Un esperto sudcoreano ha ipotizzato che la recente violazione di Upbit potrebbe essere stata causata da un exploit matematico di alto livello che ha preso di mira i difetti nella firma dell'exchange o nel sistema di generazione di numeri casuali.
Piuttosto che una compromissione convenzionale del portafoglio, l'attacco sembra aver sfruttato sottili modelli di nonce-bias incorporati in milioni di transazioni Solana, un approccio che richiede competenze crittografiche avanzate e notevoli risorse di calcolo.
Analisi tecnica della violazione
Venerdì, il CEO dell'operatore Upbit Dunamu, Kyoungsuk Oh, ha rilasciato delle scuse pubbliche in merito all'incidente di Upbit, riconoscendo che l'azienda aveva scoperto una falla di sicurezza che aveva permesso a un aggressore di dedurre le chiavi private analizzando un gran numero di transazioni del portafoglio Upbit esposte sulla blockchain. La sua dichiarazione, tuttavia, ha sollevato immediatamente interrogativi su come le chiavi private potessero essere rubate attraverso i dati delle transazioni.
Il giorno successivo, il professor Jaewoo Cho dell'Università di Hansungha fornito informazioni dettagliate sulla violazione , collegandola a nonce distorti o prevedibili all'interno del sistema di firma interno di Upbit. Invece dei tipici difetti di riutilizzo dei nonce dell'ECDSA, questo metodo sfruttava sottili modelli statistici nella crittografia della piattaforma. Cho ha spiegato che gli aggressori avrebbero potuto esaminare milioni di firme trapelate, dedurre modelli di distorsione e, infine, recuperare le chiavi private.
Questa prospettiva è in linea con studi recenti che dimostrano come i nonce ECDSA affini rappresentino un rischio significativo. Uno studio del 2025 su arXiv ha dimostrato che anche solo due firme con nonce affini possono esporre chiavi private. Di conseguenza, l'estrazione delle chiavi private diventa molto più semplice per gli aggressori che possono raccogliere grandi set di dati dagli exchange .
Il livello di sofisticatezza tecnica suggerisce che questo exploit sia stato condotto da un gruppo organizzato con competenze crittografiche avanzate. Secondo Cho, identificare un bias minimo in milioni di firme richiede non solo competenze matematiche, ma anche ingenti risorse di calcolo.
In risposta all'incidente, Upbit ha trasferito tutti gli asset rimanenti su cold wallet sicuri e ha sospeso depositi e prelievi di asset digitali. L'exchange si è inoltre impegnato a ripristinare eventuali perdite dalle sue riserve, garantendo un immediato contenimento dei danni.
Estensione e implicazioni sulla sicurezza
Le prove fornite da un ricercatore coreano indicano che gli hacker hanno ottenuto l'accesso non solo all'hot wallet dell'exchange, ma anche ai singoli wallet di deposito. Ciò potrebbe indicare la compromissione delle chiavi di sweep authority, o persino delle chiavi private stesse, segnalando una grave violazione della sicurezza.
Un altro ricercatore sottolinea che, se le chiavi private venissero rivelate, Upbit potrebbe essere costretta a rivedere radicalmente i propri sistemi di sicurezza, inclusi i moduli di sicurezza hardware (HSM), il calcolo multi-party ( MPC ) e le strutture dei wallet. Questo scenario solleva interrogativi sui controlli interni, indicando un possibile coinvolgimento di personale interno e mettendo a rischio la reputazione di Upbit. L'entità dell'attacco evidenzia la necessità di protocolli di sicurezza robusti e di rigorosi controlli di accesso sui principali exchange.
L'incidente dimostra che anche i sistemi altamente ingegnerizzati possono nascondere debolezze matematiche. Una generazione efficace di nonce deve garantire casualità e imprevedibilità. I bias rilevabili creano vulnerabilità che gli aggressori possono sfruttare. Gli aggressori organizzati sono sempre più capaci di identificare e sfruttare queste falle.
La ricerca sulle misure di sicurezza dell'ECDSA sottolinea che una casualità errata nella creazione del nonce può far trapelare informazioni chiave. Il caso Upbit mostra come le vulnerabilità teoriche possano tradursi in gravi perdite nel mondo reale quando gli aggressori hanno le competenze e la motivazione per sfruttarle.
Tempistica e impatto sul settore
La tempistica dell'attacco ha alimentato le speculazioni della comunità. Si è verificato esattamente sei anni dopo un'analoga violazione di Upbit nel 2019, attribuita ad hacker nordcoreani. Inoltre, l'attacco ha coinciso con l'annuncio di un'importante fusione tra Naver Financial e Dunamu , la società madre di Upbit.
Online, circolano alcune teorie del complotto su coordinamento o informazioni riservate, mentre altre suggeriscono che l'attacco potrebbe mascherare altre motivazioni, come l'appropriazione indebita interna. Sebbene le chiare prove tecniche di un complesso exploit matematico indichino un attacco altamente avanzato da parte di criminali informatici, i critici affermano che lo schema riflette ancora preoccupazioni di lunga data sugli exchange coreani:
"Tutti sanno che questi exchange massacrano i trader al dettaglio quotando token discutibili e lasciandoli morire senza liquidità", ha scritto un utente. Altri hanno osservato: "Due exchange di altcoin esteri hanno recentemente fatto la stessa cosa e sono scomparsi", mentre un altro ha accusato direttamente l'azienda: "Si tratta solo di appropriazione indebita interna e di un tentativo di tappare il buco con i fondi aziendali?"
Il caso Upbit del 2019 ha dimostrato che entità legate alla Corea del Nord avevano precedentemente preso di mira importanti exchange per eludere le sanzioni attraverso furti informatici. Sebbene non sia chiaro se l'incidente attuale abbia coinvolto attori sponsorizzati dallo Stato, la natura avanzata dell'attacco rimane preoccupante.
L'articolo L'attacco hacker a Upbit è nato da un exploit matematico di alto livello, afferma un esperto locale è apparso per la prima volta su BeInCrypto .