ANY:AnySwap多链路由V3 漏洞攻击技术分析和解决方案

2021年7月11日凌晨,AnySwap多链路由V3受到黑客攻击。

1.攻击回顾

时间及地点此次攻击发生在2021年7月11日凌晨,AnySwapV3流动性池子被攻击。

黑客攻击交易地址1:

https://etherscan.io/tx/0xc80e7cfeb16143cba4d5fb3b192b7dbe70e9bcd5ca0348facd20bf2d05693070

>被盗资产:1,536,821.7694USDC

Tiffany & Co将于8月5日发行NFT,定价30ETH:金色财经报道,美国珠宝品牌蒂芙尼(Tiffany & Co)宣布将于美国东部标准时间2022年8月5日上午10:00发行NFT,NFT名为NFTiff,限量250个,每个定价为30 ETH,约5.1万美元。

此外,蒂芙尼称,正在将NFT提升到一个新的水平。NFTiff 专为 CryptoPunks 持有者提供,可将NFT转变为由Tiffany & Co工匠手工制作的定制吊坠。还将收到一个额外的NFT版本的吊坠。据悉,每个客户最多可以购买3个NFTiff。[2022/8/1 2:50:16]

地址2:

波士顿会计师事务所?Wolf & Company宣布将接受加密货币:金色财经报道,波士顿会计师事务所?Wolf & Company在其官方网站上宣布,它将通过加密支付处理器 Bitpay 接受加密货币。

除了Shiba Inu、比特币和狗狗币,BitPay 还支持其他加密货币,如比特币现金 (BCH)、以太坊 (ETH)、莱特币 (LTC)、包裹比特币 (WBTC) 和五种与美元挂钩的稳定币(BUSD、DAI、GUSD、 USDC 和 USDP)。(u.today)[2022/5/27 3:44:43]

https://etherscan.io/tx/0xecaaf8b57b6587412242fdc040bd6cc084077a07f4def24b4adae6fbe8254ae3

LBank蓝贝壳将于今日上线VAL、ANY、RAZE ,开启USDT交易:据悉LBank蓝贝壳将于4月16日上线三个项目分别是:

项目一:VAL(Vswap),上线时间 17:00;

项目二:ANY(AnySwap),上线时间 19:00 ,同时启动瓜分3,290 ANY活动;

项目三:RAZE(Raze Network) ,上线时间 23:00,同时启动充值RAZE瓜分10,000 USDT活动;

更多信息可登录官网进行查看[2021/4/16 20:26:55]

>被盗资产:5,509,2227.35372MIM

ConsenSys收购以太坊交易中继服务any.sender:据官方消息,ConsenSys宣布收购以太坊交易中继服务any.sender,同时Infura新增Infura交易功能ITX。[2020/12/4 23:04:36]

地址3:

https://bscscan.com/tx/0xa8a75905573cce1c6781a59a5d8bc7a8bfb6c8539ca298cbf507a292091ad4b5

>被盗资产:749,033.37USDC

地址4:

https://ftmscan.com/tx/0x7312936a28b143d797b4860cf1d36ad2cc951fdbe0f04ddfeddae7499d8368f8

>被盗资产:112,640.877101USDC

黑客地址:https://etherscan.io/address/0x0aE1554860E51844B61AE20823eF1268C3949f7C

2.原因分析

BSC链出现了同一账户签名的两笔交易,如果该同一账户签名的交易拥有相同的rsv签名的r值,则黑客可以反向推导出该账户的私钥。AnySwap团队重现了该黑客的操作手法。参考链接:https://bitcoin.stackexchange.com/questions/35848/recovering-private-key-when-someone-uses-the-same-k-twice-in-ecdsa-signaturesAnySwap团队后续会公布一份更详细的技术分析报告。AnySwap跨链桥没有被此次攻击影响,可以正常使用。跨链桥地址:https://anyswap.exchange/bridge所有AnySwapV1/V2跨链桥的交易都已经被审计过,V1/V2没有使用相同的R交易,V1/V2跨链桥安全。3.技术解决办法

为了避免相同的R签名的使用,AnySwap团队已经对代码做了相关修改。AnySwap多链路由将在48小时后重新上线,请关注我们的推特获取最新消息!推特:https://twitter.com/AnyswapNetworkTrailofBits审计团队此前已经在审计V1/V2,AnySwap通知了TOB有关V3攻击事件的消息,双方就此开展协作,解决问题。4.损失赔付

损失资产共计2,398,496.02个USDC和5,509,222.73个MIM。AnySwap已制定相关方案承担全部损失。AnySwap在预计的48小时后重新补足流动性时,流动性提供者可以像往常一样在AnySwapV3流动性池子里随时移除已添加的流动性。5.Bug奖励

AnySwap将奖励报告bug的用户,此举将帮助AnySwap建立更加安全的跨链解决方案。请密切关注我们的社交媒体,获取相关资讯。

AnSwap电报社群:?

https://t.me/anyswap

AnySwap推特:?

https://twitter.com/AnyswapNetwork

AnySwapmedium:?

https://anyswap.medium.com

AnySwap邮箱:?

connect@anyswap.exchange

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-1:109ms