La "extracción de claves a partir de firmas" mencionada en el hackeo de Upbit es un ataque criptanalítico avanzado dirigido al algoritmo de firma digital de curva elíptica (ECDSA) utilizado en Solana (y en muchas otras blockchains). Los atacantes capturaron un patrón oculto en las firmas debido a un nonce (número aleatorio de un solo uso k) predecible generado por el software de billetera de Upbit, lo que les permitió calcular matemáticamente la clave privada de la billetera. 1. ¿Cómo funciona ECDSA de manera simple? Al firmar cada transacción: Clave privada: d (nunca se comparte) Número aleatorio de un solo uso: k (nonce) → debe ser completamente aleatorio y secreto para cada firma Firma resultante: par (r, s) (visible para todos en la blockchain) Si k no es aleatorio o tiene un patrón predecible, la clave privada d puede ser recuperada a partir de múltiples firmas. 2. La vulnerabilidad en Upbit El software de billetera de Upbit no generaba valores de nonce lo suficientemente aleatorios. Esto creó un sesgo estadístico en los valores de las firmas (r, s). Los atacantes recopilaron decenas o cientos de transacciones realizadas desde la hot wallet de Upbit, analizando estas firmas para descubrir qué bits de los nonces eran predecibles, y calcularon la clave privada en segundos/minutos mediante métodos matemáticos (ataque de reticulado). 3. Tipos de ataques matemáticos utilizados Problema del número oculto (HNP) + reducción de reticulado (algoritmos LLL/BKZ) Incluso una previsibilidad de solo 3 a 8 bits es suficiente para romper completamente la clave con 20 a 100 firmas. Incluso si hay un sesgo más débil (1-2 bits), también puede ser roto con miles de firmas. 4. ¿Por qué se dice que "solo Lazarus puede hacerlo"? Este ataque requiere: conocimiento a nivel de doctorado en criptografía (HNP, criptanalisis de reticulado) experiencia en análisis de datos de blockchain recursos computacionales potentes (grupos de GPU) paciencia y monitoreo a largo plazo. 5. Lecciones y precauciones a tomar La generación de nonces debe hacerse obligatoriamente con RFC 6979 (determinístico pero seguro) o con una fuente de aleatoriedad de hardware real (HWRNG). Las firmas deben pasar pruebas de aleatoriedad (NIST, Dieharder) obligatoriamente.