ANY:AnySwap多链路由V3 漏洞攻击技术分析和解决方案

2021年7月11日凌晨，AnySwap多链路由V3受到黑客攻击。

1.攻击回顾

时间及地点此次攻击发生在2021年7月11日凌晨，AnySwapV3流动性池子被攻击。

黑客攻击交易地址1：

https://etherscan.io/tx/0xc80e7cfeb16143cba4d5fb3b192b7dbe70e9bcd5ca0348facd20bf2d05693070

>被盗资产:1,536,821.7694USDC

Anyswap免除ETH-FTM桥手续费，并将FTM-ETH桥最低手续费降为30 FTM:9月6日消息，Anyswap修改了Fantom跨链桥费率，更新后跨链手续费较过去大幅降低，其中从以太坊跨链至Fantom的手续费从0.1%将为0，从Fantom跨链至以太坊的最低手续费也从80FTM降至30FTM。[2021/9/6 23:04:22]

地址2：

https://etherscan.io/tx/0xecaaf8b57b6587412242fdc040bd6cc084077a07f4def24b4adae6fbe8254ae3

LBank蓝贝壳上线ANY，最高涨幅达221%:4月16日LBank蓝贝壳上线ANY(AnySwap)，开放USDT交易。ANY开盘价格为1 USDT，当前最高报价为3.2188 USDT，最高涨幅221 %，截止发稿价格稳定在3.1583 USDT。

资料显示，AnySwap是去中心化的跨链交易协议，采用AMM自动价格与流动性机制。AnySwap可以跨链交易绝大部分币种，包括BTC, ETH, BNB, HT, USDT,MATIC, LTC, FTM, FSN等。

注：信息仅供分享，不构成任何投资建议。[2021/4/16 20:28:37]

>被盗资产:5,509,2227.35372MIM

Gate.io ANY上线超级福利：ANY充值、净买入大赛，赢15,000美元:据官方公告，Gate.io已于2021年4月13日（今日）14:00上线Anyswap (ANY)交易，ANY超级福利即日开启，活动截止至4月20日14:00。活动期间充值ANY赢3,000美元奖励、净买入ANY赢10,000美元奖励，最高单人奖励1,000美元，新用户注册加交易还可共享1000美元奖励。[2021/4/13 20:14:08]

地址3：

https://bscscan.com/tx/0xa8a75905573cce1c6781a59a5d8bc7a8bfb6c8539ca298cbf507a292091ad4b5

Laszlo Hanyecz：中本聪是个“怪人”:近日，用1万个BTC买了两块披萨的程序员Laszlo Hanyecz在接受媒体采访时谈到中本聪说，在他刚开始挖矿时，他与中本聪的邮件往来超过100封，中本聪常常让他修复漏洞，并认定他是团队的一份子。Hanyecz当时觉得中本聪的要求有些烦人，所以常常忽略ta的消息。Hanyecz依然不能理解中本聪隐瞒身份想要匿名的原因，他认为这很奇怪，但表示尊重。虽然他在网上与许多“怪人”打过交道，但中本聪给他的感觉不一样。[2018/6/2]

>被盗资产:749,033.37USDC

地址4：

https://ftmscan.com/tx/0x7312936a28b143d797b4860cf1d36ad2cc951fdbe0f04ddfeddae7499d8368f8

>被盗资产:112,640.877101USDC

黑客地址:https://etherscan.io/address/0x0aE1554860E51844B61AE20823eF1268C3949f7C

2.原因分析

BSC链出现了同一账户签名的两笔交易，如果该同一账户签名的交易拥有相同的rsv签名的r值，则黑客可以反向推导出该账户的私钥。AnySwap团队重现了该黑客的操作手法。参考链接：https://bitcoin.stackexchange.com/questions/35848/recovering-private-key-when-someone-uses-the-same-k-twice-in-ecdsa-signaturesAnySwap团队后续会公布一份更详细的技术分析报告。AnySwap跨链桥没有被此次攻击影响，可以正常使用。跨链桥地址：https://anyswap.exchange/bridge所有AnySwapV1/V2跨链桥的交易都已经被审计过，V1/V2没有使用相同的R交易，V1/V2跨链桥安全。3.技术解决办法

为了避免相同的R签名的使用，AnySwap团队已经对代码做了相关修改。AnySwap多链路由将在48小时后重新上线，请关注我们的推特获取最新消息！推特：https://twitter.com/AnyswapNetworkTrailofBits审计团队此前已经在审计V1/V2，AnySwap通知了TOB有关V3攻击事件的消息，双方就此开展协作，解决问题。4.损失赔付

损失资产共计2,398,496.02个USDC和5,509,222.73个MIM。AnySwap已制定相关方案承担全部损失。AnySwap在预计的48小时后重新补足流动性时，流动性提供者可以像往常一样在AnySwapV3流动性池子里随时移除已添加的流动性。5.Bug奖励

AnySwap将奖励报告bug的用户，此举将帮助AnySwap建立更加安全的跨链解决方案。请密切关注我们的社交媒体，获取相关资讯。

AnSwap电报社群:?

https://t.me/anyswap

AnySwap推特:?

https://twitter.com/AnyswapNetwork

AnySwapmedium:?

https://anyswap.medium.com

AnySwap邮箱:?

connect@anyswap.exchange

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。