En expert från Sydkorea har föreslagit att det senaste Upbit-intrånget kan ha uppstått från ett avancerat matematiskt utnyttjande som riktats mot brister i börsens signatur- eller slumpgenerator-system.
Istället för ett konventionellt plånbokskompromiss verkar attacken ha använt subtila mönster av nonce-bias i miljontals Solana-transaktioner—en metod som kräver avancerad kryptografisk expertis och betydande datorresurser.
Teknisk analys av intrånget
På fredagen gav Upbits operatör Dunamus VD Kyoungsuk Oh en offentlig ursäkt angående Upbit-incidenten och erkände att företaget hade upptäckt en säkerhetsbrist som tillät en angripare att härleda privata nycklar genom att analysera ett stort antal Upbit-plånbokstransaktioner som var exponerade på blockchainen. Hans uttalande väckte dock omedelbart frågor om hur privata nycklar kunde stjälas genom transaktionsdata.
Dagen efter gav professor Jaewoo Cho från Hansung University insikt i intrånget och kopplade det till förutsägbara eller förutsägbara nonces i Upbits interna signeringssystem. Istället för vanliga ECDSA nonce-återanvändningsbrister utnyttjade denna metod subtila statistiska mönster i plattformens kryptografi. Cho förklarade att angripare kunde undersöka miljontals läckta signaturer, härleda biasmönster och slutligen återställa privata nycklar.
Denna syn stämmer med senaste studier som visar att affint relaterade ECDSA-nonces skapar en betydande risk. En 2025-studie på arXiv visade att bara två signaturer med sådana relaterade nonces kan avslöja privata nycklar. Därför blir det mycket enklare att extrahera privata nycklar för angripare som kan samla stora datamängder från börser.
Nivån på teknisk sofistikering tyder på att en organiserad grupp med avancerade kryptografiska färdigheter utförde detta intrång. Enligt Cho kräver identifiering av minimal bias bland miljontals signaturer inte bara matematisk expertis utan också omfattande datorresurser.
Som svar på incidenten flyttade Upbit alla återstående tillgångar till säkra kalla plånböcker och stoppade insättningar och uttag av digitala tillgångar. Börsen har också lovat att återställa eventuella förluster från sina reserver, vilket säkerställer omedelbar skadekontroll.
Omfattning och säkerhetskonsekvenser
Bevis från en koreansk forskare visar att hackare fick tillgång inte bara till börsens heta plånbok utan även till individuella insättningsplånböcker. Detta kan tyda på en kompromiss av svepa-autoritet nycklar—eller till och med de privata nycklarna själva— vilket signalerar ett allvarligt säkerhetsintrång.
En annan forskare påpekar att om privata nycklar avslöjades, kan Upbit tvingas att göra en omfattande översyn av sina säkerhetssystem, inklusive sina hårdvarusäkerhetsmoduler (HSM), flerpartsberäkning (MPC), och plånboksstrukturer. Detta scenario väcker frågor om interna kontroller, indikerar möjligt internt deltagande och sätter Upbits rykte på spel. Ingreppets omfattning betonar behovet av robusta säkerhetsprotokoll och strikta åtkomstkontroller över stora börser.
Incidenten visar att även högt ingenjörade system kan dölja matematiska svagheter. Effektiv nonce-generering måste säkerställa slumpmässighet och oförutsägbarhet. Påvisbar bias skapar sårbarheter som angripare kan utnyttja. Organiserade angripare blir alltmer kapabla att identifiera och använda dessa brister.
Forskning om ECDSA-skydd betonar att felaktig slumpmässighet i nonce-skapande kan läcka nyckelinformation. Upbit-fallet visar hur teoretiska sårbarheter kan översättas till stora förluster i verkligheten när angripare har expertis och motivation att utnyttja dem.
Timing och Branschpåverkan
Intrångets tidpunkt har skapat spekulationer i gemenskapen. Det inträffade exakt sex år efter ett liknande Upbit-intrång 2019, som hänfördes till nordkoreanska hackare. Dessutom sammanföll attacken med tillkännagivandet av en stor sammanslagning som involverar Naver Financial och Dunamu, Upbits moderbolag.
Online, finns några konspirationsteorier om samordning eller insiderkunskap, medan andra antyder att attacken kunde dölja andra motiv, som internt förskingring. Trots det tydliga tekniska beviset på ett komplext matematiskt intrång pekar på en mycket avancerad attack av cyberkriminella, säger kritiker att mönstret fortfarande speglar långvariga oro över koreanska börser:
”Alla vet att dessa börser massakrerar småhandlare genom att lista tveksamma tokens och sedan lämna dem att självdö utan likviditet,” skrev en användare. Andra noterade: ”Två utländska altcoin-börser gjorde nyligen samma sak och försvann,” medan en annan anklagade företaget direkt: ”Är detta bara intern förskingring och pluggning av hålet med företagets medel?”
2019 års Upbit-fall visade att Nordkorea-allierade enheter tidigare hade siktat in sig på stora börser för att kringgå sanktioner genom cyberstöld. Även om det är oklart om den nuvarande incidenten involverade statsstödda aktörer, så är den avancerade karaktären av attacken fortfarande oroande.
