De "sleutelafleiding uit handtekeningen" die wordt genoemd in de Upbit-hack is een geavanceerde cryptanalytische aanval op de Elliptic Curve Digital Signature Algorithm (ECDSA) die wordt gebruikt in Solana (en veel andere blockchains). Aanvallers vingen een verborgen patroon in de handtekeningen vanwege de voorspelbare nonce (eenmalig willekeurig getal k) die door de wallet-software van Upbit werd geproduceerd, waardoor ze de privésleutel (private key) van de wallet wiskundig konden berekenen. 1. Hoe werkt ECDSA eenvoudig? Bij elke transactie ondertekenen: Privésleutel: d (nooit gedeeld) Eenmalig willekeurig getal: k (nonce) → moet volledig willekeurig en geheim zijn voor elke handtekening De resulterende handtekening: het paar (r, s) (zichtbaar voor iedereen op de blockchain) Als k niet willekeurig is of een voorspelbaar patroon heeft, kan de privésleutel d worden teruggeleid uit meerdere handtekeningen. 2. De kwetsbaarheid bij Upbit De eigen wallet-software van Upbit genereerde nonce-waarden niet voldoende willekeurig. Dit creëerde een statistische bias in de waarden van de handtekeningen (r, s). Aanvallers verzamelden tientallen/honderden transacties van Upbit's hot wallet, analyseerden deze handtekeningen om te ontdekken welke bits van de nonces voorspelbaar waren, en berekenden de privésleutel binnen enkele seconden/minuten met wiskundige methoden (lattice attack). 3. Soorten wiskundige aanvallen die werden gebruikt Hidden Number Problem (HNP) + Lattice reduction (LLL/BKZ-algoritmen) Zelfs een voorspelbaarheid van slechts 3–8 bits is voldoende om de sleutel volledig te breken met 20–100 handtekeningen. Zelfs met een zwakkere bias (1–2 bits) kan het nog steeds worden gebroken met duizenden handtekeningen. 4. Waarom wordt gezegd "Alleen Lazarus kan dit doen"? Deze aanval vereist: Kennis op het niveau van een doctoraat in de cryptografie (HNP, lattice cryptanalysis) Expertise in blockchain data-analyse Krachtige rekenbronnen (GPU-clusters) Geduld en langdurige monitoring 5. Lessen en voorzorgsmaatregelen Nonce-generatie moet absoluut worden gedaan met RFC 6979 (deterministisch maar veilig) of een echte hardware random number generator (HWRNG). Handtekeningen moeten verplicht worden onderworpen aan willekeurigheidstests (NIST, Dieharder).