En sydkoreansk ekspert har foreslået, at det nylige Upbit-brud kan have sin oprindelse i et avanceret matematisk udnyttelse, der sigter mod fejl i børsens signatur- eller tilfældighedsgenereringssystem.
I stedet for en traditionel wallet-kompromittering ser angrebet ud til at have udnyttet subtile nonce-bias mønstre indlejret i millioner af Solana-transaktioner—en tilgang, der kræver avanceret kryptografisk ekspertise og betydelige computerressourcer.
Teknisk analyse af bruddet
I fredag udstedte Upbit-operatøren Dunamus direktør Kyoungsuk Oh en offentlig undskyldning angående Upbit-hændelsen, hvor han erkendte, at virksomheden havde opdaget en sikkerhedsfejl, der tillod en angriber at udlede private nøgler ved at analysere et stort antal Upbit-wallet-transaktioner, der var eksponeret på blockchainen. Hans udtalelse rejste dog straks spørgsmål om, hvordan private nøgler kunne blive stjålet gennem transaktionsdata.
Dagen efter gav professor Jaewoo Cho fra Hansung University indblik i bruddet ved at forbinde det med indlejrede eller forudsigelige nonces i Upbits interne signeringssystem. I stedet for typiske ECDSA nonce-genbrugsfejl udnyttede denne metode subtile statistiske mønstre i platformens kryptografi. Cho forklarede, at angribere kunne undersøge millioner af lækkede signaturer, udlede bias-mønstre og i sidste ende genindhente private nøgler.
Dette perspektiv stemmer overens med nylige studier, der viser, at affinitetsrelaterede ECDSA nonces skaber en markant risiko. En 2025-undersøgelse på arXiv viste, at blot to signaturer med sådanne relaterede nonces kan afsløre private nøgler. Dermed bliver udtrækning af private nøgler langt lettere for angribere, der kan samle store datasæt fra børser.
Det tekniske sofistikeringsniveau antyder, at en organiseret gruppe med avancerede kryptografiske færdigheder gennemførte udnyttelsen. Ifølge Cho kræver identifikation af minimal bias blandt millioner af signaturer ikke kun matematisk ekspertise, men også omfattende computerressourcer.
Som reaktion på hændelsen flyttede Upbit alle resterende aktiver til sikre cold wallets og standsede digitale aktivindskud og udbetalinger. Børsen har også lovet at dække eventuelle tab fra sine reserver og dermed sikre øjeblikkelig skadeskontrol.
Omfang og sikkerhedsmæssige konsekvenser
Beviser fra en koreansk forsker antyder, at hackere fik adgang ikke kun til børsens hot wallet, men også til individuelle deposit wallets. Dette kan pege på kompromittering af sweep-authority nøgler—eller selv de private nøgler—hvilket signalerer et alvorligt sikkerhedsbrud.
En anden forsker påpeger, at hvis private nøgler blev eksponeret, kunne Upbit blive tvunget til at omstrukturere sine sikkerhedssystemer fuldstændigt, herunder dets hardware security modules (HSM), multi-party computation (MPC) og wallet-strukturer. Dette scenarie rejser spørgsmål om interne kontroller, hvilket indikerer mulig insiderinvolvering og sætter Upbits omdømme i fare. Omfanget af angrebet understreger behovet for robuste sikkerhedsprotokoller og strenge adgangskontroller på tværs af større børser.
Hændelsen illustrerer, at selv højtudviklede systemer kan skjule matematiske svagheder. Effektiv nonce-generering skal sikre tilfældighed og uforudsigelighed. Påviselig bias skaber sårbarheder, som angribere kan udnytte. Organiserede angribere er i stigende grad i stand til at identificere og udnytte disse fejl.
Forskning i ECDSA-beskyttelse understreger, at fejl i tilfældighed i nonce-skabelse kan lække nøgleinformation. Upbit-sagen viser, hvordan teoretiske sårbarheder kan omsættes til store tab i virkeligheden, når angribere har ekspertisen og motivationen til at udnytte dem.
Timing og indflydelse på branchen
Angrebets timing har igangsat spekulationer i samfundet. Det fandt sted præcis seks år efter et tilsvarende Upbit-brud i 2019, som blev tilskrevet nordkoreanske hackere. Desuden faldt hacket sammen med annonceringen af en større fusion, der involverer Naver Financial og Dunamu, Upbits moderselskab.
Online er der nogle konspirationsteorier om koordination eller insider-viden, mens andre foreslår, at angrebet kunne dække over andre motiver, såsom intern underslæb. Selvom de klare tekniske beviser for et komplekst matematisk udnyttelse tyder på et meget avanceret angreb fra cyberkriminelle, siger kritikere at mønsteret stadig afspejler langvarige bekymringer om koreanske børser:
“Alle ved, at disse børser massakrerer private handlende ved at liste tvivlsomme tokens og lade dem dø uden likviditet,” skrev en bruger. Andre noterede sig, “To udenlandske altcoin-børser har for nylig gennemført samme trick og forsvandt,” mens en anden anklagede virksomheden direkte: “Er det bare intern underslæb og lapper hullet med virksomhedens midler?”
Upbit-sagen fra 2019 viste, at Nordkorea-tilknyttede enheder tidligere havde målrettet større børser for at undgå sanktioner gennem cybertyveri. Selvom det er uklart, om den aktuelle hændelse involverede statssponsorerede aktører, forbliver den avancerede karakter af angrebet bekymrende.
