Khi số ngẫu nhiên không còn ngẫu nhiên: Sự thật về 120.000 BTC bị đánh cắp

Nguồn gốc văn bản: Max He@Safeheron Lab

Gần đây, cộng đồng tiền điện tử đã thảo luận sôi nổi về một tin tức lớn: Cơ quan thực thi pháp luật Hoa Kỳ dường như đã có trong tay khóa riêng của khoảng 120.000 Bitcoin từ lần chuyển nhượng bí ẩn vào năm 2020, có giá trị lên tới 15 tỷ USD. Theo báo cáo của Elliptic, những tài sản này ban đầu có liên quan đến mỏ khai thác Lubian.com và sau đó đã bị Bộ Tư pháp Hoa Kỳ chính thức tịch thu. Nhiều người bên ngoài suy đoán rằng các cơ quan thực thi pháp luật có thể đã tận dụng sự thiếu sót trong số ngẫu nhiên khi tạo ví để tái tạo hoặc tiếp quản khóa riêng, cũng có ý kiến cho rằng đây là một hành động phá mã công nghệ do chính phủ Hoa Kỳ dẫn dắt.

Thông điệp này được phát ra đã gây ra một cơn chấn động mạnh mẽ trong toàn ngành công nghiệp tiền điện tử, nhanh chóng trở thành chủ đề trung tâm trong ngành. Không chỉ dấy lên cuộc thảo luận rộng rãi về mặt công nghệ và an ninh, mà còn khiến các nhà đầu tư lo ngại mới về tính đáng tin cậy và phòng ngừa rủi ro của tài sản tiền điện tử. Bài viết này sẽ từ hai góc độ công nghệ và sự thật, hệ thống hóa sự kiện này và nguồn gốc an ninh phía sau nó, phân tích sâu sắc các chi tiết kỹ thuật chính, nhìn lại toàn bộ diễn biến của sự kiện và thảo luận về những ảnh hưởng sâu xa có thể xảy ra.

Số ngẫu nhiên và bảo mật khóa riêng: Đường sống của thế giới blockchain

Trong thế giới blockchain, số ngẫu nhiên được coi là nền tảng của sự an toàn trong mã hóa. Mỗi khóa riêng của ví Bitcoin hoặc Ethereum đều được tạo ra từ số ngẫu nhiên - một khi số ngẫu nhiên thiếu đi “tính ngẫu nhiên” đủ, hacker có thể dự đoán được khóa riêng và từ đó trực tiếp đánh cắp tài sản kỹ thuật số. Để hiệu quả né tránh rủi ro này, ví phải sử dụng bộ tạo số ngẫu nhiên an toàn về mặt mật mã (CSPRNG) để đảm bảo số ngẫu nhiên được tạo ra thực sự không thể đoán trước và không thể tái tạo.

Những ví dựa vào các thuật toán ngẫu nhiên không an toàn, bề ngoài có vẻ hoạt động bình thường, nhưng thực tế lại ẩn chứa nguy cơ: một khi tính ngẫu nhiên bị dự đoán thành công, việc mất tài sản sẽ trở nên không thể đảo ngược.

Lịch sử tái diễn: Những bài học từ nhiều sự kiện an ninh lớn

Trong khoảng thời gian từ năm 2022 đến năm 2023, nhiều sự kiện an ninh nghiêm trọng đã được công bố do lỗ hổng số ngẫu nhiên tương tự, làm nổi bật tính nghiêm trọng và phổ biến của vấn đề này.

Sự kiện an ninh 1: Bài học đau đớn từ Wintermute với tổn thất 160 triệu USD

Vào ngày 20 tháng 9 năm 2022, nhà tạo lập thị trường nổi tiếng Wintermute đã gặp phải một sự cố an ninh nghiêm trọng, khoảng 160 triệu đô la tài sản kỹ thuật số đã bị đánh cắp. Kẻ tấn công đã khéo léo tận dụng điểm yếu của công cụ tạo địa chỉ Profanity - công cụ này trong một số cách sử dụng dựa vào Mersenne Twister (MT19937) như một nguồn số ngẫu nhiên giả để tạo ra “địa chỉ đẹp”.

