Một chuyên gia Hàn Quốc đã đề xuất rằng sự vi phạm Upbit gần đây có thể bắt nguồn từ một cuộc tấn công toán học cao cấp nhắm vào các khiếm khuyết trong hệ thống chữ ký hoặc hệ thống tạo số ngẫu nhiên của sàn giao dịch.
Thay vì sự xâm nhập ví thông thường, cuộc tấn công này dường như đã lợi dụng các mẫu nonce-biased tế nhị trong hàng triệu giao dịch Solana—một phương pháp đòi hỏi chuyên môn về mật mã tiên tiến và tài nguyên tính toán đáng kể.
SponsoredPhân tích kỹ thuật về sự vi phạm
Vào thứ Sáu, CEO Oh Kyoungsuk của Dunamu (đơn vị vận hành Upbit) đã đưa ra lời xin lỗi công khai về vụ việc của Upbit, thừa nhận rằng công ty đã phát hiện ra một lỗ hổng bảo mật cho phép kẻ tấn công lấy được khóa riêng tư bằng cách phân tích số lượng lớn các giao dịch ví của Upbit trên blockchain. Tuy nhiên, tuyên bố của ông đã ngay lập tức gây ra câu hỏi về cách mà khóa riêng tư có thể bị đánh cắp thông qua dữ liệu giao dịch.
Ngày hôm sau, Giáo sư Cho Jaewoo của Đại học Hansung đã cung cấp cái nhìn sâu sắc về sự cố, liên kết vụ việc với các nonce thiên kiến hoặc có thể dự đoán được trong hệ thống ký nội bộ của Upbit. Thay vì các lỗi tái sử dụng ECDSA nonce thông thường, phương pháp này đã khai thác các mẫu thống kê tế nhị trong mật mã của sàn giao dịch. Cho giải thích rằng những kẻ tấn công có thể kiểm tra hàng triệu chữ ký bị rò rỉ, suy luận các mẫu thiên kiến, và cuối cùng chiếm được khóa riêng tư.
Quan điểm này phù hợp với các nghiên cứu gần đây cho thấy norelated ECDSA affinely tạo ra rủi ro đáng kể. Một nghiên cứu năm 2025 trên arXiv đã chứng minh rằng chỉ cần hai chữ ký với các nonces liên quan có thể tiết lộ khóa riêng tư. Do đó, việc chiết xuất khóa riêng tư trở nên dễ dàng hơn nhiều đối với các kẻ tấn công có thể thu thập các tập dữ liệu lớn từ các sàn giao dịch.
Mức độ phức tạp về kỹ thuật cho thấy một nhóm tổ chức với kỹ năng mật mã tiên tiến đã thực hiện cuộc tấn công này. Theo Cho, việc xác định thiên kiến tối thiểu qua hàng triệu chữ ký đòi hỏi không chỉ về chuyên môn toán học mà còn về nguồn tài nguyên tính toán rộng rãi.
Để đáp lại sự cố này, Upbit đã chuyển tất cả tài sản còn lại vào các ví lạnh an toàn và ngừng cho phép nạp và rút tài sản số. Sàn giao dịch cũng cam kết khôi phục lại bất kỳ tổn thất nào từ quỹ dự trữ của mình để đảm bảo hành động kiểm soát thiệt hại ngay lập tức.
SponsoredQuy mô và tác động đến an ninh
Bằng chứng từ một nhà nghiên cứu Hàn Quốc chỉ ra rằng hacker không chỉ truy cập được vào ví nóng của sàn mà còn vào các ví nạp tiền cá nhân. Điều này có thể chỉ ra việc thâm nhập vào các khóa quyền quét—hoặc thậm chí là chính các khóa riêng tư—báo hiệu một rò rỉ bảo mật nghiêm trọng.
Một nhà nghiên cứu khác chỉ ra rằng, nếu khóa riêng tư bị lộ, Upbit có thể buộc phải đại tu toàn diện hệ thống bảo mật của mình, bao gồm các mô-đun bảo mật phần cứng (HSM), tính toán đa bên (MPC), và cấu trúc ví. Tình huống này đặt ra những câu hỏi về kiểm soát nội bộ, cho thấy khả năng có liên quan đến người bên trong và đặt ra rủi ro cho uy tín của Upbit. Mức độ của cuộc tấn công nhấn mạnh nhu cầu về các giao thức bảo mật mạnh mẽ và kiểm soát truy cập nghiêm ngặt trên các sàn giao dịch lớn.
Sự cố cho thấy rằng ngay cả những hệ thống kỹ thuật cao cũng có thể che giấu các điểm yếu toán học. Việc tạo nonce hiệu quả phải đảm bảo tính ngẫu nhiên và không thể đoán trước. Thiên kiến có thể phát hiện tạo ra những điểm yếu mà kẻ tấn công có thể khai thác. Các tổ chức tấn công ngày càng có khả năng xác định và tận dụng những lỗi này.
Nghiên cứu về bảo vệ ECDSA nhấn mạnh rằng tính ngẫu nhiên sai trong việc tạo nonce có thể rò rỉ thông tin khóa. Vụ Upbit cho thấy những điểm yếu lý thuyết có thể dẫn đến những tổn thất thực tế lớn khi kẻ tấn công có đủ chuyên môn và động lực để khai thác chúng.
Thời điểm và tác động trong ngành
Thời điểm của cuộc tấn công đã làm dấy lên sự suy đoán trong cộng đồng. Nó xảy ra đúng sáu năm sau một vụ vi phạm tương tự của Upbit vào năm 2019, được cho là do hacker Triều Tiên gây ra. Hơn nữa, vụ hack trùng khớp với thông báo về một vụ sáp nhập lớn liên quan đến Naver Financial và Dunamu, công ty mẹ của Upbit.
Trên mạng, có một số thuyết âm mưu về sự phối hợp hoặc hiểu biết bên trong, trong khi người khác cho rằng cuộc tấn công có thể che giấu những động cơ khác như biển thủ nội bộ. Mặc dù các bằng chứng kỹ thuật rõ ràng về một cuộc tấn công toán học phức tạp đều cho thấy một cuộc tấn công tiên tiến do tội phạm mạng thực hiện, những người chỉ trích nói rằng mô hình này vẫn phản ánh những lo ngại lâu dài về các sàn giao dịch của Hàn Quốc:
“Ai cũng biết những sàn giao dịch này gây thiệt hại cho nhà đầu tư nhỏ lẻ bằng cách niêm yết các token đáng ngờ và để chúng chết mà không có thanh khoản,” một người dùng viết. Những người khác lưu ý, “Hai sàn giao dịch altcoin ở nước ngoài gần đây đã thực hiện thủ đoạn tương tự và biến mất,” trong khi một người khác cáo buộc trực tiếp công ty: “Đây có chỉ đơn thuần là biển thủ nội bộ và bù đắp lỗ hổng bằng quỹ của công ty?”
Trường hợp Upbit năm 2019 cho thấy các thực thể liên kết với Triều Tiên đã từng nhắm vào các sàn giao dịch lớn để trốn tránh các biện pháp trừng phạt thông qua trộm cắp mạng. Mặc dù không rõ liệu sự cố hiện tại có liên quan đến các diễn viên được nhà nước bảo trợ hay không, nhưng tính chất tiên tiến của cuộc tấn công vẫn đang gây lo ngại.
