Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 044Exploit de pont

Réutilisation de nonce ECDSA sur Anyswap V3

Un attaquant a détecté un k réutilisé dans deux signatures BSC, recalculé la clé privée MPC d'Anyswap V3 et drainé 7,9 M$ de ses pools de routeur inter-chaînes.

Date
Victime
Anyswap
Chaîne(s)
EthereumBNB Chain
Statut
Fonds dérobés

Le 10 juillet 2021 à 20:00 UTC, le routeur de liquidité inter-chaînes Anyswap V3 a été drainé d'environ 7,9 millions de dollars5,5 M MIM en une seule transaction plus ~2,4 M USDC sur trois transactions supplémentaires — après que l'attaquant a exploité une vulnérabilité de réutilisation de nonce ECDSA dans le wallet MPC du protocole. L'attaquant a détecté une valeur k répétée sur deux signatures sur BNB Chain et a recalculé la clé privée à partir de théorie des nombres élémentaire.

Ce qui s'est passé

Anyswap (plus tard renommé Multichain) utilisait un wallet Multi-Party Computation (MPC) pour coordonner la signature à travers plusieurs parts de clé contrôlées par les opérateurs pour son routeur inter-chaînes. Chaque opération inter-chaînes nécessitait une signature du wallet MPC, générée via ECDSA.

La sécurité d'ECDSA dépend d'un prérequis critique : la valeur aléatoire k par signature doit être unique et imprévisible. Si deux signatures de la même clé utilisent la même valeur k, alors quiconque observe les deux signatures peut récupérer algébriquement la clé privée via des opérations basiques d'arithmétique modulaire.

L'implémentation MPC du routeur Anyswap V3 a généré des valeurs k répétées dans deux de ses transactions côté BSC. L'attaquant a :

  1. Monitoré l'activité de signature on-chain d'Anyswap — possiblement automatisé, possiblement opportuniste.
  2. Détecté le k dupliqué dans deux transactions BSC.
  3. Calculé la clé privée du wallet MPC via la formule standard de récupération de clé privée ECDSA étant donné deux signatures avec le même nonce.
  4. Drainé les pools de liquidité inter-chaînes V3 pour 7,9 M$ avant que l'équipe ne puisse faire tourner les clés.

L'exploit n'a affecté que le routeur V3 — les ponts V1 et V2 d'Anyswap utilisaient une infrastructure différente et n'ont pas été affectés. Les fournisseurs de liquidité V3 ont absorbé la perte.

Conséquences

  • Anyswap a mis en pause V3 et annoncé un redéploiement timelocké de 48 h avec génération de nonce corrigée.
  • L'équipe s'est engagée à indemniser les LPs V3.
  • Deux ans plus tard, le rebaptisé Multichain serait drainé pour 125 M$ en juillet 2023 dans des circonstances entièrement différentes (et plus suspectes).

Pourquoi c'est important

L'incident Anyswap de juillet 2021 est le cas d'école de pourquoi les primitives cryptographiques doivent être implémentées avec la rigueur qu'elles exigent. La vulnérabilité de réutilisation de nonce ECDSA est documentée depuis la première publication de l'algorithme ; le mode de défaillance est si connu que des bots automatisés monitorent les blockchains publiques pour des valeurs k répétées afin de recalculer des clés.

Leçons structurelles :

  1. Les wallets MPC ne sont pas magiquement sûrs — ils sont aussi sûrs que l'implémentation de chaque primitive dans le pipeline de signature. Un bug de réutilisation de nonce dans l'agrégation de signatures du MPC met en échec toutes les garanties de sécurité multi-parties que le système est censé fournir.

  2. La génération de nonce déterministe selon RFC 6979 est l'atténuation standard depuis plus d'une décennie. Toute implémentation ECDSA qui n'utilise pas de nonces déterministes — ou pire, qui réutilise des nonces depuis un PRNG défectueux — est à une seule observation de l'exposition.

  3. Les ponts concentrent le risque cryptographique parce qu'ils doivent émettre de nombreuses signatures pour de nombreuses opérations inter-chaînes, augmentant la probabilité que toute faille d'implémentation finisse par émerger. Le routeur Anyswap V3 utilisait du code « prototype » en production — un schéma récurrent dans le déploiement précoce des ponts que la vague de hacks post-2022 (Ronin, Wormhole, BNB, Nomad) a rendu universellement reconnu comme inadéquat.

La trajectoire Anyswap → Multichain — de « exploit du routeur V3 » en 2021 à « clés MPC perdues après l'arrestation du CEO » en 2023 — est l'une des études de cas les plus claires de comment la même équipe opérationnelle peut produire différentes catégories d'échec catastrophique sur une chronologie pluriannuelle.

Sources & preuves on-chain

  1. [01]anyswap.medium.comhttps://anyswap.medium.com/anyswap-multichain-router-v3-exploit-statement-6833f1b7e6fb
  2. [02]chaincatcher.comhttps://www.chaincatcher.com/en/article/2063348
  3. [03]rekt.newshttps://rekt.news/anyswap-rekt

Dépôts liés