Överdrivna Auktoriseringar och Säkerhetsöverträdelse
GoPlus har upptäckt ovanliga auktoriseringar kopplade till 402bridge, vilket har resulterat i att mer än 200 användare har förlorat USDC på grund av överdrivna auktoriseringar gjorda av protokollet. Den 28 oktober varnade GoPlus Securitys kinesiska sociala mediekonto användare för en misstänkt säkerhetsöverträdelse som involverade x402 cross-layer-protokollet, x402bridge. Hacket inträffade bara dagar efter att protokollet lanserades på kedjan.
Detaljer om Hacket
Innan USDC kan prägla, måste åtgärden först auktoriseras av ägarens kontrakt. I detta fall ledde överdrivna auktoriseringar till att mer än 200 användare förlorade sina återstående stablecoins i en serie överföringar. GoPlus (GPS) noterade att skaparen av kontraktet som börjar med 0xed1A gjorde en ägaröverföring till adressen 0x2b8F, vilket gav den nya adressen speciella administrativa privilegier som innehas av x402bridge-teamet, såsom möjligheten att ändra viktiga inställningar och flytta tillgångar.
Kort efter att ha fått kontroll utförde den nya ägaradressen en funktion som kallas ”transferUserToken”. Denna funktion tillät adressen att tömma alla återstående USD Coins från plånböcker som tidigare hade gett auktorisation till kontraktet. Totalt tömde adressen 0x2b8F cirka $17,693 i värde av USDC från användare innan de stulna medlen växlades till ETH. Den nykonverterade ETH överfördes senare till Arbitrum genom flera cross-chain-transaktioner.
Rekommendationer till Användare
Som ett resultat av överträdelsen rekommenderade GoPlus Security användare med plånböcker på protokollet att omedelbart avbryta alla pågående auktoriseringar. Säkerhetsföretaget påminde också användare att kontrollera om den auktoriserade adressen är den officiella adressen för projektet innan de godkänner några överföringar.
Dessutom uppmanas användare att endast auktorisera det nödvändiga beloppet och aldrig ge obegränsade auktoriseringar till kontrakt. Överlag uppmanas de att regelbundet kontrollera auktoriseringar och återkalla onödiga.
Marknadsreaktion och Utredning
Hacket inträffade bara några dagar efter att x402-transaktioner började se en boom i användningen. Den 27 oktober översteg marknadsvärdet av x402-tokens $800 miljoner för första gången. Under tiden registrerade Coinbase’s x402-protokoll 500,000 transaktioner på en vecka, vilket indikerar en ökning med 10,780% jämfört med föregående månad.
x402-protokollet möjliggör både människor och AI-agenter att göra transaktioner med hjälp av HTTP 402 Payment Required-statuskod för att möjliggöra omedelbara, programmatisk betalningar för API:er och digitalt innehåll. Detta innebär att de kan göra omedelbara stablecoin-betalningar över HTTP.
On-chain-utredare och blockchain-säkerhetsföretag som SlowMist har dragit slutsatsen att överträdelsen troligen orsakades av en läcka av privat nyckel. De uteslöt dock inte möjligheten av insiderinblandning. På grund av överträdelsen har projektet stoppat all aktivitet och dess webbplats är nu offline.
Officiell Bekräftelse och Framtida Åtgärder
Det officiella kontot för 402bridge har sedan adresserat exploateringen och bekräftat att den faktiskt orsakades av en läcka av privat nyckel som ledde till att mer än ett dussin teamtestplånböcker och huvudplånböcker på protokollet komprometterades i processen. Teamet undersöker för närvarande händelsen och har rapporterat den till myndigheterna.
”Vi har snabbt rapporterat händelsen till brottsbekämpande myndigheter och kommer att hålla samhället informerat med aktuella uppdateringar när utredningen fortskrider,” sa 402bridge.
I ett separat inlägg som delades tidigare förklarade protokollet hur x402-mekanismen fungerar. Den kräver att användare signerar eller godkänner transaktioner via webbgränssnittet. Auktoriseringen skickas sedan till en back-end-server som extraherar medlen och präglar tokens.
”När vi registrerar oss på x402scan.com måste vi lagra den privata nyckeln på servern för att kunna kalla kontraktsmetoder,” sa protokollet. ”Detta steg kan exponera administrativa privilegier eftersom den administrativa privata nyckeln är kopplad till internet i detta skede, vilket potentiellt kan leda till en läcka av behörigheter,” fortsatte teamet.
Som ett resultat, om den privata nyckeln stjäls av en hacker, kan de ta över alla administrativa privilegier och omfördela användarfonder till hackerens kontrakt.
