Uma grande divulgação legal em outubro de 2025 revelou que o governo dos EUA confiscou oficialmente 127,271 Bitcoins ligados ao Grupo do Príncipe Cambojano, um estoque avaliado em quase quinze bilhões de dólares nos preços de mercado atuais. Isso imediatamente gerou especulações na comunidade cripto sobre se a aplicação da lei conseguiu decifrar uma chave privada de Bitcoin, ou se o confisco foi resultado de uma falha técnica mais profunda escondida à vista de todos?
De acordo com veteranos da indústria como Shenyu, co-fundador da Cobo, os EUA não forçaram as chaves privadas. Em vez disso, o caso remonta a uma séria falha de aleatoriedade conhecida hoje como o incidente “Milk Sad”. Entre 2019 e 2020, milhares de carteiras de Bitcoin foram criadas usando um gerador de números pseudo-aleatórios fraco chamado Mersenne Twister MT19937-32. Este algoritmo nunca foi projetado para geração de chaves criptográficas, e sua estrutura previsível permitiu que atores habilidosos enumerassem chaves possíveis e drenassem carteiras.
Durante aquele período, mais de cinquenta e três mil Bitcoins estavam distribuídos em mais de duzentos mil endereços vulneráveis. Fundos foram despejados nessas carteiras não apenas de mineradores individuais e detentores menores, mas também de grandes transferências centralizadas. O pool de mineração Lubian se tornou um ponto de concentração importante, subindo rapidamente para as principais classificações das operações de mineração globais, apesar de não ter uma equipe pública ou um histórico claro. No início de 2020, os pagamentos de mineradores da marca Lubian sozinhos haviam depositado mais de quatorze mil Bitcoins nesses endereços fracos de chave privada.
Em 28 de dezembro de 2020, a vulnerabilidade surgiu visivelmente. Em um único dia, mais de cento e trinta e seis mil Bitcoins foram movidos das carteiras comprometidas. Naquela época, o Bitcoin era negociado a cerca de vinte e seis mil dólares, significando cerca de três ponto sete bilhões de dólares transferidos em horas. No entanto, como o mercado estava passando por um forte rali e os pagamentos do pool de mineração haviam desacelerado recentemente, os analistas não puderam confirmar se isso era um roubo ou uma retirada interna coordenada. Nenhum alarme oficial foi acionado, e as moedas ficaram em silêncio na cadeia.
Anos depois, tudo ressurgiu quando a equipe do Libbitcoin Explorer, sem querer, repetiu a mesma vulnerabilidade. Seu comando bx seed também dependia do mesmo gerador aleatório fraco, e hackers começaram a explorá-lo em 2023. A vulnerabilidade foi finalmente rastreada de volta à era Lubian anterior, e os pesquisadores correlacionaram as enormes saídas de dezembro de 2020 à mesma faixa de chave fraca. Naquela altura, uma grande parte dessas moedas já havia sido consolidada e, de acordo com os registros legais, estava ligada a atividades de lavagem de dinheiro associadas ao Prince Group.
O Departamento de Justiça dos EUA confirmou que dispositivos de hardware ligados ao grupo foram apreendidos e posteriormente transferidos para um armazenamento a frio controlado pelos Marshals dos EUA. Dados on-chain mostram que quase dez mil Bitcoins foram recentemente movidos para um endereço de custódia oficial dos EUA. Em vez de decifrar chaves através de poder de computação bruto, a aplicação da lei provavelmente ganhou acesso apreendendo frases mnemônicas, arquivos de backup ou material de chave exportado de servidores e carteiras comprometidos. A verdadeira vulnerabilidade não era a matemática, mas a aleatoriedade pobre e práticas de segurança descuidadas.
O que começou como uma falha técnica na geração de números aleatórios eventualmente se tornou um enorme buraco negro de fundos perdidos. As carteiras pareciam seguras na superfície, mas eram matematicamente adivinháveis devido à entropia limitada. Muitas vítimas continuaram depositando fundos sem saber que suas chaves estavam em uma faixa estreita e previsível.
O evento reforça uma verdade simples da forma mais brutal: o controle de uma carteira só importa se sua aleatoriedade criptográfica for verdadeiramente segura. A frase “Não suas chaves, não seu cripto” só é válida quando essas chaves são geradas corretamente. Sem entropia confiável, a posse se torna uma ilusão e bilhões podem desaparecer antes que alguém saiba que uma vulnerabilidade existe.