ผู้เชี่ยวชาญจากประเทศเกาหลีใต้ได้เสนอว่าเหตุการณ์เจาะระบบของ Upbit ล่าสุดอาจมีสาเหตุมาจากการใช้การแสวงหาผลประโยชน์ทางคณิตศาสตร์ระดับสูงที่เน้นข้อบกพร่องในระบบลายเซ็นหรือการสร้างเลขสุ่มของทางแลกเปลี่ยน
แทนที่จะเป็นการถูกโจมตีจากกระเป๋าเงินโดยปกติ การโจมตีครั้งนี้ดูเหมือนจะใช้ประโยชน์จากลวดลายที่ซ่อนอยู่ในธุรกรรม Solana หลายล้านรายการ ซึ่งเป็นวิธีการที่ต้องใช้ความเชี่ยวชาญทางวิทยาการรหัสลับขั้นสูงและทรัพยากรการประมวลผลขนาดใหญ่
Sponsoredการวิเคราะห์ทางเทคนิคของการละเมิด
ในวันศุกร์ CEO ของ Dunamu ผู้ดำเนินการ Upbit นาย Kyoungsuk Oh ได้ออก คำขอโทษต่อสาธารณะ เกี่ยวกับเหตุการณ์ที่เกิดขึ้น โดยกล่าวว่าบริษัทได้ค้นพบข้อบกพร่องด้านความปลอดภัยที่ทำให้ผู้โจมตีสามารถวิเคราะห์ข้อมูลที่แสดงในบล็อกเชนเพื่อคำนวณคีย์ส่วนตัวได้ คำแถลงของเขาทำให้เกิดคำถามทันทีว่าคีย์ส่วนตัวสามารถถูกขโมยผ่านข้อมูลธุรกรรมได้อย่างไร
วันถัดมา ศาสตราจารย์ Jaewoo Cho จากมหาวิทยาลัย Hansung ได้ เสนอข้อมูลเชิงลึกในเรื่องนี้ เชื่อมโยงกับการคาดเดาที่ไม่สมดุลหรือทำนายได้ของ nonce ภายในระบบการลงลายเซ็นของ Upbit โดยไม่ใช่ข้อบกพร่องการใช้ nonce ซ้ำแบบ ECDSA ทั่วไป วิธีนี้ใช้ประโยชน์จากรูปแบบสถิติที่คลุมเครือในวิทยาการรหัสของแพลตฟอร์ม Cho อธิบายว่าผู้โจมตีสามารถตรวจสอบลายเซ็นที่หลุดออกมานับล้านรายการ วิเคราะห์รูปแบบการเบี่ยงเบน และในที่สุดกู้คืนคีย์ส่วนตัวได้
มุมมองนี้สอดคล้องกับการศึกษาเมื่อเร็วๆ นี้ที่แสดงให้เห็นว่า nonce ที่เกี่ยวข้องกับ ECDSA แบบเฉียงสร้างความเสี่ยงอย่างมาก การศึกษาในปี 2025 บน arXiv แสดงให้เห็นว่าเพียงแค่สองลายเซ็นที่มี nonce ที่เกี่ยวข้องกันสามารถเปิดเผยคีย์ส่วนตัวได้ ส่งผลให้การดึงคีย์ส่วนตัวทำได้ง่ายขึ้นสำหรับผู้โจมตีที่สามารถรวบรวมชุดข้อมูลขนาดใหญ่จาก การแลกเปลี่ยน
ระดับความซับซ้อนทางเทคนิคบ่งบอกว่ามีกลุ่มที่มีทักษะวิทยาการรหัสขั้นสูงดำเนินการโจมตีครั้งนี้ตามที่ Cho กล่าวว่า การระบุความเบี่ยงเบียนน้อยๆ ระหว่างลายเซ็นนับล้านต้องใช้ทั้งความรู้ทางคณิตศาสตร์และทรัพยากรการประมวลผลอย่างกว้างขวาง
เพื่อตอบสนองต่อเหตุการณ์นี้ Upbit ได้ย้ายสินทรัพย์ที่เหลือทั้งหมดไปยัง cold wallet ที่ปลอดภัยและหยุดการฝากและถอนสินทรัพย์ดิจิทัล ทางแลกเปลี่ยนยังสัญญาว่าจะฟื้นฟูการสูญเสียใดๆ จากเงินสำรองของตนเองเพื่อควบคุมความเสี่ยงทันที
Sponsoredขอบเขตและผลกระทบด้านความปลอดภัย
หลักฐานจากนักวิจัยชาวเกาหลียืนยันว่าผู้โจมตีเข้าถึงไม่เพียงแต่กระเป๋าเงิน hot wallet ของแลกเปลี่ยนเท่านั้น แต่ยังรวมถึงกระเป๋าเงินฝากส่วนบุคคลด้วย ซึ่งอาจบ่งชี้ว่ามีการแย่งเอาคีย์ sweep-authority หรือถึงคีย์ส่วนตัวเอง นั่นหมายถึงการเจาะระบบความปลอดภัยอย่างร้ายแรง
นักวิจัยรายอื่นชี้ให้เห็นว่าหากคีย์ส่วนตัวถูกเปิดเผย Upbit อาจต้องปรับปรุงระบบความปลอดภัยทั้งหมดอย่างครอบคลุม รวมถึงโมดูลความปลอดภัยทางฮาร์ดแวร์ (HSM), การคำนวณแบบหลายฝ่าย (MPC), และโครงสร้างกระเป๋าเงิน สถานการณ์นี้ทำให้เกิดคำถามเกี่ยวกับการควบคุมภายในที่อาจมีส่วนร่วมจากภายใน และวางชื่อเสียงของ Upbit ไว้ในความเสี่ยง ขอบเขตการโจมตีเน้นความจำเป็นในการมีโปรโตคอลความปลอดภัยที่แข็งแกร่งและการควบคุมการเข้าถึงอย่างเข้มงวดในแลกเปลี่ยนขนาดใหญ่.
