A "extração de chave a partir de assinaturas" mencionada no hack da Upbit é um ataque de criptoanálise avançado direcionado ao algoritmo Elliptic Curve Digital Signature Algorithm (ECDSA), utilizado no Solana (e em muitos outros blockchains). Os atacantes capturaram um padrão oculto nas assinaturas devido ao nonce (número aleatório de uso único k) previsível gerado pelo software de carteira da Upbit, permitindo-lhes calcular matematicamente a chave privada da carteira. 1. Como o ECDSA Funciona Simplesmente? Ao assinar cada transação: Chave privada: d (nunca deve ser compartilhada) Número aleatório de uso único: k (nonce) → deve ser completamente aleatório e secreto para cada assinatura A assinatura resultante: par (r, s) (visível para todos na blockchain) Se k não for aleatório ou tiver um padrão previsível, a chave privada d pode ser recuperada a partir de várias assinaturas. 2. A Vulnerabilidade na Upbit O software de carteira da Upbit não gerava valores de nonce suficientemente aleatórios. Isso criou um viés estatístico (bias) nos valores das assinaturas (r, s). Os atacantes coletaram dezenas/hundreds de transações feitas da hot wallet da Upbit, analisaram essas assinaturas para descobrir quais bits dos nonces eram previsíveis e calcularam a chave privada em segundos/minutos usando métodos matemáticos (ataque de rede). 3. Tipos de Ataques Matemáticos Utilizados Hidden Number Problem (HNP) + Redução de Rede (algoritmos LLL/BKZ) Apenas 3–8 bits de previsibilidade são suficientes para quebrar completamente a chave com 20–100 assinaturas. Mesmo com um viés mais fraco (1–2 bits), ainda pode ser quebrado com milhares de assinaturas. 4. Por que se Diz "Apenas Lazarus Pode Fazer Isso"? Esse ataque requer: conhecimento em nível de doutorado em criptografia (HNP, criptoanálise de rede) especialização em análise de dados de blockchain recursos computacionais robustos (clusters de GPU) paciência e monitoramento a longo prazo. 5. Lições e Precauções a Serem Tomadas A geração de nonces deve ser feita obrigatoriamente com RFC 6979 (determinístico, mas seguro) ou uma fonte de aleatoriedade de hardware real (HWRNG). As assinaturas devem passar por testes de aleatoriedade (NIST, Dieharder).