Más de 200 usuarios pierden USDC en el hackeo de x402bridge mientras GoPlus señala una violación de clave privada

Unos días después de su lanzamiento, el protocolo de capa cruzada x402bridge sufrió una brecha de seguridad que llevó a más de 200 usuarios a perder sus tenencias de USDC.

El 28 de octubre, la empresa de seguridad Web3 GoPlus Security emitió una alerta a través de su cuenta de redes sociales china, advirtiendo a los usuarios de autorizaciones inusuales vinculadas a x402bridge.

El exploit, que drenó alrededor de USD 17,693 en USDC, ha provocado un nuevo escrutinio sobre cómo las filtraciones de claves privadas y las autorizaciones excesivas continúan exponiendo los protocolos descentralizados a ataques.

GoPlus descubre autorizaciones sospechosas

GoPlus Security identificó que el creador del contrato, comenzando con 0xed1A, transfirió la propiedad a una dirección que comienza con 0x2b8F.

El equipo de x402bridge otorgó privilegios administrativos a esta dirección anteriormente, lo que le permitió modificar la configuración clave y transferir activos.

Poco después de asumir el control, la nueva dirección utilizó una función llamada "transferUserToken" para drenar todos los USDC de las billeteras que habían otorgado autorización previa al contrato.

La dirección 0x2b8F movió aproximadamente USD 17,693 en USDC antes de convertir los tokens robados en ETH. Los fondos convertidos se enviaron posteriormente a la red de Arbitrum a través de varias transacciones entre cadenas.

GoPlus aconsejó a los usuarios afectados que cancelen inmediatamente cualquier autorización en curso y verifiquen las direcciones oficiales del proyecto antes de aprobar más transacciones.

Expertos en seguridad sospechan fuga de claves privadas

Los investigadores en cadena y las empresas de seguridad, incluida SlowMist, informaron que la causa probable del exploit fue una fuga de clave privada, aunque no se podía descartar la participación de personas con información privilegiada.

Después de la violación, todas las operaciones de x402bridge se detuvieron y el sitio web del proyecto se desconectó. La cuenta oficial de x402bridge confirmó el incidente de seguridad, afirmando que tanto las billeteras de prueba del equipo como las billeteras principales se habían visto comprometidas.

El equipo dijo que ha informado el caso a la policía y está trabajando con los investigadores para rastrear la fuente de la filtración.

El protocolo aclaró que el mecanismo x402 requiere que los usuarios firmen o aprueben transacciones a través de una interfaz web. Luego, la autorización se envía a un servidor backend responsable de extraer fondos y acuñar tokens.

Durante la incorporación, las claves privadas se almacenan en el servidor para facilitar las llamadas a métodos de contrato. Este paso, según el equipo, expone los privilegios de administrador porque la clave privada permanece conectada a Internet, creando vulnerabilidades potenciales.

Aumento del uso de x402 antes del exploit

El ataque se produjo en un momento en que las transacciones x402 estaban registrando un rápido crecimiento. El 27 de octubre, el valor de mercado de los tokens x402 superó los 800 millones de dólares por primera vez.

El protocolo x402 de Coinbase también procesó alrededor de 500,000 transacciones en una sola semana, lo que refleja un aumento de más del 10,780% en comparación con el mes anterior.

La capacidad del protocolo para facilitar los pagos utilizando códigos de estado HTTP 402 Payment Required ha sido aclamada como un puente entre las transacciones humanas y las impulsadas por IA, lo que permite pagos instantáneos con stablecoins para API y contenido digital.

Sin embargo, la reciente violación subraya las persistentes preocupaciones de seguridad en los protocolos Web3 que dependen de las autorizaciones de los usuarios.

GoPlus reiteró que los usuarios solo deben aprobar la cantidad requerida en lugar de otorgar permisos ilimitados y deben revisar y revocar con frecuencia las autorizaciones innecesarias.

Pasos siguientes para los usuarios afectados y la investigación

En su actualización oficial, el equipo de x402bridge dijo que está trabajando con las agencias de aplicación de la ley para rastrear los activos robados y fortalecer las medidas de seguridad interna.

Si bien no se ha anunciado un cronograma de recuperación, el incidente sirve como otro recordatorio para que tanto los desarrolladores como los usuarios prioricen la seguridad de la clave privada y realicen auditorías periódicas de los sistemas de autorización.

La violación destaca una debilidad recurrente en los protocolos de blockchain que dependen en gran medida de las capas de autorización de usuarios y las claves de administración conectadas a Internet.

Los expertos en seguridad han advertido que incluso los protocolos con una sólida arquitectura en cadena pueden permanecer expuestos si la gestión de claves de backend no está debidamente protegida.