«Nøkkelutvinningen fra signaturer» som nevnes i Upbit-hacket er et avansert kryptanalyseangrep på Elliptic Curve Digital Signature Algorithm (ECDSA)-algoritmen brukt på Solana (og mange andre blokkjedeker). På grunn av den forutsigbare nonce (engangs tilfeldig tall k) generert av Upbits lommebokprogramvare, oppdaget angriperne et skjult mønster i signaturene, noe som gjorde det mulig å matematisk beregne lommebokens private nøkkel. 1. Enkelt: Hvordan fungerer ECDSA? Når du signerer hver transaksjon: Privat nøkkel: d (aldri delt) Engangs tilfeldig tall: k (nonce) → må være helt tilfeldig og hemmelig for hver signatur Resulterende signatur: (r, s) par (synlig for alle på blokkjeden) Hvis k ikke er tilfeldig eller har et forutsigbart mønster, kan den private nøkkelen d hentes ut fra flere signaturer. 2. Sårbarhet i Upbit Upbits egen lommebokprogramvare klarte ikke å generere nonce-verdier tilfeldig nok. Dette skapte en statistisk skjevhet i verdiene til signaturene (r, s). Angriperne samlet inn titalls/hundrevis av transaksjoner fra Upbits hot wallet, analyserte disse signaturene for å finne ut hvilke biter av noncene som var forutsigbare, og beregnet den private nøkkelen i sekunder/minutter ved hjelp av matematiske metoder (gitterangrep). 3. Typer matematiske angrep brukt Skjult tall-problem (HNP) + gitterreduksjon (LLL/BKZ-algoritmer) Selv en forutsigbarhet på bare 3–8 biter er nok til å knekke nøkkelen fullstendig med 20–100 signaturer. Selv om det er svakere bias (1–2 biter), kan den fortsatt brytes med tusenvis av signaturer 4. Hvorfor sies det at «bare Lasarus kan gjøre det»? Dette angrepet krever: PhD-nivå kunnskap i kryptografi (HNP, gitterkryptanalyse) Ekspertise innen blokkjededataanalyse Kraftige beregningsressurser (GPU-klynger) Tålmodighet og langsiktig overvåking 5. Lærdommer og forholdsregler som bør tas Nonce-produksjon må gjøres med RFC 6979 (deterministisk, men sikker) eller ekte maskinvare-tilfeldighetskilde (HWRNG). Signaturer må være nødvendige for å bestå tilfeldighetstester (NIST, Dieharder).