ANY:AnySwap多链路由V3 漏洞攻击技术分析和解决方案_USDSB

2021年7月11日凌晨，AnySwap多链路由V3受到黑客攻击。

1.攻击回顾

时间及地点此次攻击发生在2021年7月11日凌晨，AnySwapV3流动性池子被攻击。

黑客攻击交易地址1：

https://etherscan.io/tx/0xc80e7cfeb16143cba4d5fb3b192b7dbe70e9bcd5ca0348facd20bf2d05693070

>被盗资产:1,536,821.7694USDC

Web3游戏开发商NFT Gaming Company收购保加利亚的人工智能公司Voxpow:金色财经报道，?Web3 游戏开发商 NFT Gaming Company 收购位于保加利亚的人工智能公司 Voxpow 创建的语音识别工具，NFT Gaming Company首席执行官 Vadim Mats 解释说，玩家现在可以使用他们的声音来控制游戏的各个方面，例如移动、响应和其他动作。将语音识别集成到他们即将推出的一系列游戏中将改善玩家的整体游戏体验。[2023/3/9 12:50:22]

地址2：

https://etherscan.io/tx/0xecaaf8b57b6587412242fdc040bd6cc084077a07f4def24b4adae6fbe8254ae3

TrueUSD通过AnySwap实现在Ethereum和Fantom间的跨链转移:据官方消息，稳定币TrueUSD通过AnySwap跨链桥技术实现TUSD在Ethereum和Fantom之间的跨链转移。用户可以通过AnySwap跨链桥实现TUSD在Fantom和Ethereum之间的跨链转移。实现了在不同链之间安全、快速、去中心化跨链流通。

AnySwap 是去中心化跨链协议，采用 AMM 自动价格与流动性机制，可以跨链交易绝大部分币种，包括 BTC、ETH、BNB、OKB、HT、USDT、XRP、LTC、FTM、FSN 等。

TUSD作为首个经独立机构验证、接受链上实时独立验证、与美元挂钩的数字资产，目前已上线Binance、Huobi、Poloniex等70+中心化交易所，并在TRON、Avalanche、BSC、HECO等公链上进行多链部署, 深度参与各链DeFi生态建设。[2021/10/15 20:31:46]

>被盗资产:5,509,2227.35372MIM

跨链桥AnySwap与智能合约平台Moonbeam先行网Moonriver集成:9月24日消息，跨链桥AnySwap宣布已与智能合约平台Moonbeam的先行网Moonriver集成。目前，已有包括USDT和BUSD在内的18种代币被通过AnySwap部署在Moonriver平台上。[2021/9/24 17:03:04]

地址3：

https://bscscan.com/tx/0xa8a75905573cce1c6781a59a5d8bc7a8bfb6c8539ca298cbf507a292091ad4b5

BiKi宣布与Anypay达成战略合作 并加入Anypay全民预测大赛支持单位:BiKi集团宣布与Anypay达成战略合作，并加入“Anypay全民预测大赛”活动。

Anypay是数字资产一站式服务平台，除了数字资产存储功能外，还聚合大V观点、合约预警、量化大师、视频教学等功能，为用户提供精准实时策略引导，前沿的行业资讯以及数字资产保值增值服务。

BiKi集团是一家全球性的区块链数字资产交易服务商，目前集团旗下业务包含现货交易、衍生品交易、数字银行、区块链产业投资等业务，在新加坡、中国、韩国、越南、日本、俄罗斯、土耳其等7个国家设有运营中心。[2020/6/4]

>被盗资产:749,033.37USDC

地址4：

https://ftmscan.com/tx/0x7312936a28b143d797b4860cf1d36ad2cc951fdbe0f04ddfeddae7499d8368f8

>被盗资产:112,640.877101USDC

黑客地址:https://etherscan.io/address/0x0aE1554860E51844B61AE20823eF1268C3949f7C

2.原因分析

BSC链出现了同一账户签名的两笔交易，如果该同一账户签名的交易拥有相同的rsv签名的r值，则黑客可以反向推导出该账户的私钥。AnySwap团队重现了该黑客的操作手法。参考链接：https://bitcoin.stackexchange.com/questions/35848/recovering-private-key-when-someone-uses-the-same-k-twice-in-ecdsa-signaturesAnySwap团队后续会公布一份更详细的技术分析报告。AnySwap跨链桥没有被此次攻击影响，可以正常使用。跨链桥地址：https://anyswap.exchange/bridge所有AnySwapV1/V2跨链桥的交易都已经被审计过，V1/V2没有使用相同的R交易，V1/V2跨链桥安全。3.技术解决办法

为了避免相同的R签名的使用，AnySwap团队已经对代码做了相关修改。AnySwap多链路由将在48小时后重新上线，请关注我们的推特获取最新消息！推特：https://twitter.com/AnyswapNetworkTrailofBits审计团队此前已经在审计V1/V2，AnySwap通知了TOB有关V3攻击事件的消息，双方就此开展协作，解决问题。4.损失赔付

损失资产共计2,398,496.02个USDC和5,509,222.73个MIM。AnySwap已制定相关方案承担全部损失。AnySwap在预计的48小时后重新补足流动性时，流动性提供者可以像往常一样在AnySwapV3流动性池子里随时移除已添加的流动性。5.Bug奖励

AnySwap将奖励报告bug的用户，此举将帮助AnySwap建立更加安全的跨链解决方案。请密切关注我们的社交媒体，获取相关资讯。

AnSwap电报社群:?

https://t.me/anyswap

AnySwap推特:?

https://twitter.com/AnyswapNetwork

AnySwapmedium:?

https://anyswap.medium.com

AnySwap邮箱:?

connect@anyswap.exchange

标签：ANYSWAPAnyswapUSDVANY价格NFTSwapsManySwapUSDSB

FIL币热门资讯