操作模式更符合“国家级黑客组织”特征

目前价值约150亿美元的12.7万枚比特币，4年前被盗，在当时震惊全球。近日，这一事件有了新进展。

11月9日，国家计算机病毒应急处理中心发布《LuBian矿池遭黑客攻击被窃取巨额比特币事件技术溯源分析报告》（下称《报告》），指出该批比特币在2020年被窃取后长期处于“静默”状态，“显然不符合一般黑客急于变现追逐利益的行为”，其操作模式更符合“国家级黑客组织”特征。

这批巨额比特币的持有者，原为柬埔寨太子集团董事长陈志。今年10月，美国司法部对陈志提起诉讼，指控其犯有电信诈骗和洗钱等两项罪名，并高调宣称，没收其违法所得的12.7万枚比特币。据《报告》披露，种种迹象表明，被“没收”比特币正是多年前被盗资产，这是一起典型的“黑吃黑”事件。

“关键不在于技术手段，而在于所谓‘没收’是否具有合法司法程序的支持。”北京浩天律师事务所合伙人杜国栋向《中国新闻周刊》指出，比特币在多数司法管辖区已被认定为合法资产，可通过司法认定的“技术手段”追索。美方在追缴程序上是否存在瑕疵，有待进一步披露。

电诈园区用于诈骗的自动化呼叫中心。图片/美国司法部公布的起诉书

比特币如何被“没收”？

目前，针对陈志这笔巨额比特币是如何被没收的，美国司法部在起诉书中暂未公布。

但据《报告》提示，这可能与2020年12月“LuBian矿池遭黑客攻击”有关。那次大规模攻击导致其超过90%的比特币持有量被盗，总额127272.06953176枚比特币（BTC），与美司法部起诉书中所称127271BTC基本吻合。

LuBian矿池隶属于太子集团，成立于2020年初。该矿池的运营模式包括挖矿奖励的集中存储和分配。矿池地址中比特币并非存储在受监管的中心化交易所，而是存在于非托管钱包中。

《报告》指出，从技术层面看，非托管钱包被认为是加密资产的终极避风港，它不像交易所账户可以被一纸法令冻结，更像是一个只属于持有者自己的银行保险库，钥匙（私钥）只在持有者手中。

“非托管钱包也称冷钱包，不参与公开交易，不留痕，除非加密措施过于简单，或是被身边知情人士泄露了信息，否则几乎不可能被破解。”杜国栋分析。

2020年12月29日，LuBian的核心比特币钱包地址发生异常转移。反常的是，这批被盗比特币一直沉寂至2024年6月，且处于休眠状态，仅不足万分之一的尘埃交易可能用于测试。

其间，陈志及其太子集团在区块链上发布超过1500条消息，恳求黑客归还资金，并愿意为此支付赎金，但没有收到任何回复。

太子集团创始人陈志。图/太子集团官网

2024年6月22日至7月23日，这批被盗比特币再次被转移到新的链上地址中，至今未动。美国知名区块链追踪工具平台Arkham Intelligence已将这些最终地址标记为美国政府持有。

今年10月14日，美国司法部宣布对陈志提起刑事指控，并称没收陈志及其太子集团的12.7万枚比特币。种种证据表明，美国政府没收的陈志及其太子集团的这批巨额比特币，正是早在2020年被黑客窃取的LuBian矿池比特币。

“通过区块链公开机制，比特币交易记录全部公开可追溯。”《报告》分析，美国司法部起诉书中的25个地址，是LuBian矿池2020年攻击中被盗比特币最终持有地址。美国司法部起诉书虽未直接命名“LuBian hack”，但提及资金源于“伊朗和中国比特币矿业业务的被盗攻击”，这与Arkham Intelligence的链上分析一致。

冷钱包里的比特币是如何被盗的？《报告》通过对攻击链路的分析得出结论，比特币加密地址私钥存在“伪随机数漏洞”，黑客对LuBian矿池的盗取可能仅用不到2小时。

比特币采用非对称加密技术，比特币私钥是一串256位的二进制随机数，理论破解次数为2^256次，近乎不可能。但若这串256位的二进制私钥并非完全随机产生，比如其中224位有着规定规律可以推算，仅有32位随机产生，则会大大降低其私钥强度，仅需尝试2^32（约42.9亿）次即可暴力破解。

