En sørkoreansk ekspert har antydet at det nylige Upbit-bruddet kan ha oppstått fra et avansert matematisk angrep rettet mot svakheter i børsens signatur- eller tilfeldighetsgenereringssystem.
I stedet for å være en konvensjonell kompromittering av en lommebok, ser angrepet ut til å ha utnyttet subtile mønstre i nonce-bias som er innebygd i millioner av Solana-transaksjoner – en metode som krever avansert kryptografisk ekspertise og betydelige datakapasiteter.
Teknisk analyse av bruddet
På fredag ga Upbit-operatør Dunamus administrerende direktør Kyoungsuk Oh en offentlig unnskyldning angående Upbit-incidenten, og erkjente at selskapet hadde oppdaget en sikkerhetsfeil som tillot en angriper å utlede private nøkler ved å analysere et stort antall Upbit-lommeboktransaksjoner som var eksponert på blokkjeden. Hans uttalelse reiste imidlertid umiddelbart spørsmål om hvordan private nøkler kunne bli stjålet gjennom transaksjonsdata.
Dagen etter ga professor Jaewoo Cho fra Hansung University innsikt i bruddet, og knyttet det til partiske eller forutsigbare nonces innenfor Upbits interne signeringssystem. I stedet for de typiske ECDSA nonce-bruk feil, utnyttet denne metoden subtile statistiske mønstre i plattformens kryptografi. Cho forklarte at angripere kunne undersøke millioner av lekkede signaturer, utlede bias-mønstre og til slutt avdekke private nøkler.
Dette perspektivet stemmer overens med nyere studier som viser at affine relaterte ECDSA nonces skaper en betydelig risiko. En studie fra 2025 på arXiv viste at bare to signaturer med slike relaterte nonces kan avsløre private nøkler. Som et resultat blir ekstraksjon av private nøkler langt enklere for angripere som kan samle store datasett fra børser.
Nivået av teknisk sofistikering antyder at en organisert gruppe med avanserte kryptografiske ferdigheter gjennomførte dette angrepet. Ifølge Cho krever identifisering av minimal bias blant millioner av signaturer ikke bare matematisk ekspertise, men også omfattende datakapasiteter.
Som svar på hendelsen overførte Upbit alle gjenværende aktiva til sikre kalde lommebøker og stoppet innskudd og uttak av digitale aktiva. Børsen har også lovet å gjenopprette eventuelle tap fra sine reserver, for å sikre umiddelbar skadebegrensning.
Omfang og sikkerhetsimplikasjoner
Bevis fra en koreansk forsker indikerer at hackere fikk tilgang ikke bare til børsens hot wallet, men også til individuelle innskuddslommebøker. Dette kan peke på kompromittering av sweep-autoritet nøkler—eller til og med de private nøklene selv—som signaliserer et alvorlig sikkerhetsbrudd.
En annen forsker peker på at hvis private nøkler var eksponert, kan Upbit bli tvunget til å gjennomføre en omfattende overhaling av sine sikkerhetssystemer, inkludert sine hardware sikkerhetsmoduler (HSM), multi-party computation (MPC), og lommebokstrukturer. Dette scenariet reiser spørsmål om interne kontroller, som indikerer mulig innblanding fra innsiden og setter Upbits omdømme i fare. Omfanget av angrepet fremhever behovet for robuste sikkerhetsprotokoller og strenge tilgangskontroller over store børser.
Hendelsen illustrerer at selv høyt konstruerte systemer kan skjule matematiske svakheter. Effektiv nonce-generering må sikre tilfeldighet og uforutsigbarhet. Påviselig bias skaper sårbarheter som angripere kan utnytte. Organiserte angripere er stadig mer i stand til å identifisere og utnytte disse svakhetene.
Forskning på ECDSA-beskyttelsestiltak understreker at feilaktig tilfeldighet i nonce-skaping kan lekke nøkkelinformasjon. Upbit-saken viser hvordan teoretiske sårbarheter kan oversettes til store tap i den virkelige verden når angripere har ekspertise og motivasjon til å utnytte dem.
Tidspunkt og innvirkning på industrien
Timing av angrepet har drevet spekulasjoner i fellesskapet. Det skjedde nøyaktig seks år etter et tilsvarende Upbit-brudd i 2019, som ble tilskrevet nordkoreanske hackere. Videre sammenfalt hacket med kunngjøringen av en stor fusjon som involverte Naver Financial og Dunamu, Upbits morselskap.
På nettet har noen konspirasjonsteorier om koordinasjon eller innsiderkunnskap, mens andre antyder at angrepet kunne skjule andre motiver, som intern underslag. Selv om de klare tekniske bevisene på et komplekst matematisk angrep peker på et svært avansert angrep av cyberkriminelle, sier kritikere at mønsteret fortsatt speiler langvarige bekymringer om koreanske børser:
«Alle vet at disse børsene massakrerer private tradere ved å liste tvilsomme tokens og la dem dø uten likviditet,» skrev en bruker. Andre bemerket, «To utenlandske altcoin-børser trakk nylig det samme stuntet og forsvant,» mens en annen anklaget selskapet direkte: «Er dette bare intern underslag og tetting av hullet med selskapets midler?»
Upbit-saken i 2019 viste at Nord-Korea-tilknyttede enheter tidligere hadde rettet seg mot store børser for å unngå sanksjoner gjennom cybertyveri. Selv om det er uklart om den nåværende hendelsen involverte statssponsede aktører, er den avanserte naturen av angrepet fortsatt bekymringsfull.
