Un attacco basato sui reticoli (lattice-based attack) è un tipo di attacco crittografico che sfrutta le proprietà matematiche dei reticoli per violare la sicurezza di un sistema crittografico. Un reticolo è una struttura matematica bidimensionale o tridimensionale composta da un insieme di punti allineati in una griglia regolare.

È stato dimostrato che con alcune particolari condizioni Bitcoin può essere vulnerabile all'attacco basato sui reticoli, è tale attacco è stato utilizzato per molti anni per svuotare centinaia di indirizzi Bitcoin compromessi.

Nel contesto della crittografia, gli algoritmi basati sui reticoli sono spesso utilizzati per la crittografia a chiave pubblica. Questi algoritmi sfruttano problemi matematici difficili, come il problema del reticolo di approssimazione più vicino (Closest Vector Problem, CVP) o il problema del sotto-reticolo (Learning With Errors, LWE), che si pensa siano computazionalmente intrattabili. Tuttavia, gli attacchi basati sui reticoli cercano di sfruttare eventuali debolezze o vulnerabilità presenti nell'implementazione o nelle configurazioni specifiche degli algoritmi basati sui reticoli per rompere la sicurezza crittografica.

Gli attacchi basati sui reticoli possono essere di varie forme, tra cui:

1. Attacchi algoritmici: cercano di sfruttare debolezze nell'algoritmo stesso per ottenere informazioni sensibili o rompere la crittografia.

2. Attacchi di implementazione: mirano a sfruttare le vulnerabilità nella realizzazione pratica dell'algoritmo, come ad esempio la gestione errata delle chiavi o degli errori di programmazione, per ottenere accesso non autorizzato.

3. Attacchi laterali (Side-channel attacks): sfruttano le informazioni ottenute misurando il consumo di energia, il tempo di esecuzione o altre informazioni accessorie durante il processo di crittografia per inferire la chiave segreta.

4. Attacchi quantistici: cercano di utilizzare le potenziali capacità di un computer quantistico per risolvere i problemi matematici dei reticoli in modo efficiente, minando così la sicurezza degli algoritmi basati sui reticoli.

Nel caso di Bitcoin, è ben noto nella comunità crittografica che lo schema di firma ECDSA è fragile rispetto alle vulnerabilità nella generazione dei nonce. Un attaccante può recuperare la chiave privata ECDSA di un firmatario se conosce il nonce utilizzato per generare una singola firma; se un firmatario firma due messaggi distinti con lo stesso nonce; se un firmatario firma più messaggi con nonce inaspettatamente brevi; se l'attaccante può apprendere i bit più significativi di molti nonce di firma, e così via.