Южнокорейский эксперт предположил, что недавнее взлом Upbit мог произойти из-за математического эксплойта высокого уровня, нацеленного на недостатки в подписи биржи или системе генерации случайных чисел.
Вместо обычного взлома кошелька, атака, по-видимому, использовала тонкие шаблоны непредвзятости, встроенные в миллионы транзакций Solana — подход, требующий передовых знаний в области криптографии и значительных вычислительных ресурсов.
Спонсор
Спонсор
Технический анализ нарушения
В пятницу генеральный директор оператора Upbit Dunamu Кёнсук О принес публичные извинения за инцидент с Upbit, признав, что компания обнаружила брешь в безопасности, которая позволила злоумышленнику получить секретные ключи путем анализа большого количества транзакций кошелька Upbit, обнаруженных в блокчейне. Однако его заявление сразу же вызвало вопросы о том, как можно украсть закрытые ключи с помощью данных транзакций.
На следующий день профессор Джэу Чо из Университета Хансунг рассказал о взломе, связав его с предвзятыми или предсказуемыми одноразовыми номерами во внутренней системе подписи Upbit. Вместо типичных недостатков повторного использования одноразовых номеров ECDSA этот метод использует тонкие статистические закономерности в криптографии платформы. Чо объяснил, что злоумышленники могут изучить миллионы утекших подписей, определить закономерности предвзятости и в конечном итоге восстановить закрытые ключи.
Эта точка зрения согласуется с недавними исследованиями, показывающими, что аффинно связанные одноразовые номера ECDSA создают значительный риск. Исследование arXiv, проведенное в 2025 году, показало, что всего две подписи с такими связанными одноразовыми номерами могут раскрыть секретные ключи. В результате извлечение секретного ключа становится намного проще для злоумышленников, которые могут собирать большие наборы данных с бирж.
Уровень технической сложности позволяет предположить, что этот эксплойт осуществила организованная группа с продвинутыми криптографическими навыками. По словам Чо, выявление минимальной предвзятости среди миллионов подписей требует не только математических знаний, но и обширных вычислительных ресурсов.
В ответ на инцидент Upbit перевел все оставшиеся активы в безопасные холодные кошельки и прекратил ввод и вывод цифровых активов. Биржа также обязалась возместить любые потери из своих резервов, обеспечив немедленный контроль ущерба.
Спонсор
Спонсор
Объем и последствия для безопасности
Данные корейского исследователя указывают на то, что хакеры получили доступ не только к горячему кошельку биржи, но и к индивидуальным депозитным кошелькам. Это может указывать на компрометацию ключей авторизации сканирования или даже самих закрытых ключей, что сигнализирует о серьезном нарушении безопасности.
Другой исследователь отмечает, что, если секретные ключи будут раскрыты, Upbit может быть вынуждена полностью пересмотреть свои системы безопасности, включая аппаратные модули безопасности (HSM), многосторонние вычисления (MPC) и структуры кошельков. Этот сценарий поднимает вопросы о внутреннем контроле, указывая на возможное вмешательство инсайдеров и подвергая риску репутацию Upbit. Масштаб атаки подчеркивает необходимость надежных протоколов безопасности и строгого контроля доступа на основных биржах.
Этот инцидент показывает, что даже высокотехнологичные системы могут скрывать математические слабости. Эффективное генерирование одноразовых номеров должно обеспечивать случайность и непредсказуемость. Обнаруживаемая предвзятость создает уязвимости, которыми могут воспользоваться злоумышленники. Организованные злоумышленники все чаще способны выявлять и использовать эти недостатки.
Исследования мер безопасности ECDSA подчеркивают, что ошибочная случайность при создании nonce может привести к утечке ключевой информации. Случай с Upbit показывает, как теоретические уязвимости могут привести к крупным реальным потерям, когда у злоумышленников есть опыт и мотивация для их использования.
Сроки и влияние на отрасль
Время нападения вызвало спекуляции в обществе. Это произошло ровно через шесть лет после аналогичного взлома Upbit в 2019 году, ответственность за который возложили на северокорейских хакеров. Кроме того, взлом совпал с объявлением о крупном слиянии с участием Naver Financial и Dunamu, материнской компании Upbit.
В Интернете распространяются некоторые теории заговора о координации или инсайдерских знаниях, в то время как другие предполагают, что атака может маскировать другие мотивы, такие как внутреннее хищение. Хотя явные технические доказательства сложного математического эксплойта указывают на весьма продвинутую атаку киберпреступников, критики говорят, что эта закономерность по-прежнему отражает давнюю обеспокоенность по поводу корейских бирж:
«Все знают, что эти биржи убивают розничных трейдеров, размещая сомнительные токены и оставляя их умирать без ликвидности», — написал один из пользователей. Другие отметили: «Две зарубежные биржи альткойнов недавно проделали тот же трюк и исчезли», а другой прямо обвинил компанию: «Это просто внутреннее хищение и затыкание дыры средствами компании?»
Дело Upbit в 2019 году показало, что организации, связанные с Северной Кореей, ранее преследовали крупные биржи, чтобы избежать санкций посредством киберкражи. Хотя неясно, были ли в нынешнем инциденте замешаны лица, спонсируемые государством, масштабный характер атаки по-прежнему вызывает беспокойство.
Об авторе
