來源:知道創宇區塊鏈安全實驗室
作者:創宇區塊鏈實驗室
北京時間2021年7月12日凌晨1點,Anyswap官方發推聲稱Anyswap多鏈路由v3版本遭到攻擊,V3跨鏈資金池受影響,損失約240萬USDC和551萬MIM,AnyswapV1和V2版本不受該攻擊影響,跨鏈橋未受影響。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析:
美SEC律師:Ripple案或將迎來上訴,判決結果可能被推翻:7月22日消息,本周五,SEC的律師側面表示了或將對Ripple案進行上訴。在正在進行的Terra及Do Kwon的案件中,法官表示將以Ripple案作為本案的相關判例,除非SEC對其提出上訴。而SEC律師則對援引這一判例表示了反對。SEC在法庭文件中表示,“SEC正考慮進一步審查的各種可能性,Ripple案中存在錯誤地決定,法院不應遵循這一判例。”[2023/7/22 15:52:09]
事件跟蹤
攻擊時間:
2021年7月10日晚8:00(UTC)
CFTC顧問:美國應監管中心化中介機構而不是去中心化技術:金色財經報道,加密風投公司CoinFund總裁、商品和期貨交易委員會(CFTC)顧問Chris Perkins發表了一份監管白皮書并警告說,美國在加密貨幣方面有落后的風險。Perkins表示,在FTX交易所倒閉后,美國陷入了反動的監管浪潮中,而其他司法管轄區現在正在向機會開放并向前發展。他指出,香港對加密貨幣重新開放,以及歐盟剛剛通過的加密資產監管框架MiCA的到來。白皮書為政策制定者提供了 10 條建議,包括呼吁監管中心化中介機構而不是去中心化技術,優先考慮與美國證券交易委員會委員 Hester Peirce 的提議一致的沙箱和安全港計劃。[2023/4/21 14:16:53]
攻擊者地址:
SBF將于下周在紐約提審:金色財經報道,FTX創始人SBF將于下周被美國紐約南區地方法院傳訊。法院文件確定SBF將于1月3日被傳訊。SBF面臨兩項電匯欺詐指控和六項共謀罪。SBF的合伙人Caroline Ellison和Gary Wang已經在就FTX與相關交易公司Alameda Research之間關系的性質誤導投資者方面與檢察官合作。這些請求可能為法庭提供了有關SBF活動的信息。SBF還面臨來自聯邦監管機構、商品期貨交易委員會和證券交易委員會的民事案件。[2022/12/29 22:13:44]
0x0aE1554860E51844B61AE20823eF1268C3949f7C
前愛爾蘭央行副行長:公司結構和客戶資產保護問題解決前應暫停授予加密貨幣交易所許可:金色財經報道,前愛爾蘭央行副行長兼金融監管負責人 Matthew Elderfield 在最新一期英國《金融時報》發表評論文章并呼吁應暫停授予加密貨幣交易所許可,直到加密貨幣交易所解決公司結構和客戶資產保護問題。Matthew Elderfield 認為 FTX 的失敗凸顯了公司結構的重要性,并稱 Binance 迄今為止都沒有透露其總部所在地,他預計未來提交牌照申請的加密貨幣交易所都需要改變商業模式,必須根據“所用解決方案的可靠性”以及“與金融犯罪的潛在關聯性”,審查每一種加密資產是否適合客戶交易。[2022/12/29 22:13:23]
攻擊交易信息:
a.攻擊交易1——>被盜金額:1,536,821.7694USDC
https://etherscan.io/tx/0xc80e7cfeb16143cba4d5fb3b192b7dbe70e9bcd5ca0348facd20bf2d05693070
b.攻擊交易2——>748,312.634392210170566277USDC
https://bscscan.com/tx/0xa8a75905573cce1c6781a59a5d8bc7a8bfb6c8539ca298cbf507a292091ad4b5
c.攻擊交易3——>112,640.877101USDC
https://ftmscan.com/tx/0x7312936a28b143d797b4860cf1d36ad2cc951fdbe0f04ddfeddae7499d8368f8
d.攻擊交易4——>5,509,227.35372MIM
https://etherscan.io/tx/0xecaaf8b57b6587412242fdc040bd6cc084077a07f4def24b4adae6fbe8254ae3
技術分析
BSC上的V3路由器MPC帳戶下存在兩個v3router交易,這兩個交易具有相同的R值簽名,攻擊者可以反推出MPC賬戶的私鑰,知道創宇安全團隊通過本地測試驗證了這種攻擊方法,如果知道兩次交易中相同的R值(ECDSA簽名算法),由于兩次簽名的原始數據不一樣,就能反推出簽名時使用的隨機數種子,又因為可以地址中推算出了公鑰,所以通過腳本即可反推出MPC地址的私鑰(如下方截圖所示),最后攻擊者以MPC身份調用anySwapInAuto函數完成盜幣。代碼關鍵部分:
代碼執行結果如下:
后續進展
Anyswap項目方將賠償此次盜幣事件產生的損失,并在未來48小時更新主合約代碼,以修復使用相同R簽名導致的私鑰泄露事件。如有最新進展,實驗室將會第一時間跟進和分析。
超強臺風“煙花”即將登陸浙江,狂風暴雨已經先行抵達杭州,但這并不能阻擋區塊鏈人的熱情。7月24日,“2021世界區塊鏈大會·杭州”在杭州未來科技城學術交流中心開幕.
1900/1/1 0:00:00來源:證券日報 記者張志偉 見習記者張博 區塊鏈已成為寧波重點布局的產業之一。自去年寧波出臺加快區塊鏈產業培育及創新應用三年行動計劃后,寧波區塊鏈建設按下“加速鍵”.
1900/1/1 0:00:00巴比特訊,8月4日消息,區塊鏈開發平臺Alchemy引入幾個來自不同行業的天使投資人,為公司的擴張提供建議和指導,投資者名冊包括來自加密貨幣領域和其他領域的個人.
1900/1/1 0:00:00分布式數字身份作為數字世界的入口、網絡3.0的基石,對政策、標準、技術、應用場景等各方面探索都至關重要.
1900/1/1 0:00:00巴比特訊,7月13日,以太坊客戶端Nethermind在推特上表示,難度炸彈和EIP-3554是針對試圖分叉鏈的攻擊者的防御措施,它確保以太坊有持續的維護和變更的緊迫性.
1900/1/1 0:00:00據福布斯8月2日消息,加密資產經紀商Voyager以8500萬美元的價格收購了丹麥加密貨幣支付平臺Coinify.
1900/1/1 0:00:00