事件背景
北京時間2021年7月12日凌晨1點,Anyswap官方發推聲稱Anyswap多鏈路由v3版本遭到攻擊,V3跨鏈資金池受影響,損失約240萬USDC和551萬MIM,AnyswapV1和V2版本不受該攻擊影響,跨鏈橋未受影響。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析:
慢霧:過去一周Web3因安全事件損失約265萬美元:7月17日消息,慢霧發推稱,2023年7月10日至7月16日期間,Web3發生5起安全事件,總損失為265.5萬美元,包括Arcadia Finance、Rodeo Finance、LibertiVault、Platypus、Klever。[2023/7/17 10:59:08]
事件跟蹤
攻擊時間:
2021年7月10日晚8:00(UTC)
攻擊者地址:
0x0aE1554860E51844B61AE20823eF1268C3949f7C
Wintermute在2022年前九個月的收入為2.25億美元:金色財經報道,數字資產交易公司Wintermute在2022年前九個月的收入為2.25億美元,而2021年全年收入為10億美元。2021年,這家由前Optiver交易員 Evgeny Gaevoy 領導的公司報告的利潤為 5.82 億美元。Gaevoy向福布斯稱,Wintermute擁有4億美元的股權和7.2億美元的資產。[2022/12/21 21:57:09]
攻擊交易信息:
a.攻擊交易1——>被盜金額:1,536,821.7694USDC
Web3開發者平臺Thirdweb完成2400萬美元融資:8月25日消息,Web3開發者平臺Thirdweb以1.6億美元估值完成2400萬美元融資,Haun Ventures領投,參投方包括Coinbase Ventures、Shopify、Protocol Labs、Polygon、ShrugVC,個人投資者包括億萬富翁Joseph Lacob。
Thirdweb提供預構建的智能合約以及SDK來幫助開發者創建各種產品,同時提供開發團隊用于跟蹤和管理鏈上合約的儀表板,目前支持以太坊、Avalanche和Fantom,計劃集成至Solana。本輪融資將用于擴展至Cosmos、NEAR、Flow等公鏈。(TheBlock)[2022/8/25 12:47:29]
https://etherscan.io/tx/0xc80e7cfeb16143cba4d5fb3b192b7dbe70e9bcd5ca0348facd20bf2d05693070
PartyDAO完成1640萬美元融資,a16z領投:6月10日消息,NFT競標平臺PartyBid運營團隊PartyDAO完成1640萬美 元融資,a16z領投,參投方包括Standard . Crypto、Compound Crypto、Dragonfly Capital、Uniswap Ventures以及Loot創始人 Dom Hofmann。[2022/6/10 4:15:34]
b.攻擊交易2——>748,312.634392210170566277USDC
https://bscscan.com/tx/0xa8a75905573cce1c6781a59a5d8bc7a8bfb6c8539ca298cbf507a292091ad4b5
c.攻擊交易3——>112,640.877101USDC
https://ftmscan.com/tx/0x7312936a28b143d797b4860cf1d36ad2cc951fdbe0f04ddfeddae7499d8368f8
d.攻擊交易4——>5,509,227.35372MIM
https://etherscan.io/tx/0xecaaf8b57b6587412242fdc040bd6cc084077a07f4def24b4adae6fbe8254ae3
技術分析
BSC上的V3路由器MPC帳戶下存在兩個v3router交易,這兩個交易具有相同的R值簽名,攻擊者可以反推出MPC賬戶的私鑰,知道創宇安全團隊通過本地測試驗證了這種攻擊方法,如果知道兩次交易中相同的R值(ECDSA簽名算法),由于兩次簽名的原始數據不一樣,就能反推出簽名時使用的隨機數種子,又因為可以地址中推算出了公鑰,所以通過腳本即可反推出MPC地址的私鑰(如下方截圖所示),最后攻擊者以MPC身份調用anySwapInAuto函數完成盜幣。
代碼關鍵部分:
代碼執行結果如下:
后續進展
Anyswap項目方將賠償此次盜幣事件產生的損失,并在未來48小時更新主合約代碼,以修復使用相同R簽名導致的私鑰泄露事件。如有最新進展,實驗室將會第一時間跟進和分析。
看看下面的圖片,最好猜測一下它的售價。 Cryptopunk7523除非你非常熟悉NFT,否則你可能認不出它是“Cryptopunk7523”的NFT,這是在以太坊區塊鏈上作為NFT鑄造的100.
1900/1/1 0:00:00DeFi從交易、借貸等領域一路爆發,革新傳統金融的形式漸漸出圈,成為區塊鏈上最主要的應用,但一直被看好的DeFi衍生品市場卻一直沒有獨占鰲頭的時刻,關注度極高,市場反應卻一直不見起勢.
1900/1/1 0:00:00上月回顧 上月,NFT創作社區LeCube正式上線,上線3小時質押量破1400萬MIX;上線7小時質押量破400ETH.
1900/1/1 0:00:00區塊鏈世界的創新層出不窮,去中心化金融是去年以來區塊鏈領域最受關注的焦點之一,而DeFi生態系統的一個主要優勢就是流動性挖礦.
1900/1/1 0:00:00今天為大家帶來的項目是一個大概率能得到空投的項目—AladdinDAO。AladdinDAO是一個通過集體價值發現將加密投資從風險資本家轉移到群體智慧的去中心化網絡.
1900/1/1 0:00:00根據官網消息,近日BSV網絡遭受惡意攻擊,造成多個區塊重組,攻擊者借此進行了雙花攻擊。知道創宇區塊鏈安全實驗室第一時間跟蹤并預警:針對此次攻擊事件,比特幣協會表示:“已經意識到最近針對比特幣的非.
1900/1/1 0:00:00