Do vì đầu ra của MT19937 có tính dự đoán trong trường hợp thiếu sự tiêm đủ entropy, kẻ tấn công có thể tái tạo một phần quy trình tạo địa chỉ/khóa riêng, từ đó tính toán thành công khóa riêng tương ứng và chuyển tiền. Vụ việc này trở thành sự kiện biểu tượng đầu tiên trong lịch sử tiền mã hóa do sự lạm dụng số ngẫu nhiên dẫn đến việc ví cấp tổ chức bị khai thác, đánh dấu rằng vấn đề ngẫu nhiên đã từ sự sơ suất đơn thuần của nhà phát triển tiến hóa thành rủi ro an ninh hệ thống.

Về cuộc tấn công này, Safeheron đã phân tích chi tiết các kỹ thuật tấn công và tái hiện quá trình tấn công.

Sự kiện an toàn 2: Khủng hoảng niềm tin do lỗ hổng số ngẫu nhiên của Trust Wallet gây ra

Vào tháng 4 năm 2023, các nhà nghiên cứu bảo mật phát hiện ra rằng phiên bản mở rộng trình duyệt Trust Wallet (phiên bản 0.0.172–0.0.182) đã sử dụng một hàm ngẫu nhiên không an toàn về mặt mật mã để tạo ra cụm từ khôi phục ví, mà dựa vào thuật toán số ngẫu nhiên giả Mersenne Twister (MT19937) (như hình dưới đây), với không gian ngẫu nhiên chỉ khoảng 2^32 khả năng, không đủ để chống lại các cuộc tấn công brute-force.

Kẻ tấn công có thể liệt kê tất cả các kết hợp từ khóa trong một thời gian ngắn, từ đó tái tạo khóa riêng và đánh cắp tài sản của người dùng. Trust Wallet chính thức phát hành thông báo, xác nhận sự tồn tại của lỗ hổng và khẩn cấp cảnh báo người dùng bị ảnh hưởng kịp thời di chuyển tài sản. Theo tuyên bố chính thức từ diễn đàn cộng đồng dự án, lỗ hổng này đã dẫn đến tổn thất tiềm năng khoảng 170.000 đô la, do kẻ tấn công có thể đã thành công trong việc lợi dụng lỗ hổng này để thực hiện các cuộc tấn công có mục tiêu.

Sự kiện này trở thành trường hợp lỗi số ngẫu nhiên đầu tiên ảnh hưởng đến người dùng cuối của ví chính thống, đồng thời cũng khiến vấn đề “an toàn số ngẫu nhiên” lần đầu tiên thu hút sự chú ý lớn từ công chúng.

Sự kiện an ninh 3: Libbitcoin Explorer (bx seed) sự kiện số ngẫu nhiên yếu

Vào tháng 8 năm 2023, nhóm nghiên cứu an ninh Distrust thông báo đã phát hiện ra lỗ hổng nghiêm trọng về số ngẫu nhiên trong công cụ dòng lệnh Libbitcoin Explorer (bx) phiên bản 3.x. Công cụ này khi thực hiện lệnh bx seed để tạo ra hạt giống ví cũng sử dụng bộ sinh số ngẫu nhiên giả Mersenne Twister (MT19937) và chỉ sử dụng thời gian hệ thống làm nguồn hạt giống, dẫn đến tính ngẫu nhiên cực thấp và đầu ra có thể dự đoán. Kẻ tấn công có thể liệt kê tất cả giá trị hạt giống trong một khoảng thời gian giới hạn, từ đó tái tạo khóa riêng của ví và trực tiếp đánh cắp tài sản.

Lỗi này ảnh hưởng đến tất cả người dùng tạo ví bằng Libbitcoin Explorer 3.x và các ứng dụng liên quan dựa vào thư viện libbitcoin-system 3.6. Tính đến tháng 8 năm 2023, đã có hơn 900.000 USD tài sản tiền điện tử bị đánh cắp do lỗi này. Sau khi lỗi được công bố, nó đã được chính thức đăng ký là CVE-2023-39910.

Mặc dù Libbitcoin-explorer đã kịp thời được vá lỗi bảo mật đúng cách, nhưng mọi chuyện không dừng lại ở đó.

