Eteläkorealainen asiantuntija on ehdottanut, että äskettäinen Upbit-vuoto saattoi johtua korkean tason matemaattisesta hyväksikäytöstä, joka kohdistui pörssin allekirjoitus- tai satunnaisnumerogenerointijärjestelmän puutteisiin.
Perinteisen lompakon murtamisen sijaan hyökkäys vaikuttaa käyttäneen hienovaraisia nonce-biaseja miljoonissa Solana-tapahtumissa—lähestymistapaa, joka vaatii edistynyttä kryptografista osaamista ja merkittäviä laskentaresursseja.
Tekninen analyysi tietomurrosta
Perjantaina Upbitin operaattorin Dunamun toimitusjohtaja Kyoungsuk Oh esitti julkisen anteeksipyynnön koskien Upbit-tapausta, myöntäen, että yhtiö oli havainnut turvallisuuspuutteen, joka salli hyökkääjän päätellä yksityisiä avaimia analysoimalla suurta määrää lohkoketjussa näkyviä Upbit-lompakon tapahtumia. Hänen lausuntonsa herätti kuitenkin välittömiä kysymyksiä siitä, miten yksityisiä avaimia voisi varastaa transaktiotietojen kautta.
Seuraavana päivänä Hansungin yliopiston professori Jaewoo Cho tarjosi näkemyksen murron taustoista yhdistämällä sen Upbitin sisäisen allekirjoitusjärjestelmän disinoneihin tai ennustettaviin nonceihin. Tämän menetelmän sijaan, että olisi ollut tyypillisiä ECDSA nonce-uudelleenkäytön puutteita, hyödynnettiin hienovaraisia tilastollisia kuvioita alustan kryptografiassa. Cho selitti, että hyökkääjät saattoivat tarkastella miljoonia vuotaneita allekirjoituksia, päätellä bias-kuvioita ja lopulta palauttaa yksityiset avaimet.
Tämä näkökulma käy yksiin äskettäisten tutkimusten kanssa, jotka osoittavat, että affinistisesti liittyvät ECDSA-noncet aiheuttavat merkittävän riskin. Vuoden 2025 arXiv-tutkimus osoitti, että vain kaksi tällaiseen nonce-suhteeseen liittyvää allekirjoitusta voivat paljastaa yksityiset avaimet. Tämän seurauksena yksityisten avainten poimiminen helpottuu huomattavasti hyökkääjille, jotka voivat kerätä suuria tietomääriä pörsseistä.
Teknisen monimutkaisuuden taso viittaa siihen, että organisoitu ryhmä, jolla on edistyneitä kryptografisia taitoja, suoritti tämän hyväksikäytön. Chon mukaan miljoonien allekirjoitusten vähimmäisbiasin tunnistaminen vaatii paitsi matemaattista osaamista myös laajoja laskentaresursseja.
Tapauksen johdosta Upbit siirsi kaikki jäljellä olevat omaisuuden turvaamaan kylmiin lompakoihin ja pysäytti digitaalisten omaisuuksien talletukset ja nostot. Vaihtopörssi on myös sitoutunut palauttamaan mahdolliset tappiot varannoistaan, varmistaen näin välittömän vahingonhallinnan.
Laajuus ja turvallisuusvaikutukset
Korealaisen tutkijan todisteet osoittavat, että hakkerit saivat pääsyn paitsi pörssin kuumaan lompakkoon myös yksittäisiin talletuslompakoihin. Tämä saattaa viitata pyyhkäisyoikeusavainten kompromissiin tai jopa yksityisten avainten vaarantumiseen, mikä merkitsee vakavaa tietoturvaloukkausta.
Toinen tutkija huomauttaa, että jos yksityiset avaimet ovat paljastuneet, Upbit voi joutua uudistamaan kattavasti turvallisuusjärjestelmiään, mukaan lukien laitteistoturvamoduulit (HSM), moniosapuolisten laskentojen (MPC) ja lompakkorakenteiden osalta. Tämä tilanne herättää kysymyksiä sisäisistä valvontajärjestelmistä, viitaten mahdolliseen sisäpiiriläisten osallistumiseen ja asettaen Upbitin maineen vaakalaudalle. Hyökkäyksen laajuus korostaa vahvojen turvallisuusprotokollien ja tiukkojen pääsynvalvontojen tarvetta suurissa pörsseissä.
Tapaus osoittaa, että jopa erittäin kehittyneisiin järjestelmiin voi kätkeytyä matemaattisia heikkouksia. Tehokkaan noncen tulee luoda satunnaisuutta ja ennalta-arvaamattomuutta. Havaitseva bias luo haavoittuvuuksia, joita hyökkääjät voivat hyödyntää. Järjestäytyneet hyökkääjät ovat yhä kykenevämpiä tunnistamaan ja hyödyntämään näitä heikkouksia.
Tutkimus ECDSA-suojauksista korostaa, että viallinen satunnaisuus noncen luonnissa voi paljastaa avaintietoja. Upbitin tapaus osoittaa, kuinka teoreettiset haavoittuvuudet voivat muuttua suuriksi reaalimaailman tappioiksi, kun hyökkääjillä on asiantuntemus ja motivaatio niiden hyödyntämiseen.
Ajoitus ja toimialavaikutus
Hyökkäyksen ajoitus on lisännyt yhteisön spekulaatioita. Se tapahtui täsmälleen kuusi vuotta edellisen, vuonna 2019 tapahtuneen Upbit-loukkauksen jälkeen, joka syytettiin pohjoiskorealaisille hakkereille. Lisäksi hakkerointi osui yhteen Naver Financialin ja Dunamun merkittävän fuusioilmoituksen kanssa, joka on Upbitin emoyhtiö.
Verkossa jotkut spekulaatiot viittaavat yhteistyöhön tai sisäpiiriluontoiseen tietoon, kun taas toiset ehdottavat, että hyökkäys voisi peittää muita motiiveja, kuten sisäistä kavallusta. Vaikka selkeä tekninen todiste monimutkaisesta matemaattisesta hyväksikäytöstä viittaa erittäin edistyneeseen hyökkäykseen kyberrikollisten taholta, kriitikot sanovat että kuvio muistuttaa edelleen pitkiä huolenaiheita korealaisista pörsseistä:
“Kaikki tietävät, että nämä pörssit teurastavat yksityissijoittajat listaamalla kyseenalaisia tokeneita ja antamalla niiden kuolla ilman likviditeettiä,” eräs käyttäjä kirjoitti. Toiset huomauttivat, “Kaksi ulkomaista altcoin-pörssiä teki äskettäin saman ja katosi,” kun taas toinen syytti yhtiötä suoraan: “Onko tämä vain sisäinen kavallus ja peitetäänkö aukko yhtiön varoilla?”
Vuoden 2019 Upbit-tapaus osoitti, että Pohjois-Koreaan liittyvät tahot olivat aiemmin kohdentaneet suuria pörssejä kiertääkseen pakotteita kybervarkaudella. Vaikka ei ole selvää, liittyikö nykyinen tapaus valtion tukemiin toimijoihin, hyökkäyksen edistynyt luonne on edelleen huolestuttava.
