Plus de 200 utilisateurs perdent de l’USDC lors du piratage de x402bridge alors que GoPlus signale une violation de clé privée

Quelques jours après son lancement, le protocole intercouche x402bridge a subi une faille de sécurité qui a conduit plus de 200 utilisateurs à perdre leurs avoirs en USDC.

Le 28 octobre, la société de sécurité Web3 GoPlus Security a lancé une alerte sur son compte de médias sociaux chinois, mettant en garde les utilisateurs contre les autorisations inhabituelles liées à x402bridge.

L’exploit, qui a permis de drainer environ 17 693 $ d’USDC, a suscité un nouvel examen de la façon dont les fuites de clés privées et les autorisations excessives continuent d’exposer les protocoles décentralisés aux attaques.

GoPlus découvre les autorisations suspectes

GoPlus Security a constaté que le créateur du contrat, à partir de 0xed1A, a transféré la propriété à une adresse commençant par 0x2b8F.

Cette adresse s’est vu accorder des privilèges d’administration précédemment détenus par l’équipe x402bridge, ce qui lui a permis de modifier les paramètres clés et de transférer des ressources.

Peu de temps après avoir pris le contrôle, la nouvelle adresse a utilisé une fonction appelée « transferUserToken » pour drainer tous les USDC des portefeuilles qui avaient accordé une autorisation préalable au contrat.

L’adresse 0x2b8F a transféré environ 17 693 $ d’USDC avant de convertir les jetons volés en ETH. Les fonds convertis ont ensuite été envoyés au réseau Arbitrum par le biais de plusieurs transactions inter-chaînes.

GoPlus a conseillé aux utilisateurs concernés d’annuler immédiatement toutes les autorisations en cours et de vérifier les adresses officielles des projets avant d’approuver d’autres transactions.

Les experts en sécurité soupçonnent une fuite de clé privée

Les enquêteurs on-chain et les sociétés de sécurité, y compris SlowMist, ont signalé que la cause probable de l’exploit était une fuite de clé privée, bien que l’implication d’initiés n’ait pas pu être écartée.

À la suite de la violation, toutes les opérations de x402bridge ont été interrompues et le site Web du projet a été mis hors ligne. Le compte officiel x402bridge a confirmé l’incident de sécurité, déclarant que les portefeuilles de test de l’équipe et les portefeuilles principaux avaient été compromis.

L’équipe a déclaré qu’elle avait signalé l’affaire aux forces de l’ordre et qu’elle travaillait avec les enquêteurs pour retracer la source de la fuite.

Le protocole a précisé que le mécanisme x402 exige que les utilisateurs signent ou approuvent les transactions via une interface Web. L’autorisation est ensuite envoyée à un serveur backend chargé d’extraire les fonds et de frapper des jetons.

Lors de l’intégration, les clés privées sont stockées sur le serveur pour faciliter les appels de méthodes contractuelles. Cette étape, selon l’équipe, expose les privilèges d’administrateur car la clé privée reste connectée à Internet, créant ainsi des vulnérabilités potentielles.

Utilisation croissante de x402 avant l’exploit

L’attaque est survenue à un moment où les transactions x402 enregistraient une croissance rapide. Le 27 octobre, la valeur marchande des jetons x402 a dépassé pour la première fois les 800 millions de dollars.

Le protocole x402 de Coinbase a également traité environ 500 000 transactions en une seule semaine, ce qui représente une augmentation de plus de 10 780 % par rapport au mois précédent.

La capacité du protocole à faciliter les paiements à l’aide des codes d’état HTTP 402 Payment Required a été saluée comme un pont entre les transactions humaines et pilotées par l’IA, permettant des paiements instantanés en stablecoin pour les API et le contenu numérique.

Cependant, la récente violation souligne les problèmes de sécurité persistants dans les protocoles Web3 qui reposent sur les autorisations des utilisateurs.

GoPlus a réitéré que les utilisateurs ne devraient approuver que le montant requis plutôt que d’accorder des autorisations illimitées et devraient fréquemment examiner et révoquer les autorisations inutiles.

Prochaines étapes pour les utilisateurs touchés et l’enquête

Dans sa mise à jour officielle, l’équipe de x402bridge a déclaré qu’elle travaillait avec les forces de l’ordre pour suivre les actifs volés et renforcer les mesures de sécurité internes.

Bien qu’aucun calendrier de récupération n’ait été annoncé, l’incident rappelle aux développeurs et aux utilisateurs de donner la priorité à la sécurité des clés privées et de mener des audits réguliers des systèmes d’autorisation.

La violation met en évidence une faiblesse récurrente dans les protocoles blockchain qui dépendent fortement des couches d’autorisation des utilisateurs et des clés d’administration connectées à Internet.

Les experts en sécurité ont averti que même les protocoles dotés d’une architecture on-chain solide peuvent rester exposés si la gestion des clés backend n’est pas correctement sécurisée.