Tảng băng khổng lồ nổi lên mặt nước

Sau khi sự cố bảo mật được công bố trong Libbitcoin Explorer 3.x, một nhóm các nhà nghiên cứu mũ trắng do đội Distrust dẫn dắt đã thành lập dự án MilkSad, tiếp tục theo dõi ảnh hưởng của các lỗ hổng và thúc đẩy phản ứng của cộng đồng.

Đến năm 2024, các nhà nghiên cứu lần đầu tiên hệ thống hóa các cơ chế tạo ra những “ví yếu” này, loại ví và cách cấu hình bộ tạo số ngẫu nhiên giả (PRNG), đồng thời tiết lộ mối liên hệ tiềm năng giữa chúng và các mỏ Bitcoin Lubian.com cũng như đặc điểm phân phối của các quỹ liên quan.

Năm 2025, với sự giúp đỡ của một manh mối quan trọng từ một nhà nghiên cứu mũ trắng ẩn danh, công việc phân tích đã đạt được bước đột phá sau thời gian dài bị đình trệ. Nhóm MilkSad phát hiện phần mềm bị ảnh hưởng đã đưa vào một tham số mới - độ lệch PRNG (offset) khi tạo ra khóa riêng, phát hiện này đã cho phép các nhà nghiên cứu tái liên kết các nhóm ví phân tán trước đó, tiết lộ ra mô hình tạo số ngẫu nhiên thống nhất đứng sau. Phát hiện này trở thành chìa khóa để hiểu nguyên nhân của toàn bộ sự kiện “ví yếu”.

Theo phân tích sâu hơn của nhóm, 2,630 ví vấn đề được phát hiện ban đầu vào năm 2023 chỉ là phần nổi của tảng băng. Bằng cách tìm kiếm trong các đoạn khác nhau của đầu ra PRNG, các nhà nghiên cứu hiện đã thành công trong việc tái cấu trúc và xác định hơn 227,200 ví độc lập (như hình dưới đây), tất cả đều có hồ sơ sử dụng hợp lệ trên mạng chính, tạo thành cụm “ví ngẫu nhiên yếu” lớn nhất cho đến nay.

Dữ liệu trên chuỗi cho thấy, nhóm ví được tạo ra từ lỗi số ngẫu nhiên này nắm giữ khoảng 137.000 Bitcoin (BTC). Vào ngày 28 tháng 12 năm 2020, trong vòng chỉ hai giờ, các ví này đã bị tập trung xóa sạch, số dư giảm mạnh từ 137.000 xuống còn chưa đầy 200, trong đó khoảng 9.500 BTC đã được chuyển đến địa chỉ thanh toán của mỏ Lubian, khoảng 120.000 BTC còn lại được suy đoán đã chuyển vào ví do kẻ tấn công kiểm soát. Tất cả các giao dịch nghi vấn đều sử dụng cùng một mức phí, thể hiện rõ đặc điểm chuyển đổi tự động hàng loạt.

Vụ việc sau đó đã xuất hiện những manh mối quan trọng mới, xác nhận thêm sự tồn tại thực sự của sự kiện bị đánh cắp quy mô lớn này. Các nhà nghiên cứu đã phát hiện ra rằng, trên mạng Bitcoin chính, một số ví bị thiệt hại vẫn có hoạt động giao dịch bất thường vào ngày 3 tháng 7 năm 2022 và ngày 25 tháng 7 năm 2024. Những giao dịch này đã nhúng thông tin hoàn toàn giống nhau qua cơ chế OP_RETURN:

「MSG từ LB. Đến người trắng mũ đang cứu tài sản của chúng tôi, bạn có thể liên hệ với chúng tôi qua [email protected] để thảo luận về việc trả lại tài sản và phần thưởng của bạn.」

Các nhà nghiên cứu suy đoán rằng “LB” có thể đại diện cho Lubian.com, trong khi “saving our asset” có thể ám chỉ đến sự kiện chuyển tiền quy mô lớn vào ngày 28 tháng 12 năm 2020. Những thông tin này đã được phát đi nhiều lần đến các địa chỉ khác nhau, dường như là một nỗ lực từ phía Lubian để thiết lập liên hệ với những “người hùng trắng” đang nắm giữ tài sản, nhằm thảo luận về việc hoàn trả tài sản và những nỗ lực công khai để thưởng.

