Yli 200 käyttäjää menettää USDC:n x402bridge-hakkeroinnissa, kun GoPlus ilmoittaa yksityisen avaimen rikkomisesta

Muutama päivä julkaisunsa jälkeen monikerroksinen x402bridge-protokolla kärsi tietoturvaloukkauksesta, joka johti siihen, että yli 200 käyttäjää menetti USDC-omistuksensa.

Lokakuun 28. päivänä Web3-tietoturvayritys GoPlus Security varoitti kiinalaisen sosiaalisen median tilinsä kautta käyttäjiä x402bridgeen liittyvistä epätavallisista valtuutuksista.

Hyväksikäyttö, joka tyhjensi noin 17 693 dollarin arvosta USDC:tä, on johtanut uuteen tarkasteluun siitä, kuinka yksityisen avaimen vuodot ja liialliset valtuutukset altistavat hajautetut protokollat edelleen hyökkäyksille.

GoPlus paljastaa epäilyttäviä lupia

GoPlus Security havaitsi, että sopimuksen luoja, alkaen 0xed1A, siirsi omistajuuden osoitteeseen, joka alkaa 0x2b8F.

Tälle osoitteelle myönnettiin järjestelmänvalvojan oikeudet, jotka olivat aiemmin x402bridge-tiimin hallussa, minkä ansiosta se voi muokata avainasetuksia ja siirtää resursseja.

Pian hallinnan ottamisen jälkeen uusi osoite käytti "transferUserToken"-nimistä toimintoa tyhjentääkseen kaikki USDC:t lompakoista, jotka olivat antaneet sopimukselle ennakkoluvan.

0x2b8F-osoite siirsi noin 17 693 dollarin arvosta USDC:tä ennen kuin varastetut tokenit muutettiin ETH:ksi. Muunnetut varat lähetettiin myöhemmin Arbitrum-verkkoon useiden ketjujen välisten transaktioiden kautta.

GoPlus neuvoi käyttäjiä, joita asia koskee, peruuttamaan välittömästi kaikki käynnissä olevat valtuutukset ja tarkistamaan viralliset projektiosoitteet ennen uusien tapahtumien hyväksymistä.

Tietoturva-asiantuntijat epäilevät yksityisen avaimen vuotoa

Ketjussa olevat tutkijat ja tietoturvayritykset, mukaan lukien SlowMist, raportoivat, että hyväksikäytön todennäköinen syy oli yksityisen avaimen vuoto, vaikka sisäpiirin osallisuutta ei voitu sulkea pois.

Tietomurron jälkeen kaikki x402bridge-toiminnot keskeytettiin ja projektin verkkosivusto meni offline-tilaan. Virallinen x402bridge-tili vahvisti tietoturvatapauksen ja totesi, että sekä tiimin testilompakot että päälompakot olivat vaarantuneet.

Ryhmä sanoi ilmoittaneensa tapauksesta lainvalvontaviranomaisille ja työskentelevänsä tutkijoiden kanssa vuodon lähteen jäljittämiseksi.

Protokolla selvensi, että x402-mekanismi edellyttää, että käyttäjät allekirjoittavat tai hyväksyvät tapahtumat verkkokäyttöliittymän kautta. Valtuutus lähetetään sitten taustapalvelimelle, joka vastaa varojen poimimisesta ja tokenien lyömisestä.

Käyttöönoton aikana palvelimelle tallennetaan yksityiset avaimet sopimusmenetelmäkutsujen helpottamiseksi. Tämä vaihe paljastaa tiimin mukaan järjestelmänvalvojan oikeudet, koska yksityinen avain pysyy yhteydessä Internetiin, mikä luo mahdollisia haavoittuvuuksia.

x402:n käytön kasvu ennen hyväksikäyttöä

Hyökkäys tapahtui aikana, jolloin x402-tapahtumat kasvoivat nopeasti. Lokakuun 27. päivänä x402-tokenien markkina-arvo ylitti ensimmäistä kertaa 800 miljoonaa dollaria.

Coinbasen x402-protokolla käsitteli myös noin 500 000 tapahtumaa yhdessä viikossa, mikä heijastaa yli 10 780 prosentin nousua edelliseen kuukauteen verrattuna.

Protokollan kykyä helpottaa maksuja HTTP 402 Payment Required -tilakoodien avulla on pidetty siltana ihmisten ja tekoälypohjaisten tapahtumien välillä, mikä mahdollistaa välittömät stablecoin-maksut API:ille ja digitaaliselle sisällölle.

Äskettäinen tietomurto korostaa kuitenkin jatkuvia turvallisuusongelmia Web3-protokollissa, jotka ovat riippuvaisia käyttäjien valtuutuksista.

GoPlus toisti, että käyttäjien tulisi hyväksyä vain vaadittu määrä rajoittamattomien käyttöoikeuksien myöntämisen sijaan, ja heidän tulisi usein tarkistaa ja peruuttaa tarpeettomat valtuutukset.

Seuraavat vaiheet käyttäjille, joita asia koskee, ja tutkinta

Virallisessa päivityksessään x402bridge-tiimi sanoi tekevänsä yhteistyötä lainvalvontaviranomaisten kanssa varastetun omaisuuden jäljittämiseksi ja sisäisten turvatoimien vahvistamiseksi.

Vaikka toipumisaikataulua ei ole ilmoitettu, tapaus toimii jälleen muistutuksena sekä kehittäjille että käyttäjille priorisoida yksityisten avainten turvallisuus ja suorittaa säännöllisiä lupajärjestelmien tarkastuksia.

Tietomurto korostaa toistuvaa heikkoutta lohkoketjuprotokollissa, jotka ovat vahvasti riippuvaisia käyttäjien valtuutuskerroksista ja Internetiin yhdistetyistä järjestelmänvalvojan avaimista.

Tietoturva-asiantuntijat ovat varoittaneet, että jopa protokollat, joilla on vahva ketjun sisäinen arkkitehtuuri, voivat jäädä alttiiksi, jos taustaavainten hallintaa ei ole suojattu kunnolla.