買以太坊 買以太坊
Ctrl+D 買以太坊
ads

STUD:竟然可以推導出私鑰?Anyswap跨鏈橋被?分析-ODAILY_bStable Finance

Author:

Time:1900/1/1 0:00:00

事件背景

北京時間2021年7月12日凌晨1點,Anyswap官方發推聲稱Anyswap多鏈路由v3版本遭到攻擊,V3跨鏈資金池受影響,損失約240萬USDC和551萬MIM,AnyswapV1和V2版本不受該攻擊影響,跨鏈橋未受影響。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析:

Wintermute在過去24小時內拋售了一部分MATIC:金色財經報道,Wintermute在19小時前向Binance存入了230萬枚MATIC美元,在過去24小時內拋售了一部分MATIC。[2023/6/11 21:29:33]

事件跟蹤

攻擊時間:

2021年7月10日晚8:00(UTC)

攻擊者地址:

0x0aE1554860E51844B61AE20823eF1268C3949f7C

攻擊交易信息:

Stability AI開源其AI驅動的設計工作室:金色財經報道,元宇宙及數字媒體工具開發公司Stability AI本周宣布發布StableStudio,這是DreamStudio的開源版本,DreamStudio是Stability AI的商業人工智能驅動的設計套件。DreamStudio最初被設想為開源生成AI藝術模型Disco Diffusion的動畫工作室。去年,隨著Stable Diffusion的出現,DreamStudio的焦點轉向了圖像生成,這使DreamStudio與MidJourney和Nightcafe等生成性圖像平臺的競爭更加一致。

此前報道,元宇宙及數字媒體工具開發公司Stability AI完成1.01億美元種子輪融資。[2023/5/19 15:12:35]

a.攻擊交易1——>被盜金額:1,536,821.7694USDC

DeFi收益率市場Pendle TVL突破5000萬美元,創歷史新高:金色財經報道,DeFi收益率市場Pendle TVL突破5000萬美元,當前暫報5043萬美元,創歷史新高。根據DeFi Llama的數據顯示,自今年年初以來,Pendle上資產的總鎖定價值(TVL)已增長超過300%。TVL中的2600萬美元位于以太坊,2100萬美元位于Arbitrum,還有不到100萬美元在Avalanche。[2023/4/7 13:49:43]

https://etherscan.io/tx/0xc80e7cfeb16143cba4d5fb3b192b7dbe70e9bcd5ca0348facd20bf2d05693070

BlockFi前雇員:曾警告信用風險,但高管不予理會:金色財經報道,加密借貸平臺BlockFi一位前雇員表示,早在2020年,公司就不鼓勵員工在書面內部溝通中描述風險,以避免承擔責任。前借款人表示,除了降低抵押品要求外,BlockFi的盡職調查流程也存在缺陷。借款人的可用信貸是根據他們的資產決定的,但 BlockFi 和其他貸方未能調查潛在借款人持有的資產的規模和質量。與Voyager和其他加密貸款機構一樣,BlockFi 接受了對沖基金和自營交易公司的未經審計的資產負債表,前借款人表示,這為借款方留下了操縱空間。[2022/12/9 21:32:43]

b.攻擊交易2——>748,312.634392210170566277USDC

https://bscscan.com/tx/0xa8a75905573cce1c6781a59a5d8bc7a8bfb6c8539ca298cbf507a292091ad4b5

c.攻擊交易3——>112,640.877101USDC

https://ftmscan.com/tx/0x7312936a28b143d797b4860cf1d36ad2cc951fdbe0f04ddfeddae7499d8368f8

d.攻擊交易4——>5,509,227.35372MIM

https://etherscan.io/tx/0xecaaf8b57b6587412242fdc040bd6cc084077a07f4def24b4adae6fbe8254ae3

技術分析

BSC上的V3路由器MPC帳戶下存在兩個v3router交易,這兩個交易具有相同的R值簽名,攻擊者可以反推出MPC賬戶的私鑰,知道創宇安全團隊通過本地測試驗證了這種攻擊方法,如果知道兩次交易中相同的R值(ECDSA簽名算法),由于兩次簽名的原始數據不一樣,就能反推出簽名時使用的隨機數種子,又因為可以地址中推算出了公鑰,所以通過腳本即可反推出MPC地址的私鑰(如下方截圖所示),最后攻擊者以MPC身份調用anySwapInAuto函數完成盜幣。

代碼關鍵部分:

代碼執行結果如下:

后續進展

Anyswap項目方將賠償此次盜幣事件產生的損失,并在未來48小時更新主合約代碼,以修復使用相同R簽名導致的私鑰泄露事件。如有最新進展,實驗室將會第一時間跟進和分析。

Tags:STUTABSTUDDIOSTUD幣bStable FinanceXstudioDIOS

幣安app官方下載最新版
KUS:Kusama社區已在Statemine平行鏈上創建84個Assets | 波卡周報-ODAILY_POLK

加入PolkaWorld社區,共建Web3.0! Kusama 在Kusama理事會投票之前,Statemine一直以有限的功能運行。經過績效審查和審計,Kusama理事會提議升級以取消限制.

1900/1/1 0:00:00
超話社區114期|Deeper Network:普通用戶如何獲得限量安全隱私設備空投?-ODAILY

DeeperNetwork在2018年成立于美國硅谷,是一支由技術驅動力的團隊,核心成員來自英特爾、亞馬遜和CMC等公司.

1900/1/1 0:00:00
DEFI:區塊鏈技術為福利社區帶來了巨大的收入-ODAILY_DeFi Firefly

鏈集市·讓區塊鏈落地更簡單 《區塊鏈行業觀察》專欄·第42篇作者丨MehranHydary,ChristinaLomazzo 圖片丨來源于網絡 過去的幾年來.

1900/1/1 0:00:00
DEF:高盛申請新ETF瞄準DeFi市場?是,也不是-ODAILY_區塊鏈

據外媒報道,投資銀行高盛(GoldmanSachs)于本月26日向SEC申請DeFi相關的ETF,不少媒體認為,這將為全球去中心化金融和區塊鏈領域的上市公司提供機會.

1900/1/1 0:00:00
INF:揭秘NFT:一張牛牛NFT拍出上萬美金,竟然還有市無價?-ODAILY_INFLUENCE

最近幾天我們留意到,一款名為“牛牛”的卡牌NFT在社區的討論熱度很高,并且在發布幾天內,交易市場上拍賣價最高就達上萬U.

1900/1/1 0:00:00
USD:穩定幣“老二”USDC華麗逆襲,挑戰USDT統治地位-ODAILY_usdt幣交易違法嗎3日凍結會解除么

在聊這個話題之前,先簡單講一下穩定幣,穩定幣主要分兩種,一種是去中心化的,基于公鏈設計的智能合約,主要是算法穩定幣,還有一種是基于中心化機構發行的,比如今天要聊的,泰達公司發行的USDT.

1900/1/1 0:00:00
ads