Over 200 brugere mister USDC i x402bridge-hack, da GoPlus markerer brud på private nøgler

Et par dage efter lanceringen blev krydslagsprotokollen x402bridge ramt af et sikkerhedsbrud, der førte til, at mere end 200 brugere mistede deres USDC-beholdninger.

Den 28. oktober udsendte Web3-sikkerhedsfirmaet GoPlus Security en advarsel via sin kinesiske sociale mediekonto og advarede brugere om usædvanlige tilladelser knyttet til x402bridge.

Udnyttelsen, som drænede USDC til en værdi af omkring 17.693 dollars, har ført til fornyet undersøgelse af, hvordan private nøglelækager og overdrevne tilladelser fortsætter med at udsætte decentraliserede protokoller for angreb.

GoPlus afslører mistænkelige tilladelser

GoPlus Security identificerede, at kontraktskaberen, begyndende med 0xed1A, overførte ejerskabet til en adresse, der startede med 0x2b8F.

Denne adresse blev tildelt administrative rettigheder, der tidligere var i besiddelse af x402bridge-teamet, hvilket gjorde det muligt at ændre nøgleindstillinger og overføre aktiver.

Kort efter at have overtaget kontrollen brugte den nye adresse en funktion kaldet "transferUserToken" til at dræne alle USDC fra tegnebøger, der havde givet forudgående godkendelse til kontrakten.

Den 0x2b8F adresse flyttede USDC til en værdi af ca. $17.693, før den konverterede de stjålne tokens til ETH. De konverterede midler blev senere sendt til Arbitrum-netværket gennem flere transaktioner på tværs af kæder.

GoPlus rådede berørte brugere til straks at annullere eventuelle igangværende tilladelser og verificere officielle projektadresser, før de godkender yderligere transaktioner.

Sikkerhedseksperter mistænker lækage af privat nøgle

Efterforskere og sikkerhedsfirmaer på kæden, herunder SlowMist, rapporterede, at den sandsynlige årsag til udnyttelsen var en privat nøglelækage, selvom insiderinvolvering ikke kunne afvises.

Efter bruddet blev alle x402bridge-operationer stoppet, og projektets hjemmeside gik offline. Den officielle x402bridge-konto bekræftede sikkerhedshændelsen og oplyste, at både teamtest-wallets og hovedwallets var blevet kompromitteret.

Holdet sagde, at det har rapporteret sagen til politiet og arbejder sammen med efterforskere for at spore kilden til lækagen.

Protokollen præciserede, at x402-mekanismen kræver, at brugerne underskriver eller godkender transaktioner via en webgrænseflade. Autorisationen sendes derefter til en backend-server, der er ansvarlig for at udtrække midler og præge tokens.

Under onboarding gemmes private nøgler på serveren for at lette kontraktmetodekald. Dette trin afslører ifølge teamet administratorrettigheder, fordi den private nøgle forbliver forbundet til internettet, hvilket skaber potentielle sårbarheder.

Stigende brug af x402 før udnyttelsen

Angrebet kom på et tidspunkt, hvor x402-transaktioner registrerede hurtig vækst. Den 27. oktober oversteg markedsværdien af x402-tokens $800 millioner for første gang.

Coinbases x402-protokol behandlede også omkring 500.000 transaktioner på en enkelt uge, hvilket afspejler en stigning på mere end 10.780% sammenlignet med den foregående måned.

Protokollens evne til at lette betalinger ved hjælp af HTTP 402 Payment Required-statuskoder er blevet hyldet som en bro mellem menneskelige og AI-drevne transaktioner, hvilket muliggør øjeblikkelige stablecoin-betalinger for API'er og digitalt indhold.

Det nylige brud understreger dog vedvarende sikkerhedsproblemer på tværs af Web3-protokoller, der er afhængige af brugertilladelser.

GoPlus gentog, at brugere kun bør godkende det krævede beløb i stedet for at give ubegrænsede tilladelser og ofte bør gennemgå og tilbagekalde unødvendige tilladelser.

Næste trin for berørte brugere og undersøgelsen

I sin officielle opdatering sagde x402bridge-teamet, at det arbejder sammen med retshåndhævende myndigheder for at spore de stjålne aktiver og styrke de interne sikkerhedsforanstaltninger.

Selvom der ikke er annonceret nogen tidslinje for genopretning, tjener hændelsen som endnu en påmindelse til både udviklere og brugere om at prioritere sikkerhed for private nøgler og foretage regelmæssige revisioner af autorisationssystemer.

Bruddet fremhæver en tilbagevendende svaghed i blockchain-protokoller, der er stærkt afhængige af brugerautorisationslag og internetforbundne administratornøgler.

Sikkerhedseksperter har advaret om, at selv protokoller med stærk on-chain-arkitektur kan forblive udsatte, hvis backend-nøglestyring ikke er ordentligt sikret.