Tuy nhiên, do các khóa riêng của những ví này đã rơi vào trạng thái bị lộ, về lý thuyết bất kỳ ai cũng có thể thực hiện giao dịch hoặc ghi chép tin nhắn từ những địa chỉ này, vì vậy hiện tại vẫn không thể xác nhận chắc chắn thông tin này có thực sự xuất phát từ đội ngũ Lubian hay chỉ là một hoạt động gây nhầm lẫn hoặc trò đùa.

Đến đây, phần chính của tảng băng cuối cùng cũng nổi lên mặt nước - sự cố an ninh quy mô lớn nhất và có ảnh hưởng sâu sắc nhất trong lịch sử Bitcoin, phát sinh từ một lỗ hổng hệ thống do lỗi số ngẫu nhiên.

Chi tiết kỹ thuật: Quy trình hoàn chỉnh để bẻ khóa 220.000 ví BTC

Vậy thì, 220.000 ví BTC ngẫu nhiên yếu này được tạo ra như thế nào? Hãy để chúng tôi giới thiệu chi tiết quy trình tìm kiếm công nghệ cụ thể.

Bước đầu tiên: Chọn cùng một bộ sinh số ngẫu nhiên giả (PRNG) MT19937 để tạo ra số ngẫu nhiên. Nhấn mạnh một lần nữa, PRNG này hoàn toàn không có tính bảo mật mật mã.

Bước hai: Sử dụng hạt giống entropy cực thấp (0～2^32-1) để khởi tạo MT19937. Những khóa riêng BTC này có thể được suy đoán một cách nhanh chóng như vậy, hạt giống entropy thấp là kẻ thủ phạm lớn nhất.

Bước ba: MT19937 xuất ra một số nguyên 32 bit mỗi vòng, nhưng không sử dụng tất cả, chỉ chọn 8 bit cao nhất, có nghĩa là mỗi vòng MT19937 sẽ nhận được một byte.

Bước thứ tư: giới thiệu đặc điểm OFFSET để mở rộng phạm vi khóa riêng. Cần biết rằng hạt giống khóa riêng BTC có kích thước 32 byte (tương đương với 24 từ ghi nhớ, tức 256 bit), 32 byte này được lấy từ vòng thứ (32* OFFSET) đến vòng thứ (32 * OFFSET + 31), từ đó tạo ra hạt giống khóa riêng BTC. Cần lưu ý rằng hạt giống khóa riêng BTC có kích thước 32 byte, cụ thể là:

(1) Vòng 0 đến 31, xuất 32 byte khóa riêng.

(2) Vòng 32 đến 63, xuất ra khóa riêng 32 byte.

(3) Vòng 32 * 2 ～ 95, xuất 32 byte khóa riêng.

(4) Tương tự như vậy, OFFSET có thể lấy tối đa là 3232.

Bước 5: Dựa trên hạt giống khóa riêng, sử dụng thuật toán sinh ví BIP32 công khai, áp dụng đường dẫn sinh m/49'/0'/0'/0/0 để sinh cặp khóa công khai và khóa riêng con.

Bước 6: Dựa trên khóa công khai con, tạo địa chỉ ví loại P2WPKH-nested-in-P2SH có tiền tố là 3.

Bước bảy: Nếu địa chỉ được tạo ra thực sự có lịch sử sử dụng trên chuỗi, điều này có nghĩa là đã tìm thấy ví ngẫu nhiên yếu thành công, hãy ghi lại địa chỉ ví và khóa riêng tương ứng.

Toàn bộ quá trình tìm kiếm ở trên là xác định, biến duy nhất là sự lựa chọn của hạt giống có entropy thấp, với tổng cộng 2^32 khả năng, điều này thấp hơn rất nhiều so với không gian khóa riêng BTC là 2^256, vì vậy có thể thu được tất cả 220.000 ví ngẫu nhiên yếu và khóa riêng tương ứng của chúng thông qua tìm kiếm brute force.

Diễn biến toàn bộ câu chuyện

Hãy để chúng ta tổng hợp lại toàn bộ quá trình phát triển của sự kiện.

