81个比特币被盗悲剧：揭秘multibit钱包安全漏洞与二叉树洗币手法

今天讲个特别悲伤的故事，一个丢失5000万的故事。

前几天有个粉丝找到橘座，说是我的老粉丝，有资产找回的业务找我，而且一定要跟我语音。

你们也知道我是个犟脾气，我就不服了，还有什么事情是用文字无法表达的吗？

所以我让当事人强制文字表达。

这也是被逼的，因为总是有人跟我装神秘，说有大单子，一接电话跟我说自己手里的钱包有多少个比特币，结果一看全他妈是公开钱包。

所以橘座就要求当事人必须先文字说明是个什么情况，然后再通话研究。

但这个当事人，很明显非常认真的对待这个事情，因为他写了非常长的内容。

正好去年我们处理过multibit钱包，所以这个看起来没什么太大问题，橘座后来就又语音跟他通了电话，觉得这个案例在我们的射程之内，可以搞定。

但在这么长的篇幅里，有个关键的情况他只提到了一嘴，在一开始的时候橘座也没太在意，就是下面这个部分：

因为这个当事人，大部分的时间是在讲述自己13年买入，15年维护，18年改密码，21年发现问题，以及至今不知道为什么导入不进去。

在之前的旧文件里，是key1，而更改密码之后，生成了key2。

一方面确实是因为版本不兼容，另一个方面也是因为multibit在17年的时候就已经倒闭了。

他说自己有81个比特币，当年在旧电脑上用最初的版本进去的时候，把地址里剩下的一丢丢比特币充值进了交易所，剩下的币不知道去哪里了，她觉得是不是在key2里边，但是又因为key2无法在最早版本里导入，所以不知道问题出在哪里。

其实问题也很简单，我们只需要看这个地址，就知道发生了什么，因为所有的记录都在链上，清清楚楚明明白白。

但是当我们拿到地址之后，很遗憾地发现这个地址已经归零了。

而那81个比特币，也早在2014年被盗了。

其中红框部分是时间和金额，左边的蓝框是被盗记录，右边的地址里是这个地址盗币的金额，累计425个btc。

从上面红框能够很明显的看到，多笔操作都是在同一时间完成的，这是典型的黑客操作手法。

甚至我们还做了资金去向分析，也是很典型的二叉树洗币手法。

这个图你们看不清很正常，因为里边有不少关键信息，故意模糊掉的，只是让你们看看什么是二叉树洗币手法。

简单来说就是把金额打成小金额，然后从多个交易所过一遍，最终又汇总到新的钱包里去。

因为金额比较小，交易所不会关注到，且那个时候也没有kyc，所以最终通过这种方式洗完了这些btc。

在调查的过程中，同时发现出现在上面这个图里的交易所，绝大部分都已经倒闭了。

所以现在的情况是这样：
1，这81个比特币确实是已经在2014年的时候就被盗了。

2，因为key2是key1修改密码之后生成的，其实本质上是同一个钱包，key2里也不会有钱。

3，现在司法程序也没用，一方面是已经过了11年了，一方面是这些交易所基本也都倒闭了。

所以现在就只能认了。

当我们把真相告诉当事人的时候，他愣了好久，最后说了一句：

我不知道该怎么面对这个事情了。

橘座其实特别能理解这种心态：

81个比特币，我从13年拿到现在，整整12年了。

期间多少次起心动念想卖都没卖，做一个坚定的holder拿到现在。

结果你告诉我，我的币在第二年的时候就被盗了？

那我这剩下11年的坚守，岂不是像个傻逼一样？

如果我没选择用这个钱包，以我的操作，现在我手里有半个亿。

但现在却不得不从半个亿到归零的现实，你叫我怎么面对？

橘座面对这个事情也很崩溃，在当天这个事情发生以后我情绪也有点崩了，团队小伙伴给我录视频的时候我直接是麻的状态。

以橘座的角度来说，假设这个钱包没有被盗，这个问题完全在我们射程之内，这一把我起码能够A8，月底去看樱花的时候也可以阔绰一点，但是现在因为这个钱包被盗，我的A8也变成了竹篮打水一场空。

从极致的兴奋到极致的失落。

是我和这位当事人的共同感受。

那问题就来了，这个钱包到底是怎么被盗的呢？

其实这个被盗的原因，也就是multibit倒闭的原因：

他们本身有安全漏洞，导致黑客可以在不接触到钱包持有者任何信息的情况下去获取到用户的私钥。

在当年这一起安全事故中，multibit的用户损失了将近30万枚比特币，这种重大的安全事故也直接导致了这款产品的倒闭，并且背上了监守自盗的骂名。

这件事情，当事人和橘座都很难过，但唯独便宜了你们这帮狗东西，免费吃了这么大一个瓜，还学到了很多冷知识。

真的是操了！

我是橘座，绿洲web3研究院创始人，加密资产找回专家。