Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 044Bridge-Exploit

Anyswap V3 ECDSA Nonce Reuse

Angreifer entdeckte wiederholten k-Wert in zwei BSC-Signaturen, errechnete den MPC-Key von Anyswap V3 zurück und entzog 7,9 Mio. USD aus Router-Pools.

Datum
Opfer
Anyswap
Chain(s)
EthereumBNB Chain
Status
Mittel entwendet

Am 10. Juli 2021 um 20:00 UTC wurde der Cross-Chain-Liquiditätsrouter Anyswap V3 um etwa 7,9 Millionen US-Dollar erleichtert — 5,5 Mio. MIM in einer einzigen Transaktion plus ~2,4 Mio. USDC in drei weiteren Transaktionen — nachdem der Angreifer eine ECDSA-Nonce-Reuse-Schwachstelle in der MPC-Wallet des Protokolls ausgenutzt hatte. Der Angreifer entdeckte einen wiederholten k-Wert über zwei Signaturen auf BNB Chain und errechnete den Private Key aus elementarer Zahlentheorie zurück.

Was geschah

Anyswap (später umbenannt in Multichain) nutzte eine Multi-Party-Computation (MPC)-Wallet, um Signaturen über mehrere Operator-kontrollierte Schlüsselanteile für seinen Cross-Chain-Router zu koordinieren. Jede Cross-Chain-Operation erforderte eine Signatur der MPC-Wallet, erzeugt mittels ECDSA.

ECDSA-Sicherheit hängt von einer kritischen Anforderung ab: Der pro Signatur zufällige Wert k muss eindeutig und unvorhersagbar sein. Wenn zwei Signaturen desselben Schlüssels den gleichen k-Wert verwenden, kann jeder, der die beiden Signaturen beobachtet, den Private Key algebraisch mit elementaren Modulararithmetik-Operationen wiederherstellen.

Die MPC-Implementierung des Anyswap-V3-Routers erzeugte wiederholte k-Werte in zwei seiner BSC-seitigen Transaktionen. Der Angreifer:

  1. Überwachte Anyswaps On-Chain-Signaturaktivität — möglicherweise automatisiert, möglicherweise opportunistisch.
  2. Erkannte das doppelte k in zwei BSC-Transaktionen.
  3. Berechnete den Private Key der MPC-Wallet mittels der Standard-ECDSA-Private-Key-Recovery-Formel für zwei Signaturen mit derselben Nonce.
  4. Entleerte die V3-Cross-Chain-Liquiditätspools für 7,9 Mio. USD, bevor das Team Schlüssel rotieren konnte.

Der Exploit betraf nur den V3-Router — Anyswaps V1- und V2-Bridges nutzten andere Infrastruktur und waren nicht betroffen. Die V3-LP-Provider absorbierten den Verlust.

Folgen

  • Anyswap pausierte V3 und kündigte ein 48-Stunden-timelocked Redeployment mit korrigierter Nonce-Generierung an.
  • Das Team verpflichtete sich zur Entschädigung der V3-LPs.
  • Zwei Jahre später wurde das umbenannte Multichain unter völlig anderen (und verdächtigeren) Umständen um 125 Mio. USD im Juli 2023 entleert.

Warum es wichtig ist

Der Anyswap-Vorfall vom Juli 2021 ist der Lehrbuchfall dafür, warum kryptografische Primitive mit der erforderlichen Sorgfalt implementiert werden müssen. ECDSAs Nonce-Reuse-Schwachstelle ist seit der ersten Veröffentlichung des Algorithmus dokumentiert; der Fehlermodus ist so bekannt, dass automatisierte Bots öffentliche Blockchains auf wiederholte k-Werte überwachen, um Schlüssel zurückzurechnen.

Die strukturellen Lektionen:

  1. MPC-Wallets sind nicht magisch sicher — sie sind so sicher wie die Implementierung jedes Primitivs in der Signatur-Pipeline. Ein Nonce-Reuse-Bug in der Signaturaggregation der MPC besiegt alle Multi-Party-Sicherheitsgarantien, die das System bieten sollte.

  2. Deterministische Nonce-Generierung gemäß RFC 6979 ist seit über einem Jahrzehnt die Standard-Mitigation. Jede ECDSA-Implementierung, die keine deterministischen Nonces verwendet — oder schlimmer, Nonces aus einem fehlerhaften PRNG wiederverwendet — ist eine Beobachtung von der Offenlegung entfernt.

  3. Bridges konzentrieren kryptografisches Risiko, weil sie viele Signaturen für viele Cross-Chain-Operationen ausgeben müssen, was die Wahrscheinlichkeit erhöht, dass ein Implementierungsfehler irgendwann auftaucht. Der Anyswap-V3-Router nutzte „Prototyp"-Code in der Produktion — ein wiederkehrendes Muster früher Bridge-Deployments, das die Post-2022-Welle von Bridge-Hacks (Ronin, Wormhole, BNB, Nomad) als universell unzureichend etablierte.

Die Trajektorie Anyswap → Multichain — vom „Exploit des V3-Routers" 2021 zu „MPC-Schlüssel verloren nach CEO-Verhaftung" 2023 — ist eine der saubereren Fallstudien dafür, wie dasselbe operative Team auf einer mehrjährigen Zeitachse unterschiedliche Kategorien katastrophalen Versagens produzieren kann.

Quellen & On-Chain-Belege

  1. [01]anyswap.medium.comhttps://anyswap.medium.com/anyswap-multichain-router-v3-exploit-statement-6833f1b7e6fb
  2. [02]chaincatcher.comhttps://www.chaincatcher.com/en/article/2063348
  3. [03]rekt.newshttps://rekt.news/anyswap-rekt

Verwandte Einträge