Die in dem Upbit-Hack erwähnte "Schlüsselextraktion aus Signaturen" ist ein fortgeschrittener kryptanalytischer Angriff auf den Elliptic Curve Digital Signature Algorithm (ECDSA), der in Solana (und vielen anderen Blockchains) verwendet wird. Die Angreifer erfassten aufgrund des vorhersehbaren Nonce (einmalige Zufallszahl k), das von der Wallet-Software von Upbit erzeugt wurde, ein verborgenes Muster in den Signaturen und konnten so den privaten Schlüssel der Wallet mathematisch berechnen. 1. Wie funktioniert ECDSA einfach? Bei jeder Transaktion: Privater Schlüssel: d (wird niemals geteilt) Einmalige Zufallszahl: k (Nonce) → muss für jede Signatur völlig zufällig und geheim sein Die resultierende Signatur: Paar (r, s) (wird von jedem in der Blockchain gesehen) Wenn k nicht zufällig ist oder ein vorhersehbares Muster aufweist, kann der private Schlüssel d aus mehreren Signaturen zurückgewonnen werden. 2. Die Schwachstelle bei Upbit Die eigene Wallet-Software von Upbit konnte die Nonce-Werte nicht ausreichend zufällig erzeugen. Dies führte zu einer statistischen Verzerrung (Bias) in den Signaturwerten (r, s). Die Angreifer sammelten Dutzende/Hunderte von Transaktionen aus Upbits Hot Wallet, analysierten diese Signaturen, um herauszufinden, welche Bits der Nonces vorhersehbar waren, und berechneten den privaten Schlüssel innerhalb von Sekunden/Minuten mit mathematischen Methoden (Lattice-Angriff). 3. Verwendete Arten von mathematischen Angriffen Hidden Number Problem (HNP) + Lattice-Reduktion (LLL/BKZ-Algorithmen) Bereits eine Vorhersehbarkeit von 3–8 Bits reicht aus, um den Schlüssel mit 20–100 Signaturen vollständig zu brechen. Selbst bei schwächerem Bias (1–2 Bits) kann er mit Tausenden von Signaturen ebenfalls gebrochen werden. 4. Warum sagt man, dass "nur Lazarus das tun kann"? Dieser Angriff erfordert: Wissen auf Doktoratsniveau in Kryptographie (HNP, Gitterkryptanalyse) Expertise in Blockchain-Datenanalyse Starke Rechenressourcen (GPU-Cluster) Geduld und langfristige Überwachung 5. Lektionen und Vorsichtsmaßnahmen Die Erzeugung von Nonces sollte unbedingt mit RFC 6979 (deterministisch, aber sicher) oder einer echten Hardware-Zufallsquelle (HWRNG) erfolgen. Die Signaturen müssen zwingend Zufälligkeitstests (NIST, Dieharder) durchlaufen.