北京时间2020年12月29日，黑客利用LuBian矿池比特币钱包地址私钥生成存在的伪随机数漏洞，对超过5000个弱随机钱包地址进行破解。在2小时内，约12.7万枚比特币从这些钱包地址被抽干，剩余不到200枚比特币。所有可疑交易共享相同交易费用，表明攻击系由自动化批量转移脚本执行。

“即使区块链高度透明，安全基础薄弱仍可酿成灾难性后果。”《报告》指出，该事件也提醒了网络安全在未来数字经济、数字货币发展中的重要性。

太子集团最新声明。图/太子集团官网

跨国犯罪的隐秘“帮凶”？

2025年10月14日，美国司法部与财政部联合宣布，柬埔寨太子集团被认定为“国际跨国犯罪组织”，并对其创始人陈志及17名核心成员发出全球通缉令。

同时，被罚没的12.7万枚比特币，被盗时价值约35亿美元，目前市值已达150亿美元，创下美国司法部门历史上最大规模的没收纪录。

起诉书显示，被告男子陈志（CHEN ZHI），又名Vincent，现年37岁，系总部位于柬埔寨的跨国企业“太子集团”的董事长。该集团自2015年成立以来，在30多个国家经营数十家业务实体，表面上专注于房地产开发、金融服务和消费服务，但在秘密运作中，陈志及其高层将太子集团发展为亚洲最大的跨国犯罪组织之一。

美国司法部指控，太子集团通过在柬埔寨各地运营的“诈骗园区”，强迫非法拘禁人员参与加密货币投资诈骗，即所谓“杀猪盘”，并利用其庞大的企业网络为犯罪收益洗钱。该骗局从美国和世界各地受害者手中窃取了数十亿美元。被告目前仍在逃。

太子集团将非法收益用于大规模加密挖矿，通过老挝的Warp Data及其子公司，以及Lubian等矿池，产生大量与犯罪收益“脱钩”的“干净”比特币。美国司法部在起诉书中称，陈志曾夸口称挖矿“利润可观，因为没有成本”——即业务资本来源于受害者被盗资金。

陈志的一名共谋者曾表示，太子集团在2018年通过“杀猪盘”等非法活动的日盈利就超过3000万美元。

这些赃款被“系统性地与新挖出的加密货币混合以掩饰来源”。起诉书指出，陈志的共谋者通过“喷洒”“漏斗”等复杂链上技术进行分散与重聚，在大量地址间反复拆分与归集，以模糊资金来源。

洗钱的资金流向“由陈志亲自指导并监控”。起诉书指出，部分收益最终存放于多个交易所的钱包，或折换为法定货币后存入传统银行账户。包括通过挖矿洗白的其他收益则存放于陈志个人控制的自托管加密钱包。截至2020年，陈志已积累约12.7万枚比特币。

面对美国的指控，陈志一方11月10日首度打破沉默，其律师团队向美国法院提交动议，要求延长索赔期限，并辩称美国司法部的指控“严重错误”，美国政府未提供证据将被扣押的比特币与诈骗活动“直接联系起来”。

“比特币持有者的身份是匿名的，营造出无法追踪的印象，因此常被用作转移资产的工具。”杜国栋表示，但所有链上交易均是公开可查的。一旦资金流入受监管的中心化交易所，执法机构便能通过调取信息，将匿名地址与现实身份相关联。

今年5月，美国财政部金融犯罪执法网络(FinCEN)将柬埔寨寨汇旺集团（Huione Group）“拉黑”，提议禁止美国金融机构为汇旺集团开设或维持代理账户。FinCEN声称，汇旺集团在2021年至2025年间清洗至少40亿美元非法资金，其中包括来自“杀猪盘”骗局的3600多万美元。据媒体报道，汇旺集团与太子集团存在一定关联。

“加密货币正逐步走出灰色地带。”杜国栋举例，美国政府已逐步将加密货币纳入监管框架，其证监会（SEC）对交易所具备监管权限。尽管当前监管力度和具体边界仍在演变过程中，但长期来看，加密货币游离于监管之外的运作空间将逐步收窄。