เหตุการณ์นี้แสดงให้เห็นว่าระบบที่พัฒนาขึ้นอย่างสูงสามารถซ่อนความอ่อนแอทางคณิตศาสตร์ได้ การสร้าง nonce ที่มีประสิทธิภาพต้องมั่นใจในความสุ่มและไม่สามารถคาดการณ์ได้ อคติที่ตรวจพบได้ก่อให้เกิดช่องโหว่ที่ผู้โจมตีสามารถใช้ประโยชน์ได้ ขณะนี้ผู้โจมตีที่มีการจัดองค์กรสามารถระบุและใช้ประโยชน์จากจุดอ่อนเหล่านี้ได้เพิ่มขึ้น
การวิจัยเกี่ยวกับการป้องกัน ECDSA เน้นว่าความสุ่มที่ผิดพลาดในการสร้าง nonce สามารถรั่วไหลข้อมูลคีย์ได้ กรณีของ Upbit แสดงให้เห็นว่าช่องโหว่ทางทฤษฎีสามารถแปลเปลี่ยนเป็นการสูญเสียในโลกจริงได้อย่างมากเมื่อผู้โจมตีมีความเชี่ยวชาญและแรงจูงใจที่จะใช้ประโยชน์จากมัน
ช่วงเวลาและผลกระทบในอุตสาหกรรม
การโจมตีนี้กระตุ้นการคาดการณ์ของชุมชน มันเกิดขึ้นในวันครบรอบหกปีของการโจมตี Upbit ที่คล้ายกันในปี 2019 ซึ่งถูกตั้งข้อสันนิษฐานว่าเป็นการกระทำของแฮ็กเกอร์เกาหลีเหนือ นอกจากนี้การโจรกรรมยังเกิดขึ้นพร้อมกับ การประกาศการควบรวมหลักระหว่าง Naver Financial และ Dunamu บริษัทแม่ของ Upbit
ออนไลน์ มีบางทฤษฎีสมรู้ร่วมคิดเกี่ยวกับการประสานงานหรือความรู้ภายใน บ้างก็บอกว่าการโจมตีอาจปกปิดจุดประสงค์อื่น เช่น การยักยอกภายใน แม้จะมีหลักฐานเทคนิคที่ชัดเจนเกี่ยวกับการโจมตีทางคณิตศาสตร์ที่ซับซ้อนซึ่งชี้ไปที่การโจมตีที่ก้าวหน้าโดยอาชญากรทางไซเบอร์ นักวิจารณ์กล่าวว่า รูปแบบนี้ยังคงสะท้อนถึงความกังวลเกี่ยวกับการแลกเปลี่ยนในเกาหลี:
“ทุกคนรู้ว่าการแลกเปลี่ยนเหล่านี้ทำลายผู้ค้าปลีกด้วยการลิสต์ token ที่น่าสงสัยแล้วปล่อยให้พวกมันสูญเสียความสภาพคล่อง” ผู้ใช้คนหนึ่งเขียน คนอื่นๆ ตั้งข้อสังเกตว่า “สองการแลกเปลี่ยน altcoin จากต่างประเทศเพิ่งใช้กลยุทธ์นี้แล้วหายไป” ในขณะที่อีกคนหนึ่งกล่าวหาบริษัทโดยตรงว่า: “นี่เป็นเพียงการยักยอกภายในและอุดรูรั่วด้วยเงินของบริษัทใช่ไหม?”
กรณี Upbit ในปี 2019 แสดงให้เห็นว่าหน่วยงานที่สอดคล้องกับเกาหลีเหนือได้เคยโจมตีการแลกเปลี่ยนใหญ่ ๆ เพื่อหลบหลีกการคว่ำบาตรผ่านการขโมยไซเบอร์ แม้ว่า ยังไม่ชัดเจน ว่าเหตุการณ์ปัจจุบันเกี่ยวข้องกับผู้กระทำการที่ได้รับการสนับสนุนจากรัฐหรือไม่ ธรรมชาติขั้นสูงของการโจมตียังคงเป็นเรื่องที่น่ากังวล
