ANY:AnySwap多链路由V3 漏洞攻击技术分析和解决方案

2021年7月11日凌晨，AnySwap多链路由V3受到黑客攻击。

1.攻击回顾

时间及地点此次攻击发生在2021年7月11日凌晨，AnySwapV3流动性池子被攻击。

黑客攻击交易地址1：

https://etherscan.io/tx/0xc80e7cfeb16143cba4d5fb3b192b7dbe70e9bcd5ca0348facd20bf2d05693070

>被盗资产:1,536,821.7694USDC

LBank蓝贝壳将于今日上线VAL、ANY、RAZE ，开启USDT交易:据悉LBank蓝贝壳将于4月16日上线三个项目分别是：

项目一：VAL(Vswap)，上线时间 17:00；

项目二：ANY(AnySwap)，上线时间 19:00 ，同时启动瓜分3,290 ANY活动；

项目三：RAZE(Raze Network) ，上线时间 23:00，同时启动充值RAZE瓜分10,000 USDT活动；

更多信息可登录官网进行查看[2021/4/16 20:26:55]

地址2：

金融科技记者Jillian Godsil：相比Fiverr，现在更喜欢使用AnyTask:资深爱尔兰金融科技记者Jillian Godsil最近被Uptrennd.com授予2020年区块链记者奖。她使用Electroneum的自由职业者平台AnyTask.com完成了书的封面。她表示，之前她在需要自由职业者工作时会使用Fiver，现在她非常乐意继续使用AnyTask。

她表示，Electroneum驱动的自由职业者平台非常了不起，她之前原本无法完成她的书，不过她在3月份参加ANON Summit时收到AnyTask 15美元的代金券。三个月之后，Godsil出版其第16本书“The Little Book of Running: A book of the Lockdown”，现在在亚马逊上有售。

据悉，AnyTask于2月中旬启动。与Fiverr类似，AnyTask是一个自由职业平台，旨在支持发展中国家的居民。在AnyTask上，用户可通过他们提供的服务获得加密货币。（Newslogical）[2020/8/11]

https://etherscan.io/tx/0xecaaf8b57b6587412242fdc040bd6cc084077a07f4def24b4adae6fbe8254ae3

Anyswap官方提醒：Uniswap上已出现虚假ANY代币:7月13日消息，去中心化跨链交换协议Anyswap在官方推特发布声明，称其官方代币ANY遭到假冒，虚假ANY代币被添加到去中心化交易平台Uniswap中，真实的官方ANY代币地址会在FusionNetwork中公布，网站访问开放时间为7月20日凌晨4点，投资者可登录官方网站进行查询。

某个开发者只要在GitHub上提交请求，就可以让其支持的任何代币上线Uniswap。由于这种公开的上币政策，去中心化交易平台和流动性池中的欺诈性代币成为了一个日益严重的问题。包括Tornado.Cash、BalancerLabs在内多个最近较为火热的Defi项目代币都遭到了假冒，Uniswap如何解决假币问题迫在眉睫。[2020/7/13]

>被盗资产:5,509,2227.35372MIM

BiKi宣布与Anypay达成战略合作 并加入Anypay全民预测大赛支持单位:BiKi集团宣布与Anypay达成战略合作，并加入“Anypay全民预测大赛”活动。

Anypay是数字资产一站式服务平台，除了数字资产存储功能外，还聚合大V观点、合约预警、量化大师、视频教学等功能，为用户提供精准实时策略引导，前沿的行业资讯以及数字资产保值增值服务。

BiKi集团是一家全球性的区块链数字资产交易服务商，目前集团旗下业务包含现货交易、衍生品交易、数字银行、区块链产业投资等业务，在新加坡、中国、韩国、越南、日本、俄罗斯、土耳其等7个国家设有运营中心。[2020/6/4]

地址3：

https://bscscan.com/tx/0xa8a75905573cce1c6781a59a5d8bc7a8bfb6c8539ca298cbf507a292091ad4b5

>被盗资产:749,033.37USDC

地址4：

https://ftmscan.com/tx/0x7312936a28b143d797b4860cf1d36ad2cc951fdbe0f04ddfeddae7499d8368f8

>被盗资产:112,640.877101USDC

黑客地址:https://etherscan.io/address/0x0aE1554860E51844B61AE20823eF1268C3949f7C

2.原因分析

BSC链出现了同一账户签名的两笔交易，如果该同一账户签名的交易拥有相同的rsv签名的r值，则黑客可以反向推导出该账户的私钥。AnySwap团队重现了该黑客的操作手法。参考链接：https://bitcoin.stackexchange.com/questions/35848/recovering-private-key-when-someone-uses-the-same-k-twice-in-ecdsa-signaturesAnySwap团队后续会公布一份更详细的技术分析报告。AnySwap跨链桥没有被此次攻击影响，可以正常使用。跨链桥地址：https://anyswap.exchange/bridge所有AnySwapV1/V2跨链桥的交易都已经被审计过，V1/V2没有使用相同的R交易，V1/V2跨链桥安全。3.技术解决办法

为了避免相同的R签名的使用，AnySwap团队已经对代码做了相关修改。AnySwap多链路由将在48小时后重新上线，请关注我们的推特获取最新消息！推特：https://twitter.com/AnyswapNetworkTrailofBits审计团队此前已经在审计V1/V2，AnySwap通知了TOB有关V3攻击事件的消息，双方就此开展协作，解决问题。4.损失赔付

损失资产共计2,398,496.02个USDC和5,509,222.73个MIM。AnySwap已制定相关方案承担全部损失。AnySwap在预计的48小时后重新补足流动性时，流动性提供者可以像往常一样在AnySwapV3流动性池子里随时移除已添加的流动性。5.Bug奖励

AnySwap将奖励报告bug的用户，此举将帮助AnySwap建立更加安全的跨链解决方案。请密切关注我们的社交媒体，获取相关资讯。

AnSwap电报社群:?

https://t.me/anyswap

AnySwap推特:?

https://twitter.com/AnyswapNetwork

AnySwapmedium:?

https://anyswap.medium.com

AnySwap邮箱:?

connect@anyswap.exchange

标签：ANYSWAPAnyswapHTTanyswap币界SwapAllanyswap币界https://etherscan.io

币赢热门资讯