen lassen würde. Normalerweise, so die Begründung, würden durch Hacks entwendete Coins nämlich schnell liquidiert werden.

Im Juni 2024 wurden die Coins schließlich auf neue Adressen transferiert, die jetzt den USA zugeordnet werden. Und erst mehr als ein Jahr später gab es die offizielle Mitteilung, dass diese Coins konfisziert worden waren.

In dem Bericht wird zudem erklärt, dass die privaten Schlüssel mit einem zu geringen Zufallsmechanismus erzeugt wurden – 32 Bit anstatt der üblichen 256 Bit –, was den Hack mittels „Brute-Force-Angriff“ ermöglicht habe.

Doch die chinesische Behörde stellt nicht nur in den Raum, dass die USA für den Hack verantwortlich waren. In dem Report wird auch angezweifelt, dass die Gelder des Mining-Pools aus illegalen Erlösen stammten.

Das CVERC nahm eine forensische Analyse vor, um die Herkunft der Coins zurückzuverfolgen. Das Ergebnis: Etwa 17.800 BTC entstammen dem Mining-Betrieb, rund 2.300 BTC aus Pool-Auszahlungen und mehr als 107.000 Coins von Börsen und anderen Kanälen.

Vorläufige Ergebnisse widersprechen der Behauptung des US-Justizministeriums in der Anklageschrift, dass alle Gelder aus illegalen Erlösen stammten, heißt es in dem CVERC-Bericht.

Die USA behaupten, dass die Beschlagnahmung der Bitcoin eine legitime Strafverfolgungsmaßnahme gewesen sei. In China hingegen scheint es als provokativer Akt betrachtet zu werden, weshalb Medien in dem Kontext davon sprechen, dass sich dadurch die Spannungen zwischen den beiden Nationen verschärfen würden.

In dem Report der chinesischen Behörden wird jedoch nicht gefordert, dass die Coins zurückgegeben werden oder Ähnliches. Dafür gibt es jedoch Empfehlungen, wie sich Schwachstellen bei der Aufbewahrung von Bitcoin verhindern lassen – etwa durch die Nutzung von MultiSig oder Cold-Storage. Für Mining-Pools empfiehlt der Bericht die Integration von Echtzeit-On-Chain-Überwachung und Warnsystemen für ungewöhnliche Transfers.

Das US-Justizministerium behauptete überdies auch gar nicht, dass alle Gelder von LuBian kriminell erlangt wurden, sondern lediglich, dass der Mining-Pool eingesetzt wurde, um die Gelder der Prince Holding Group zu waschen.

Nur etwa 30 % der Gelder auf LuBians Adressen stammten aus neu geschürften Bitcoin – ein höchst ungewöhnliches Muster, das auf eine Vermischung von Geldern zum Zweck der Geldwäsche hindeutet. […] Chen und seine Mitverschwörer kombinierten außerdem systematisch illegale Gelder mit neu geschürften Kryptowährungen in Wallets, die mit Mining-Aktivitäten in Verbindung standen, um die Herkunft dieser Gelder zu verschleiern.
^{Aus der Anklageschrift}

Der vermeintliche Hack des Mining-Pools LuBian ist und bleibt ein Mysterium. Dazu, wie und wann die US-Behörden an die Coins gekommen sind, gab es bislang keine Auskunft. Ob in China nun Schritte unternommen werden, um die konfiszierten Coins zurückzufordern, ist zum aktuellen Zeitpunkt noch unklar. Denn auch die Tatsache, dass LuBian Teil eines betrügerischen Konglomerats war, wird von der chinesischen Behörde nicht bestritten.