ANY:AnySwap多鏈路由V3 漏洞攻擊技術分析和解決方案_anyswap幣界

2021年7月11日凌晨，AnySwap多鏈路由V3受到黑客攻擊。

1.攻擊回顧

時間及地點此次攻擊發生在2021年7月11日凌晨，AnySwapV3流動性池子被攻擊。

黑客攻擊交易地址1：

https://etherscan.io/tx/0xc80e7cfeb16143cba4d5fb3b192b7dbe70e9bcd5ca0348facd20bf2d05693070

>被盜資產:1,536,821.7694USDC

The Easy Company 在 Sui Network 上正式發布首款社交加密錢包:金色財經報道，社交加密錢包 The Easy Company 宣布與 Sui 開發團隊 Mysten Labs 合作開發的首款社交加密錢包 Easy 已正式在 Sui Network 上推出，該錢包已登陸 iOS 和安卓操作系統的應用商店，除了支持用戶與 Sui 社區成員聯系之外，還可以兌換 SUI 代幣，以及獲取 Sui 生態系統新聞和實時更新內容。Easy 錢包由來自 Airbnb、迪士尼、蘋果、微軟、谷歌、Nuance 和 iHeartMedia 的消費者網絡和移動專家團隊設計和構建，該公司在今年一月完成了由 Lobby Capital、Relay Ventures 等投資機構參投的 1420 萬美元種子輪融資。（prnewswire）[2023/5/13 15:01:01]

地址2：

元宇宙AI動畫工具開發公司Any World完成750萬美元融資:11月9日消息，元宇宙AI動畫工具開發公司Any World宣布完成750萬美元融資，華納音樂、Acrew Capital、Alumni Ventures參投，該公司還透露其服務將于今年12月登陸Epic Games虛擬引擎。Anything World主要構建大規模創建開源、可用可混合的“3D資產”工具，降低人們進入Web3世界的門檻。（venturebeat）[2022/11/9 12:39:31]

https://etherscan.io/tx/0xecaaf8b57b6587412242fdc040bd6cc084077a07f4def24b4adae6fbe8254ae3

西甲足球俱樂部RCD Espanyol與Crypto Snack簽署贊助協議，并將接受加密支付:5月9日消息，總部位于巴塞羅那的Crypto Snack宣布已經與著名的西甲足球俱樂部 RCD Espanyol 簽署了贊助協議，RCD Espanyol將成為下賽季第一個接受加密貨幣付款的西甲俱樂部。西班牙人球迷將能夠使用SNACK、比特幣、以太坊和一些精選的其他知名加密貨幣購買門票、商品和食品/飲料。[2022/5/10 3:01:55]

>被盜資產:5,509,2227.35372MIM

地址3：

數據：Anyswap 24小時跨鏈交易量超12億美元:10月7日消息，Anyswap過去24小時跨鏈交易量超12億美元，發生了10102筆交易，有5632名活躍用戶，獲得了超過11萬美元的手續費。據悉，當前Anyswap已經支持19條鏈上的687種資產，跨鏈鎖定資產超26億美元。[2021/10/7 20:10:55]

https://bscscan.com/tx/0xa8a75905573cce1c6781a59a5d8bc7a8bfb6c8539ca298cbf507a292091ad4b5

>被盜資產:749,033.37USDC

地址4：

https://ftmscan.com/tx/0x7312936a28b143d797b4860cf1d36ad2cc951fdbe0f04ddfeddae7499d8368f8

>被盜資產:112,640.877101USDC

黑客地址:https://etherscan.io/address/0x0aE1554860E51844B61AE20823eF1268C3949f7C

2.原因分析

BSC鏈出現了同一賬戶簽名的兩筆交易，如果該同一賬戶簽名的交易擁有相同的rsv簽名的r值，則黑客可以反向推導出該賬戶的私鑰。AnySwap團隊重現了該黑客的操作手法。參考鏈接：https://bitcoin.stackexchange.com/questions/35848/recovering-private-key-when-someone-uses-the-same-k-twice-in-ecdsa-signaturesAnySwap團隊后續會公布一份更詳細的技術分析報告。AnySwap跨鏈橋沒有被此次攻擊影響，可以正常使用。跨鏈橋地址：https://anyswap.exchange/bridge所有AnySwapV1/V2跨鏈橋的交易都已經被審計過，V1/V2沒有使用相同的R交易，V1/V2跨鏈橋安全。3.技術解決辦法

為了避免相同的R簽名的使用，AnySwap團隊已經對代碼做了相關修改。AnySwap多鏈路由將在48小時后重新上線，請關注我們的推特獲取最新消息！推特：https://twitter.com/AnyswapNetworkTrailofBits審計團隊此前已經在審計V1/V2，AnySwap通知了TOB有關V3攻擊事件的消息，雙方就此開展協作，解決問題。4.損失賠付

損失資產共計2,398,496.02個USDC和5,509,222.73個MIM。AnySwap已制定相關方案承擔全部損失。AnySwap在預計的48小時后重新補足流動性時，流動性提供者可以像往常一樣在AnySwapV3流動性池子里隨時移除已添加的流動性。5.Bug獎勵

AnySwap將獎勵報告bug的用戶，此舉將幫助AnySwap建立更加安全的跨鏈解決方案。請密切關注我們的社交媒體，獲取相關資訊。

AnSwap電報社群:?

https://t.me/anyswap

AnySwap推特:?

https://twitter.com/AnyswapNetwork

AnySwapmedium:?

https://anyswap.medium.com

AnySwap郵箱:?

connect@anyswap.exchange

Tags：ANYSWAPAnyswapHTTAnySniperVIZSLASWAPanyswap幣界CHTT

Gate交易所