Een Zuid-Koreaanse expert heeft gesuggereerd dat de recente Upbit-inbraak mogelijk is ontstaan door een hoogstaand wiskundige exploit, gericht op zwakheden in het onderschrijvings- of willekeurige-nummergeneratiesysteem van de exchange.
In plaats van een conventioneel walletcompromis, lijkt de aanval subtiele nonce-biaspatronen in miljoenen Solana-transacties te hebben benut – een aanpak die geavanceerde cryptografische deskundigheid en aanzienlijke computerbronnen vereist.
SponsoredTechnische analyse van de inbreuk
Op vrijdag gaf de CEO van Upbit-operator Dunamu, Kyoungsuk Oh, een openbare excuses voor het Upbit-incident en erkende dat het bedrijf een beveiligingsfout had ontdekt, waardoor een aanvaller privésleutels kon afleiden door een groot aantal Upbit-wallettransacties te analyseren die op de blockchain zichtbaar waren. Zijn verklaring riep echter onmiddellijke vragen op over hoe privésleutels via transactiegegevens konden worden gestolen.
De volgende dag gaf professor Jaewoo Cho van de Hansung Universiteit inzicht in de inbraak en koppelde deze aan bevooroordeelde of voorspelbare nonces binnen het interne ondertekeningssysteem van Upbit. In plaats van typische ECDSA nonce-hergebruikfouten, maakte deze methode gebruik van subtiele statistische patronen in de cryptografie van het platform. Cho legde uit dat aanvallers miljoenen gelekte handtekeningen konden onderzoeken, biaspatronen konden afleiden en uiteindelijk privésleutels konden achterhalen.
Dit perspectief komt overeen met recente studies die aantonen dat affien gerelateerde ECDSA-nonces een aanzienlijk risico vormen. Een studie uit 2025 op arXiv toonde aan dat slechts twee handtekeningen met dergelijke gerelateerde nonces privésleutels kunnen blootleggen. Als gevolg hiervan wordt het voor aanvallers veel gemakkelijker om privésleutels te extraheren die grote datasets van exchanges kunnen verzamelen.
Het niveau van technische verfijning suggereert dat een georganiseerde groep met geavanceerde cryptografische vaardigheden deze exploit heeft uitgevoerd. Volgens Cho vereist het identificeren van minimale bias in miljoenen handtekeningen niet alleen wiskundige expertise, maar ook uitgebreide computerbronnen.
Als reactie op het incident heeft Upbit alle resterende activa overgebracht naar veilige cold wallets en stortingen en opnames van digitale activa stopgezet. De exchange heeft ook beloofd eventuele verliezen uit zijn reserves te herstellen voor onmiddellijke schadebeheersing.
Omvang en veiligheidsimplicaties
Bewijs van een Koreaanse onderzoeker geeft aan dat hackers niet alleen toegang kregen tot de hot wallet van de exchange, maar ook tot individuele depositowallets. Dit kan wijzen op het compromitteren van sweep-authority-sleutels — of zelfs de privésleutels zelf — wat wijst op een ernstige beveiligingsbreuk.
Een andere onderzoeker wijst op dat, als privésleutels waren blootgelegd, Upbit gedwongen zou kunnen worden om zijn beveiligingssystemen volledig te herzien, inclusief zijn hardwarebeveiligingsmodules (HSM), multiparty-cryptografie (MPC) en walletstructuren. Dit scenario roept vragen op over interne controles, die mogelijk wijzen op betrokkenheid van binnenuit en Upbit’s reputatie in gevaar brengen. De omvang van de aanval benadrukt de noodzaak van robuuste beveiligingsprotocollen en strikte toegangscontroles bij grote exchanges.
Het incident illustreert dat zelfs hoog ontwikkelde systemen wiskundige zwakheden kunnen verbergen. Effectieve nonce-generatie moet willekeurig en onvoorspelbaar zijn. Detecteerbare bias creëert kwetsbaarheden die aanvallers kunnen uitbuiten. Georganiseerde aanvallers kunnen steeds gemakkelijker deze zwakheden identificeren en benutten.
SponsoredOnderzoek naar ECDSA-beveiliging benadrukt dat foutieve willekeurigheid bij nonce-creatie sleutelinformatie kan lekken. De Upbit-zaak laat zien hoe theoretische kwetsbaarheden kunnen leiden tot grote echte verliezen wanneer aanvallers de expertise en motivatie hebben om ze uit te buiten.
Timing en impact op de industrie
De timing van de aanval heeft speculaties binnen de gemeenschap aangewakkerd. Het vond precies zes jaar na een vergelijkbare Upbit-inbraak in 2019 plaats, die aan Noord-Koreaanse hackers werd toegeschreven. Bovendien viel de hack samen met de aankondiging van een grote fusie met Naver Financial en Dunamu, het moederbedrijf van Upbit.
Online circuleren enkele complottheorieën over coördinatie of insiderkennis, terwijl anderen suggereren dat de aanval andere motieven zou kunnen maskeren, zoals interne verduistering. Hoewel het duidelijke technische bewijs van een complexe wiskundige exploit wijst op een zeer geavanceerde aanval door cybercriminelen, zeggen critici dat het patroon nog steeds oude zorgen over Koreaanse exchanges weerspiegelt:
“Iedereen weet dat deze exchanges retailhandelaren afslachten door twijfelachtige tokens te noteren en ze zonder liquiditeit te laten doodbloeden,” schrijft een gebruiker. Anderen merkten op: “Twee buitenlandse altcoin exchanges hebben onlangs dezelfde stunt uitgehaald en zijn verdwenen,” terwijl een ander het bedrijf direct beschuldigde: “Is dit gewoon interne verduistering en het dichten van het gat met bedrijfsmiddelen?”
De zaak uit 2019 met Upbit toonde aan dat met Noord-Korea verbonden entiteiten eerder grote exchanges hadden getarget om sancties te omzeilen via cyberdiefstal. Hoewel het onduidelijk is of de huidige gebeurtenis staatsgesponsorde actoren betrof, blijft de geavanceerde aard van de aanval zorgwekkend.
