La "extracción de claves de firmas" mencionada en el hackeo de Upbit es un ataque avanzado de criptoanálisis contra el algoritmo Elliptic Curve Digital Signature Algorithm (ECDSA) utilizado en Solana (y muchas otras blockchains). Debido al previsible nonce (número aleatorio k) generado por el software de cartera de Upbit, los atacantes detectaron un patrón oculto dentro de las firmas, lo que les permitió calcular matemáticamente la clave privada de la cartera. 1. ¿Cómo funciona el ECDSA? Al firmar cada transacción: Clave privada: d (nunca compartido) Número aleatorio único: k (nonce) → debe ser completamente aleatorio y secreto para cada firma Firma resultante: par (r, s) (visible para todos en la blockchain) Si k no es aleatorio o tiene un patrón predecible, la clave privada d puede extraerse de múltiples firmas. 2. Vulnerabilidad en Upbit El propio software de cartera de Upbit no era capaz de generar valores nonce de forma lo suficientemente aleatoria. Esto creó un sesgo estadístico en los valores de las firmas (r, s). Los atacantes recogieron decenas/cientos de transacciones del monedero caliente de Upbit, analizaron estas firmas para averiguar qué bits de los nonces eran predecibles y calcularon la clave privada en segundos/minutos usando métodos matemáticos (ataque en red). 3. Tipos de ataques matemáticos utilizados Problema de Números Ocultos (HNP) + Reducción de red (algoritmos LLL/BKZ) Incluso una previsibilidad de solo 3–8 bits es suficiente para descifrar completamente la clave con 20–100 firmas. Incluso si hay un sesgo más débil (1–2 bits), aún puede romperse con miles de firmas 4. ¿Por qué se dice que "solo Lázaro puede hacerlo"? Este ataque requiere: conocimientos de nivel PhD en criptografía (HNP, criptoanálisis de red) Experiencia en análisis de datos blockchain Recursos de cómputo potentes (clústeres de GPU) Paciencia y seguimiento a largo plazo 5. Lecciones y precauciones a seguir La producción de nonce debe realizarse con la RFC 6979 (determinista pero segura) o con fuente de aleatoriedad de hardware verdadera (HWRNG). Se deben requerir firmas para superar pruebas de aleatoriedad (NIST, Dieharder).