Una grande rivelazione legale nell'ottobre 2025 ha rivelato che il governo degli Stati Uniti ha ufficialmente sequestrato 127,271 Bitcoin collegati al Cambodian Prince Group, una riserva valutata a quasi quindici miliardi di dollari ai prezzi di mercato attuali. Questo ha immediatamente suscitato speculazioni nella comunità crypto se le forze dell'ordine siano riuscite a decifrare una chiave privata Bitcoin, o se il sequestro sia stato il risultato di un difetto tecnico più profondo nascosto in bella vista?
Secondo esperti del settore come il co-fondatore di Cobo Shenyu, gli Stati Uniti non hanno forzato le chiavi private. Invece, il caso risale a un grave difetto di casualità conosciuto oggi come l'incidente “Milk Sad”. Tra il 2019 e il 2020, migliaia di portafogli Bitcoin sono stati creati utilizzando un generatore di numeri pseudo-casuali debole chiamato Mersenne Twister MT19937-32. Questo algoritmo non è mai stato progettato per la generazione di chiavi crittografiche, e la sua struttura prevedibile ha permesso a attori esperti di enumerare le possibili chiavi e prosciugare i portafogli.
Durante quel periodo, oltre cinquantatremila Bitcoin erano presenti in oltre duecentomila indirizzi vulnerabili. I fondi sono stati versati in questi portafogli non solo da miner individuali e piccoli detentori, ma anche da trasferimenti centralizzati di grandi dimensioni. La pool di mining Lubian è diventata un punto di concentrazione principale, salendo rapidamente ai vertici delle operazioni di mining globali nonostante non avesse un team pubblico chiaro o un background. All'inizio del 2020, i pagamenti ai miner a marchio Lubian avevano depositato da soli più di quattordicimila Bitcoin in questi indirizzi con chiave privata debole.
Il 28 dicembre 2020, la vulnerabilità è emersa visibilmente. In un solo giorno, oltre centotrentaseimila Bitcoin sono stati trasferiti dai portafogli compromessi. A quel tempo, il Bitcoin veniva scambiato intorno ai ventiseimila dollari, il che significa che circa tre virgola sette miliardi di dollari sono stati spostati in poche ore. Eppure, poiché il mercato stava vivendo un forte rialzo e i pagamenti della pool di mining si erano recentemente rallentati, gli analisti non potevano confermare se si trattasse di un furto o di un prelievo interno coordinato. Non è stato sollevato alcun allarme ufficiale e le monete sono rimaste silenziose sulla blockchain.
Anni dopo, tutto è riemerso quando il team di Libbitcoin Explorer ha ripetuto involontariamente la stessa vulnerabilità. Il suo comando bx seed si basava anch'esso sullo stesso debole generatore casuale, e gli hacker hanno iniziato a sfruttarlo nel 2023. La vulnerabilità è stata infine ricondotta all'era precedente di Lubian, e i ricercatori hanno abbinato i massicci deflussi di dicembre 2020 allo stesso intervallo di chiavi deboli. A quel punto, una grande parte di quelle monete era già stata consolidata e, secondo i documenti legali, era collegata ad attività di riciclaggio di denaro legate al Prince Group.
Il Dipartimento di Giustizia degli Stati Uniti ha confermato che i dispositivi hardware collegati al gruppo sono stati sequestrati e successivamente trasferiti in un deposito a freddo controllato dagli U.S. Marshals. I dati sulla blockchain mostrano che quasi diecimila Bitcoin sono stati recentemente trasferiti in un indirizzo di deposito ufficiale degli Stati Uniti. Invece di decifrare le chiavi attraverso la potenza di calcolo grezza, le forze dell'ordine probabilmente hanno ottenuto accesso sequestrando frasi mnemoniche, file di backup o materiale di chiave esportato da server e portafogli compromessi. La vera vulnerabilità non era la matematica, ma la scarsa casualità e le pratiche di sicurezza negligenti.
Ciò che è iniziato come una svista tecnica nella generazione di numeri casuali è diventato alla fine un enorme buco nero di fondi persi. I portafogli sembravano sicuri in superficie ma erano matematicamente prevedibili a causa dell'entropia limitata. Molte vittime hanno continuato a depositare fondi senza sapere che le loro chiavi si trovavano in un intervallo ristretto e prevedibile.
L'evento rinforza una verità semplice nel modo più brutale: il controllo di un portafoglio conta solo se la sua casualità crittografica è davvero sicura. La frase “Non le tue chiavi, non il tuo crypto” è valida solo quando quelle chiavi sono generate correttamente. Senza entropia affidabile, la proprietà diventa un'illusione e miliardi possono scomparire prima che qualcuno sappia anche solo che esiste una vulnerabilità.