Kunci Pribadi Bitcoin Senilai $1,5 Miliar: Bagaimana Generator Angka Acak Menjadi Vektor Perampokan Terbesar

Bomber Oktober 2025: Otoritas AS menyita 127.271 BTC (~$1,5 miliar) dari Chen Zhi dari Prince Group—tapi bukan melalui peretasan. Mereka memanfaatkan kerentanan acak.

Kejutan plot twist? Kembali ke Desember 2020. Sebuah mining pool bernama Lubian menggunakan MT19937-32 (sebuah generator pseudorandom yang lemah) alih-alih entropy yang tepat. Kunci privat Bitcoin secara teori harus ada dalam 2^256 kombinasi; milik Lubian lebih seperti memilih dari mesin slot yang curang.

Kerusakan yang terjadi:

• Antara 2019-2020, 53.500 BTC terkumpul di dompet dengan kunci lemah
• 28 Desember 2020: sekitar 136.951 BTC (~$3,7 miliar saat itu) disita dalam beberapa jam
• Tidak ada yang menyadari. Bitcoin sedang melonjak, orang mengira itu likuidasi

Rantai domino terus berjatuhan:

• Trust Wallet (versi lama): Kerentanan diam-diam diperbaiki November 2022, tapi peretas sudah mencuri sekitar 50 BTC pada Januari 2023
• Libbitcoin Explorer bx: MT19937 + seed 32-bit = hanya 2^32 kombinasi kunci. Peretas mengosongkan dompet pada Juli 2023

Koneksi yang hilang baru terungkap saat para peneliti membalikkan data 2023 dan menghubungkannya dengan Lubian. Lima tahun bitcoin yang tidak aktif di chain akhirnya terlacak ke Prince Group.

Pelajaran? “Bukan kunci kamu, bukan koin kamu” menjadi tidak berarti jika kunci dihasilkan oleh mesin penarik koin yang rusak.