Un esperto sudcoreano ha suggerito che la recente violazione di Upbit potrebbe essere originata da uno sfruttamento matematico di alto livello, mirato a difetti nel sistema di firma o di generazione di numeri casuali dell’exchange.
Piuttosto che un compromesso convenzionale del wallet, sembra che l’attacco abbia sfruttato sottili schemi di bias dei nonce incorporati in milioni di transazioni su Solana, un approccio che richiede competenze crittografiche avanzate e risorse computazionali significative.
SponsoredAnalisi tecnica della violazione
Venerdì, l’amministratore delegato di Dunamu, operatore di Upbit, Kyoungsuk Oh ha emesso un pubblico appello riguardo all’incidente di Upbit, riconoscendo che l’azienda aveva scoperto una falla di sicurezza che permetteva a un attaccante di dedurre le chiavi private analizzando un gran numero di transazioni dei wallet Upbit esposte sulla blockchain. La sua dichiarazione, tuttavia, ha suscitato immediatamente domande su come fosse possibile rubare chiavi private attraverso i dati delle transazioni.
Il giorno seguente, il professor Jaewoo Cho dell’Università di Hansung ha fornito un approfondimento sul problema, collegandolo a nonce nel sistema di firma interno di Upbit che erano prevedibili o influenzati da bias. A differenza dei tipici difetti di riutilizzo dei nonce ECDSA, questo metodo ha sfruttato sottili schemi statistici nella crittografia della piattaforma. Cho ha spiegato che gli attaccanti potrebbero esaminare milioni di firme trapelate, dedurre schemi di bias e infine recuperare le chiavi private.
Questa prospettiva è in linea con studi recenti che mostrano che nonce ECDSA affine correlati creano un rischio significativo. Uno studio del 2025 su arXiv ha dimostrato che solo due firme con nonce correlati possono esporre le chiavi private. Di conseguenza, l’estrazione di chiavi private diventa molto più facile per gli attaccanti che possono raccogliere grandi insiemi di dati da exchange.
SponsoredIl livello di sofisticazione tecnica suggerisce che un gruppo organizzato con avanzate competenze crittografiche abbia condotto questo attacco. Secondo Cho, identificare minimi bias tra milioni di firme richiede non solo competenze matematiche, ma anche vaste risorse computazionali.
In risposta all’incidente, Upbit ha trasferito tutti gli asset rimanenti in cold wallet sicuri e ha sospeso i depositi e prelievi di asset digitali. L’exchange ha inoltre promesso di ripristinare eventuali perdite dai suoi fondi di riserva, garantendo un controllo immediato dei danni.
Portata e implicazioni per i titoli
Le prove di un ricercatore coreano indicano che gli hacker hanno avuto accesso non solo al hot wallet dell’exchange, ma anche ai wallet di deposito individuali. Ciò potrebbe indicare il compromesso delle chiavi di autorità di sweep, o persino le chiavi private stesse, segnalando una grave violazione della sicurezza.
Un altro ricercatore sottolinea che, se le chiavi private fossero state esposte, Upbit potrebbe essere costretta a rinnovare completamente i suoi sistemi di sicurezza, inclusi i suoi moduli di sicurezza hardware (HSM), calcolo multi-party (MPC) e strutture dei wallet. Questo scenario solleva interrogativi sui controlli interni, suggerendo un possibile coinvolgimento interno e mettendo a rischio la reputazione di Upbit. L’estensione dell’attacco sottolinea la necessità di protocolli di sicurezza robusti e controlli di accesso rigidi su tutti i principali exchange.
L’incidente dimostra che anche i sistemi altamente progettati possono celare debolezze matematiche. Una generazione efficace di nonce deve garantire casualità e imprevedibilità. Un bias rilevabile crea vulnerabilità che gli attaccanti possono sfruttare. Gli attaccanti organizzati sono sempre più capaci di identificare e utilizzare queste lacune.
La ricerca sulle protezioni ECDSA sottolinea che una casualità difettosa nella creazione dei nonce può far trapelare informazioni chiave. Il caso di Upbit mostra come le vulnerabilità teoriche possano tradursi in grandi perdite nel mondo reale quando gli attaccanti hanno le competenze e la motivazione per sfruttarle.
Tempistica e impatto sull’industria
La tempistica dell’attacco ha alimentato speculazioni nella comunità. È avvenuto esattamente sei anni dopo una violazione comparabile di Upbit nel 2019, attribuita a hacker nordcoreani. Inoltre, l’hack è coinciso con l’annuncio di una grande fusione che coinvolge Naver Financial e Dunamu, la società madre di Upbit.
Online, alcune teorie del complotto riguardano un possibile coordinamento o conoscenze interne, mentre altri suggeriscono che l’attacco potrebbe mascherare altri motivi, come appropriazioni indebite interne. Sebbene le chiare prove tecniche di uno sfruttamento matematico complesso indichino un attacco altamente avanzato da parte di cybercriminali, i critici sostengono che il modello rispecchia ancora preoccupazioni di vecchia data sugli exchange coreani:
“Tutti sanno che questi exchange massacrano i trader retail listando token discutibili e lasciandoli morire senza liquidità”, ha scritto un utente. Altri hanno notato: “Due exchange di altcoin all’estero hanno recentemente fatto lo stesso trucco e sono scomparsi”, mentre un altro ha accusato direttamente la società: “È solo appropriazione indebita interna e colmare il buco con fondi aziendali?”
Il caso Upbit del 2019 ha mostrato che entità allineate alla Corea del Nord avevano precedentemente preso di mira grandi exchange per eludere le sanzioni attraverso furti informatici. Sebbene non sia chiaro se l’attuale incidente abbia coinvolto attori sponsorizzati dallo Stato, la natura avanzata dell’attacco rimane preoccupante.
