ARM:AnySwap多链路由V3 漏洞攻击技术分析和解决方案_ARMD价格

2021年7月11日凌晨，AnySwap多链路由V3受到黑客攻击。

1.攻击回顾

时间及地点此次攻击发生在2021年7月11日凌晨，AnySwapV3流动性池子被攻击。

黑客攻击交易地址1：

https://etherscan.io/tx/0xc80e7cfeb16143cba4d5fb3b192b7dbe70e9bcd5ca0348facd20bf2d05693070

>被盗资产:1,536,821.7694USDC

怀俄明州银行专员担任Fortress Trust Company CEO:金色财经报道，Fortress Blockchain Technologies今天透露，怀俄明州银行部门的州银行专员AlbertForkner已经加入Fortress信托公司，担任首席执行官(CEO)。他领导着为Fortress Web3 B2B基础设施生态系统供电的监管实体。Fortress提供了一套api驱动的B2B金融、监管和技术解决方案，用于NFT和加密技术创新者。由于Web3的倡议，这些开拓者正在改变世界，他们迫切需要一个可信的基础来建立他们的业务。Forkner拥有超过20年的银行监管经验，并大量参与了特殊目的存款机构(SPDI)银行章程，这是首个针对数字资产的此类框架。（cryptonews）[2022/6/8 4:09:42]

地址2：

知名潮流艺人Ye（Kanye West）：不要让我去做NFT了:2月1日消息，知名潮流艺人 Ye（Kanye West）在 Instagram 上表示，不希望被人要求做 NFT。Ye 表示，他致力于在真实世界中创作产品，比如食物或者服饰等。他说：不要要求或让我去做 NFT 了。[2022/2/1 9:25:58]

https://etherscan.io/tx/0xecaaf8b57b6587412242fdc040bd6cc084077a07f4def24b4adae6fbe8254ae3

>被盗资产:5,509,2227.35372MIM

去中心化跨链交易协议AnySwap集成以太坊侧链xDai网络:以太坊侧链xDai网络在去中心化跨链交易协议AnySwap上集成后，xDai可通过AnySwap集成的以太坊2层网络解决方案接入Polygon，目前在Polygon和xDAI之间跨链转账ANY可能无需以太坊Gas。此外，AnySwap和xDai之后还会合作在xDai上线Unistake和WBTC。[2021/3/25 19:17:18]

地址3：

https://bscscan.com/tx/0xa8a75905573cce1c6781a59a5d8bc7a8bfb6c8539ca298cbf507a292091ad4b5

动态 | Electroneum将于1月底上线其自由职业平台AnyTask的测试版本:英国加密项目Electroneum表示，他们在自由职业平台AnyTask上取得了很大进展。在1月10日的一份声明中，Electroneum表示，经过两个成功的测试阶段后，这个自由平台已经准备好发布了。Electroneum补充说，已经确认该平台处于良好的状态，这意味着该平台将在1月底前上线测试。据悉，与Fiverr类似，AnyTask是一个自由职业平台，旨在支持发展中国家的居民。在AnyTask上，用户可通过他们提供的服务获得加密货币。（News Logical）[2020/1/11]

>被盗资产:749,033.37USDC

地址4：

https://ftmscan.com/tx/0x7312936a28b143d797b4860cf1d36ad2cc951fdbe0f04ddfeddae7499d8368f8

>被盗资产:112,640.877101USDC

黑客地址:https://etherscan.io/address/0x0aE1554860E51844B61AE20823eF1268C3949f7C

2.原因分析

BSC链出现了同一账户签名的两笔交易，如果该同一账户签名的交易拥有相同的rsv签名的r值，则黑客可以反向推导出该账户的私钥。AnySwap团队重现了该黑客的操作手法。参考链接：https://bitcoin.stackexchange.com/questions/35848/recovering-private-key-when-someone-uses-the-same-k-twice-in-ecdsa-signaturesAnySwap团队后续会公布一份更详细的技术分析报告。AnySwap跨链桥没有被此次攻击影响，可以正常使用。跨链桥地址：https://anyswap.exchange/bridge所有AnySwapV1/V2跨链桥的交易都已经被审计过，V1/V2没有使用相同的R交易，V1/V2跨链桥安全。3.技术解决办法

为了避免相同的R签名的使用，AnySwap团队已经对代码做了相关修改。AnySwap多链路由将在48小时后重新上线，请关注我们的推特获取最新消息！推特：https://twitter.com/AnyswapNetworkTrailofBits审计团队此前已经在审计V1/V2，AnySwap通知了TOB有关V3攻击事件的消息，双方就此开展协作，解决问题。4.损失赔付

损失资产共计2,398,496.02个USDC和5,509,222.73个MIM。AnySwap已制定相关方案承担全部损失。AnySwap在预计的48小时后重新补足流动性时，流动性提供者可以像往常一样在AnySwapV3流动性池子里随时移除已添加的流动性。5.Bug奖励

AnySwap将奖励报告bug的用户，此举将帮助AnySwap建立更加安全的跨链解决方案。请密切关注我们的社交媒体，获取相关资讯。

AnSwap电报社群:?

https://t.me/anyswap

AnySwap推特:?

https://twitter.com/AnyswapNetwork

AnySwapmedium:?

https://anyswap.medium.com

AnySwap邮箱:?

connect@anyswap.exchange

标签：ARMTPSNFTCTRARMD价格tps币圈UNFTRFCTR

POL币最新价格热门资讯