Über 200 Benutzer verlieren USDC bei x402bridge-Hack, da GoPlus eine Verletzung des privaten Schlüssels meldet

Wenige Tage nach seiner Einführung erlitt das Cross-Layer-Protokoll x402bridge eine Sicherheitslücke, die dazu führte, dass mehr als 200 Benutzer ihre USDC-Bestände verloren.

Am 28. Oktober löste die Web3-Sicherheitsfirma GoPlus Security über ihren chinesischen Social-Media-Account eine Warnung aus und warnte Benutzer vor ungewöhnlichen Berechtigungen im Zusammenhang mit x402bridge.

Der Exploit, der USDC im Wert von etwa 17.693 US-Dollar vernichtete, hat zu einer erneuten Prüfung darüber geführt, wie private Schlüssellecks und übermäßige Autorisierungen dezentrale Protokolle weiterhin Angriffen aussetzen.

GoPlus deckt verdächtige Autorisierungen auf

GoPlus Security stellte fest, dass der Ersteller des Vertrags, beginnend mit 0xed1A, das Eigentum an eine Adresse übertragen hat, die mit 0x2b8F beginnt.

Dieser Adresse wurden Administratorrechte gewährt, die zuvor vom x402bridge-Team besessen wurden, sodass sie Schlüsseleinstellungen ändern und Ressourcen übertragen konnte.

Kurz nach der Übernahme der Kontrolle nutzte die neue Adresse eine Funktion namens "transferUserToken", um alle USDC von Wallets abzuziehen, die dem Vertrag zuvor eine Genehmigung erteilt hatten.

Die 0x2b8F Adresse bewegte USDC im Wert von etwa 17.693 US-Dollar, bevor sie die gestohlenen Token in ETH umwandelte. Die umgewandelten Gelder wurden später über mehrere Cross-Chain-Transaktionen an das Arbitrum-Netzwerk überwiesen.

GoPlus riet betroffenen Nutzern, alle laufenden Autorisierungen sofort zu stornieren und offizielle Projektadressen zu verifizieren, bevor sie weitere Transaktionen genehmigen.

Sicherheitsexperten vermuten Leck bei privatem Schlüssel

On-Chain-Ermittler und Sicherheitsfirmen, darunter SlowMist, berichteten, dass die wahrscheinliche Ursache für den Exploit ein privates Schlüsselleck war, obwohl eine Beteiligung von Insidern nicht von der Hand gewiesen werden konnte.

Nach der Sicherheitsverletzung wurden alle x402bridge-Vorgänge gestoppt und die Website des Projekts ging offline. Der offizielle x402bridge-Account bestätigte den Sicherheitsvorfall und erklärte, dass sowohl die Team-Test-Wallets als auch die Haupt-Wallets kompromittiert worden seien.

Das Team sagte, es habe den Fall den Strafverfolgungsbehörden gemeldet und arbeite mit den Ermittlern zusammen, um die Quelle des Lecks zu finden.

Das Protokoll stellte klar, dass der x402-Mechanismus erfordert, dass Benutzer Transaktionen über eine Webschnittstelle signieren oder genehmigen. Die Autorisierung wird dann an einen Backend-Server gesendet, der für die Extraktion von Geldern und die Prägung von Token verantwortlich ist.

Während des Onboardings werden private Schlüssel auf dem Server gespeichert, um das Aufrufen von Vertragsmethoden zu erleichtern. Dieser Schritt, so das Team, legt Administratorrechte offen, da der private Schlüssel mit dem Internet verbunden bleibt, was zu potenziellen Schwachstellen führt.

Zunehmende Nutzung von x402 vor dem Exploit

Der Angriff erfolgte zu einer Zeit, in der x402-Transaktionen ein rasantes Wachstum verzeichneten. Am 27. Oktober überstieg der Marktwert von x402-Token zum ersten Mal 800 Millionen US-Dollar.

Das x402-Protokoll von Coinbase verarbeitete ebenfalls etwa 500.000 Transaktionen in einer einzigen Woche, was einem Anstieg von mehr als 10.780 % im Vergleich zum Vormonat entspricht.

Die Fähigkeit des Protokolls, Zahlungen mit HTTP 402 Payment Required-Statuscodes zu erleichtern, wurde als Brücke zwischen menschlichen und KI-gesteuerten Transaktionen gepriesen, die sofortige Stablecoin-Zahlungen für APIs und digitale Inhalte ermöglicht.

Die jüngste Sicherheitsverletzung unterstreicht jedoch die anhaltenden Sicherheitsbedenken bei Web3-Protokollen, die auf Benutzerberechtigungen beruhen.

GoPlus bekräftigte, dass Benutzer nur die erforderliche Menge genehmigen sollten, anstatt unbegrenzte Berechtigungen zu erteilen, und unnötige Berechtigungen häufig überprüfen und widerrufen sollten.

Nächste Schritte für betroffene Benutzer und die Untersuchung

In seinem offiziellen Update sagte das x402bridge-Team, dass es mit den Strafverfolgungsbehörden zusammenarbeitet, um die gestohlenen Vermögenswerte zu verfolgen und die internen Sicherheitsmaßnahmen zu verstärken.

Obwohl kein Zeitplan für die Wiederherstellung bekannt gegeben wurde, dient der Vorfall als eine weitere Erinnerung sowohl für Entwickler als auch für Benutzer, der Sicherheit privater Schlüssel Vorrang einzuräumen und regelmäßige Audits der Autorisierungssysteme durchzuführen.

Der Verstoß verdeutlicht eine wiederkehrende Schwäche in Blockchain-Protokollen, die stark von Benutzerautorisierungsschichten und mit dem Internet verbundenen Admin-Schlüsseln abhängen.

Sicherheitsexperten haben davor gewarnt, dass selbst Protokolle mit einer starken On-Chain-Architektur ungeschützt bleiben können, wenn die Backend-Schlüsselverwaltung nicht richtig gesichert ist.