Vào nhiều năm trước (có thể truy ngược lại từ năm 2018), một số dự án tài sản số trong quá trình phát triển đã vô tình giới thiệu một bộ sinh số ngẫu nhiên giả (PRNG) không có tính bảo mật mật mã và áp dụng nó vào quy trình tạo khóa riêng của ví - một khía cạnh cực kỳ nhạy cảm. Do các nhà phát triển thời điểm đó thiếu hiểu biết về tính bảo mật mật mã, lỗi này đã không được phát hiện vào thời điểm đó, nhưng đã đặt ra một mối nguy hiểm về an ninh cho những lỗ hổng quy mô lớn sau này.

Thật không may, theo thời gian, vấn đề này dần được các hacker phát hiện và khai thác một cách độc ác. Các nhóm tấn công khác nhau đã lần lượt tiến hành nhiều sự kiện tấn công nổi tiếng dựa trên cùng một nguyên lý - bao gồm vụ đánh cắp của Wintermute, sự cố lỗ hổng số ngẫu nhiên của Trust Wallet, và sự cố ví yếu Libbitcoin, v.v. Những cuộc tấn công này đã gây ra thiệt hại tài sản lên đến hàng triệu đô la, và cũng khiến “an toàn số ngẫu nhiên” - một chi tiết kỹ thuật vốn bị bỏ quên - trở thành tâm điểm của ngành.

Các nhà nghiên cứu khi phân tích các đặc điểm chung của những sự kiện này đã phát hiện ra rằng tất cả các ví bị tổn thương đều có những khiếm khuyết ngẫu nhiên tương tự, và tiếp tục truy ngược về một sự kiện bị đánh cắp tại mỏ Lubian trước đó. Qua nghiên cứu sâu, họ xác nhận rằng các ví được sử dụng bởi Lubian cũng phụ thuộc vào cơ chế sinh số ngẫu nhiên không an toàn, là một phần của nhóm “ví yếu” này. Phân tích hệ thống sau đó tiết lộ một sự thật gây kinh ngạc hơn: toàn bộ mạng lưới có khoảng 220.000 ví ngẫu nhiên yếu, liên quan đến tổng số tiền 120.000 BTC, tạo thành sự kiện an ninh số ngẫu nhiên lớn nhất và có ảnh hưởng sâu rộng nhất cho đến nay.

Về những thông tin lan truyền bên ngoài rằng “Bộ Tư pháp Hoa Kỳ đã dẫn dắt vụ hack Lubian.com”, nguyên nhân chính chủ yếu xuất phát từ một sự thật tế nhị: trong quá trình Bộ Tư pháp chính thức can thiệp để xử lý các tài sản liên quan, một địa chỉ Bitcoin liên quan đến Lubian, vốn lâu nay không có hoạt động, bỗng nhiên xảy ra chuyển nhượng tài sản quy mô lớn. Sự trùng hợp về thời điểm này với các địa chỉ trên chuỗi đã khiến nhiều quan sát viên nghi ngờ, cho rằng chính phủ có thể đã sử dụng phương pháp bẻ khóa bằng bạo lực để khôi phục các khóa riêng liên quan. Cũng có một khả năng khác - chính phủ Hoa Kỳ không trực tiếp bẻ khóa bằng bạo lực khóa riêng, mà kiểm soát cá nhân hoặc thực thể nắm giữ khóa riêng, từ đó thúc đẩy việc chuyển tiền.

Mặc dù lô ví này thuộc về loại ví ngẫu nhiên yếu có thể bị tấn công, khóa riêng của chúng về lý thuyết có thể được tái tạo bằng các phương pháp kỹ thuật, nhưng cho đến nay, vẫn chưa có bất kỳ bằng chứng công khai và có thể xác minh nào chứng minh rằng chính phủ Mỹ đã dẫn dắt các hành động “bẻ khóa” tương ứng với khóa riêng. Trừ khi các cơ quan liên quan chính thức thừa nhận sự can thiệp của công nghệ, nếu không, toàn bộ quá trình thực sự của sự kiện này sẽ vẫn được bao trùm trong bí ẩn.

Làm thế nào để có được số ngẫu nhiên an toàn về mặt mật mã?

