AnySwap多鏈路由V3 漏洞攻擊技術分析和解決方案_ANY

2021年7月11日凌晨，AnySwap多鏈路由V3受到黑客攻擊。

1.攻擊回顧

時間及地點此次攻擊發生在2021年7月11日凌晨，AnySwapV3流動性池子被攻擊。

黑客攻擊交易地址1：

https://etherscan.io/tx/0xc80e7cfeb16143cba4d5fb3b192b7dbe70e9bcd5ca0348facd20bf2d05693070

>被盜資產:1,536,821.7694USDC

Tiffany總裁曬出CryptoPunks #3167玫瑰金珠寶飾品:4月9日消息，近日，Tiffany 總裁Alexandre Arnault在社交媒體上公布了以其個人持有的 CryptoPunks #3167 為題材制作的 Tiffany 珠寶飾品。Alexandre Arnault 表示，該珠寶飾品由玫瑰金打造，以琺瑯工藝搭配莫桑比克紅寶石、藍寶石、黃鉆，再現了 CryptoPunks #3167 形象，飾品背面同時刻有 Tiffany 標識和CryptoPunks #3167編號。目前 Alexandre Arnault 暫未透露該款飾品是否將投入量產。

此前報道，Tiffany 總裁 Alexandre Arnault 于今年 1 月將推特頭像更換為 CryptoPunks #3167 NFT 作品，該 NFT 以 160 ETH 的價格購入，當時約合 41.6 萬美元。[2022/4/9 14:14:30]

地址2：

穆迪將于2022年收購數據分析公司kompany:12月22日消息，總部位于奧地利的kompany宣布簽訂最終協議，將于2022年被穆迪分析公司收購，之后為穆迪在全球范圍內提供金融情報和分析工具。據悉，kompany會在BSV區塊鏈上記錄驗證數據/文件，以便任何從其他公司尋找業務驗證記錄的企業可以通過kompany檢索數據。（coingeek）[2021/12/22 7:56:37]

https://etherscan.io/tx/0xecaaf8b57b6587412242fdc040bd6cc084077a07f4def24b4adae6fbe8254ae3

Anyswap已開啟白名單抽簽活動，下周開始代幣發行:去中心化跨鏈交易協議Anyswap將于3月2日在Polkastarter平臺上進行代幣發行（IDO），將通過白名單抽簽的形式公平分發，共募集12.5萬USDT，釋放67萬代幣。

白名單抽簽將于北京時間2月22日晚上9點開始，持續3天，用戶需要填寫表格提交資料，該活動不對美國、伊朗、朝鮮、克里米亞和塞瓦斯托波爾公民開放。[2021/2/22 17:40:37]

>被盜資產:5,509,2227.35372MIM

地址3：

分析師Tanya Abrosimova：短期反彈看至7000-7200美元區間 長期來看未改下行趨勢:據fxstreet報道，分析師Tanya Abrosimova稱，從長期來看，BTC 從2018年的低點回升，但上行動能不足，意味著BTC可能上漲至7000-7200美元區間，并未改變利空趨勢，如果下行跌破6000美元，那么長期看跌到4000美元。[2018/6/15]

https://bscscan.com/tx/0xa8a75905573cce1c6781a59a5d8bc7a8bfb6c8539ca298cbf507a292091ad4b5

>被盜資產:749,033.37USDC

地址4：

https://ftmscan.com/tx/0x7312936a28b143d797b4860cf1d36ad2cc951fdbe0f04ddfeddae7499d8368f8

>被盜資產:112,640.877101USDC

黑客地址:https://etherscan.io/address/0x0aE1554860E51844B61AE20823eF1268C3949f7C

2.原因分析

BSC鏈出現了同一賬戶簽名的兩筆交易，如果該同一賬戶簽名的交易擁有相同的rsv簽名的r值，則黑客可以反向推導出該賬戶的私鑰。AnySwap團隊重現了該黑客的操作手法。參考鏈接：https://bitcoin.stackexchange.com/questions/35848/recovering-private-key-when-someone-uses-the-same-k-twice-in-ecdsa-signaturesAnySwap團隊后續會公布一份更詳細的技術分析報告。AnySwap跨鏈橋沒有被此次攻擊影響，可以正常使用。跨鏈橋地址：https://anyswap.exchange/bridge所有AnySwapV1/V2跨鏈橋的交易都已經被審計過，V1/V2沒有使用相同的R交易，V1/V2跨鏈橋安全。3.技術解決辦法

為了避免相同的R簽名的使用，AnySwap團隊已經對代碼做了相關修改。AnySwap多鏈路由將在48小時后重新上線，請關注我們的推特獲取最新消息！推特：https://twitter.com/AnyswapNetworkTrailofBits審計團隊此前已經在審計V1/V2，AnySwap通知了TOB有關V3攻擊事件的消息，雙方就此開展協作，解決問題。4.損失賠付

損失資產共計2,398,496.02個USDC和5,509,222.73個MIM。AnySwap已制定相關方案承擔全部損失。AnySwap在預計的48小時后重新補足流動性時，流動性提供者可以像往常一樣在AnySwapV3流動性池子里隨時移除已添加的流動性。5.Bug獎勵

AnySwap將獎勵報告bug的用戶，此舉將幫助AnySwap建立更加安全的跨鏈解決方案。請密切關注我們的社交媒體，獲取相關資訊。

AnSwap電報社群:?

https://t.me/anyswap

AnySwap推特:?

https://twitter.com/AnyswapNetwork

AnySwapmedium:?

https://anyswap.medium.com

AnySwap郵箱:?

connect@anyswap.exchange

Tags：ANYSWAPAnyswapTPSAnypadNFTSwapsanyswap幣界tps幣圈

FTX