AnySwap多链路由V3 漏洞攻击技术分析和解决方案

AnySwap跨链桥没有被此次攻击影响,可以正常使用。所有AnySwap V1/V2 跨链桥的交易都已经被审计过,V1/V2没有使用相同的R交易,V1/V2跨链桥安全。

2021年7月11日凌晨,AnySwap多链路由V3受到黑客攻击

1.攻击回顾

  • 时间及地点

此次攻击发生在2021年7月11日凌晨, AnySwap V3 流动性池子被攻击。

地址1:

https://etherscan.io/tx/0xc80e7cfeb16143cba4d5fb3b192b7dbe70e9bcd5ca0348facd20bf2d05693070

>被盗资产: 1,536,821.7694 USDC

地址2:

https://etherscan.io/tx/0xecaaf8b57b6587412242fdc040bd6cc084077a07f4def24b4adae6fbe8254ae3

>被盗资产: 5,509,2227.35372 MIM

地址3:

https://bscscan.com/tx/0xa8a75905573cce1c6781a59a5d8bc7a8bfb6c8539ca298cbf507a292091ad4b5

>被盗资产: 749,033.37 USDC

地址4:

https://ftmscan.com/tx/0x7312936a28b143d797b4860cf1d36ad2cc951fdbe0f04ddfeddae7499d8368f8

>被盗资产: 112,640.877101 USDC

  • 黑客地址:

https://etherscan.io/address/0x0aE1554860E51844B61AE20823eF1268C3949f7C

2.原因分析

  • BSC 链出现了同一账户签名的两笔交易,如果该同一账户签名的交易拥有相同的 rsv 签名的 r 值,则黑客可以反向推导出该账户的私钥。AnySwap团队重现了该黑客的操作手法。

参考链接:

https://bitcoin.stackexchange.com/questions/35848/recovering-private-key-when-someone-uses-the-same-k-twice-in-ecdsa-signatures

  • AnySwap团队后续会公布一份更详细的技术分析报告。
  • AnySwap跨链桥https://anyswap.exchange/bridge没有被此次攻击影响,可以正常使用。所有AnySwap V1/V2 跨链桥的交易都已经被审计过,V1/V2没有使用相同的R交易,V1/V2跨链桥安全。

3.技术解决办法

  • 为了避免相同的R签名的使用,AnySwap团队已经对代码做了相关修改。
  • AnySwap多链路由将在48小时后重新上线,请关注我们的推特https://twitter.com/AnyswapNetwork获取最新消息!
  • Trail of Bits 审计团队此前已经在审计V1/V2,AnySwap通知了TOB有关V3攻击事件的消息,双方就此开展协作,解决问题。

4.损失赔付

  • 损失资产共计2,398,496.02个USDC 和 5,509,222.73 个MIM。
  • AnySwap已制定相关方案承担全部损失。
  • AnySwap在预计的48小时后重新补足流动性时,流动性提供者可以像往常一样在AnySwap V3流动性池子里随时移除已添加的流动性。

5. Bug奖励

  • AnySwap将奖励报告bug的用户,此举将帮助AnySwap建立更加安全的跨链解决方案。

请密切关注我们的社交媒体,获取相关资讯。

AnSwap 电报社群: 

https://t.me/anyswap

AnySwap 推特: 

https://twitter.com/AnyswapNetwork

AnySwap medium: 

https://anyswap.medium.com

AnySwap邮箱: 

connect@anyswap.exchange

转载声明:本文 由CoinON抓取收录,观点仅代表作者本人,不代表CoinON资讯立场,CoinON不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。若以此作为投资依据,请自行承担全部责任。

声明:图文来源于网络,如有侵权请联系删除

风险提示:投资有风险,入市需谨慎。本资讯不作为投资理财建议。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 2021年7月12日 上午9:42
下一篇 2021年7月12日 下午2:50

相关推荐

AnySwap多链路由V3 漏洞攻击技术分析和解决方案

星期一 2021-07-12 14:50:48

2021年7月11日凌晨,AnySwap多链路由V3受到黑客攻击

1.攻击回顾

  • 时间及地点

此次攻击发生在2021年7月11日凌晨, AnySwap V3 流动性池子被攻击。

地址1:

https://etherscan.io/tx/0xc80e7cfeb16143cba4d5fb3b192b7dbe70e9bcd5ca0348facd20bf2d05693070

>被盗资产: 1,536,821.7694 USDC

地址2:

https://etherscan.io/tx/0xecaaf8b57b6587412242fdc040bd6cc084077a07f4def24b4adae6fbe8254ae3

>被盗资产: 5,509,2227.35372 MIM

地址3:

https://bscscan.com/tx/0xa8a75905573cce1c6781a59a5d8bc7a8bfb6c8539ca298cbf507a292091ad4b5

>被盗资产: 749,033.37 USDC

地址4:

https://ftmscan.com/tx/0x7312936a28b143d797b4860cf1d36ad2cc951fdbe0f04ddfeddae7499d8368f8

>被盗资产: 112,640.877101 USDC

  • 黑客地址:

https://etherscan.io/address/0x0aE1554860E51844B61AE20823eF1268C3949f7C

2.原因分析

  • BSC 链出现了同一账户签名的两笔交易,如果该同一账户签名的交易拥有相同的 rsv 签名的 r 值,则黑客可以反向推导出该账户的私钥。AnySwap团队重现了该黑客的操作手法。

参考链接:

https://bitcoin.stackexchange.com/questions/35848/recovering-private-key-when-someone-uses-the-same-k-twice-in-ecdsa-signatures

  • AnySwap团队后续会公布一份更详细的技术分析报告。
  • AnySwap跨链桥https://anyswap.exchange/bridge没有被此次攻击影响,可以正常使用。所有AnySwap V1/V2 跨链桥的交易都已经被审计过,V1/V2没有使用相同的R交易,V1/V2跨链桥安全。

3.技术解决办法

  • 为了避免相同的R签名的使用,AnySwap团队已经对代码做了相关修改。
  • AnySwap多链路由将在48小时后重新上线,请关注我们的推特https://twitter.com/AnyswapNetwork获取最新消息!
  • Trail of Bits 审计团队此前已经在审计V1/V2,AnySwap通知了TOB有关V3攻击事件的消息,双方就此开展协作,解决问题。

4.损失赔付

  • 损失资产共计2,398,496.02个USDC 和 5,509,222.73 个MIM。
  • AnySwap已制定相关方案承担全部损失。
  • AnySwap在预计的48小时后重新补足流动性时,流动性提供者可以像往常一样在AnySwap V3流动性池子里随时移除已添加的流动性。

5. Bug奖励

  • AnySwap将奖励报告bug的用户,此举将帮助AnySwap建立更加安全的跨链解决方案。

请密切关注我们的社交媒体,获取相关资讯。

AnSwap 电报社群: 

https://t.me/anyswap

AnySwap 推特: 

https://twitter.com/AnyswapNetwork

AnySwap medium: 

https://anyswap.medium.com

AnySwap邮箱: 

connect@anyswap.exchange