Ngày nay, chúng ta đã nhận thức được tầm quan trọng của số ngẫu nhiên an toàn, vậy trong phát triển và ứng dụng thực tế, làm thế nào để lấy được số ngẫu nhiên một cách đúng đắn? Cần tuân thủ một số nguyên tắc sau:

(1) Ưu tiên sử dụng giao diện an toàn do hệ điều hành cung cấp, dựa trên hồ entropy của hệ thống để tạo ra số ngẫu nhiên.

(2) Sử dụng nguồn entropy phần cứng an toàn khi có điều kiện, chẳng hạn như các lệnh số ngẫu nhiên phần cứng của CPU Intel SGX.

(3) Trong bối cảnh MPC, có thể kết hợp nhiều nguồn entropy để nâng cao tính an toàn tổng thể, chẳng hạn như kết hợp bể entropy của hệ thống Linux với số ngẫu nhiên phần cứng của CPU Intel SGX, nhằm tránh rủi ro từ việc nguồn entropy đơn lẻ bị hỏng hoặc bị dự đoán.

(4) Sử dụng giao diện sinh số ngẫu nhiên an toàn từ các thư viện mật mã đã được xác thực rộng rãi, chẳng hạn như libsodium, BoringSSL, OpenSSL, v.v.

(5) Đảm bảo entropy hạt giống không ít hơn 128–256 bit, cấm sử dụng timestamp, process ID và các nguồn entropy thấp khác làm hạt giống.

(6) Nghiêm cấm sử dụng bộ sinh số ngẫu nhiên giả không an toàn về mật mã (không phải CSPRNG), ví dụ như Mersenne Twister (MT19937), Math.random(), rand().

Ưu điểm của việc kết hợp nhiều nguồn entropy trong MPC

So với hệ thống đơn phương, MPC có lợi thế hợp nhất entropy tự nhiên: Mỗi bên tham gia có thể cung cấp nguồn entropy ngẫu nhiên độc lập, kết quả ngẫu nhiên cuối cùng được tạo ra bởi các bên cùng nhau. Chỉ cần một trong số các bên giữ trung thực, tính ngẫu nhiên của toàn bộ hệ thống sẽ không thể bị dự đoán hoặc thao túng. Cấu trúc ngẫu nhiên đa nguồn này nâng cao đáng kể tính an toàn tổng thể và khả năng chống can thiệp của hệ thống, là một trong những lợi thế cốt lõi của giao thức MPC về mặt an toàn.

Safeheron đã xây dựng một giao thức lưu trữ an toàn cho tài sản kỹ thuật số dựa trên công nghệ MPC và TEE. Trong giải pháp này, các bên tham gia trong giao thức MPC sử dụng nhiều nguồn entropy an toàn độc lập khác nhau, bao gồm cả hồ chứa entropy của hệ thống Linux và nguồn entropy phần cứng TEE (như lệnh số ngẫu nhiên phần cứng Intel SGX). Cơ chế kết hợp entropy từ nhiều nguồn này không chỉ củng cố ranh giới an ninh của hệ thống mà còn đặt nền tảng an ninh cao hơn cho việc xây dựng môi trường thực thi đáng tin cậy (TEE) và hệ thống chữ ký phân tán.

Kết luận

Sự kiện “12 vạn đồng Bitcoin bị đánh cắp” dường như bí ẩn này không tiết lộ rằng một thuật toán nào đó đã bị tấn công, mà là các nhà phát triển đầu tiên đã vô tình sử dụng thuật toán sinh số ngẫu nhiên không an toàn về mặt mật mã trong quá trình tạo khóa riêng, từ đó làm suy yếu sự an toàn của toàn bộ hệ thống.

An toàn của tài sản tiền điện tử cuối cùng phụ thuộc vào mức độ nghiêm ngặt của việc triển khai mật mã, bất kỳ sai sót kỹ thuật nào nhỏ cũng có thể bị hacker khai thác thành công và cuối cùng quyết định quyền sở hữu tài sản số. Chỉ có thể đảm bảo an toàn cho số ngẫu nhiên từ nguồn gốc, sử dụng nguồn entropy đáng tin cậy và thư viện mật mã đã được xác thực, mới có thể khiến “ngẫu nhiên” trở lại với ý nghĩa ban đầu của nó - không thể dự đoán, cũng không thể bị sửa đổi.