Oltre 200 utenti perdono USDC in un hack x402bridge mentre GoPlus segnala una violazione della chiave privata

Pochi giorni dopo il suo lancio, il protocollo cross-layer x402bridge ha subito una violazione della sicurezza che ha portato più di 200 utenti a perdere le loro partecipazioni in USDC.

Il 28 ottobre, la società di sicurezza Web3 GoPlus Security ha lanciato un avviso attraverso il suo account di social media cinese, avvertendo gli utenti di autorizzazioni insolite legate a x402bridge.

L'exploit, che ha prosciugato circa 17.693$ di USDC, ha suscitato un rinnovato esame su come le fughe di chiavi private e le autorizzazioni eccessive continuino a esporre i protocolli decentralizzati agli attacchi.

GoPlus scopre autorizzazioni sospette

GoPlus Security ha identificato che il creatore del contratto, a partire da 0xed1A, ha trasferito la proprietà a un indirizzo che inizia con 0x2b8F.

A questo indirizzo sono stati concessi privilegi amministrativi precedentemente detenuti dal team x402bridge, consentendogli di modificare le impostazioni chiave e trasferire le risorse.

Poco dopo aver assunto il controllo, il nuovo indirizzo ha utilizzato una funzione chiamata "transferUserToken" per drenare tutti gli USDC dai wallet che avevano concesso l'autorizzazione preventiva al contratto.

L'indirizzo 0x2b8F ha spostato circa 17.693$ in USDC prima di convertire i token rubati in ETH. I fondi convertiti sono stati successivamente inviati alla rete Arbitrum attraverso diverse transazioni cross-chain.

GoPlus ha consigliato agli utenti interessati di annullare immediatamente tutte le autorizzazioni in corso e di verificare gli indirizzi ufficiali dei progetti prima di approvare ulteriori transazioni.

Gli esperti di sicurezza sospettano una fuga di chiavi private

Gli investigatori on-chain e le società di sicurezza, tra cui SlowMist, hanno riferito che la probabile causa dell'exploit è stata una perdita di chiavi private, anche se il coinvolgimento di insider non può essere ignorato.

A seguito della violazione, tutte le operazioni del ponte x402 sono state interrotte e il sito web del progetto è andato offline. L'account ufficiale x402bridge ha confermato l'incidente di sicurezza, affermando che sia i wallet di test del team che i wallet principali erano stati compromessi.

Il team ha detto di aver segnalato il caso alle forze dell'ordine e sta lavorando con gli investigatori per rintracciare la fonte della fuga di notizie.

Il protocollo ha chiarito che il meccanismo x402 richiede agli utenti di firmare o approvare le transazioni attraverso un'interfaccia web. L'autorizzazione viene quindi inviata a un server di backend responsabile dell'estrazione dei fondi e del conio dei token.

Durante l'onboarding, le chiavi private vengono memorizzate sul server per facilitare le chiamate al metodo del contratto. Questo passaggio, secondo il team, espone i privilegi di amministratore perché la chiave privata rimane connessa a Internet, creando potenziali vulnerabilità.

Aumento dell'utilizzo di x402 prima dell'exploit

L'attacco è arrivato in un momento in cui le transazioni x402 stavano registrando una rapida crescita. Il 27 ottobre il valore di mercato dei token x402 ha superato per la prima volta gli 800 milioni di dollari.

Il protocollo x402 di Coinbase ha anche elaborato circa 500.000 transazioni in una sola settimana, riflettendo un'impennata di oltre il 10.780% rispetto al mese precedente.

La capacità del protocollo di facilitare i pagamenti utilizzando i codici di stato HTTP 402 Payment Required è stata salutata come un ponte tra le transazioni umane e quelle basate sull'intelligenza artificiale, consentendo pagamenti istantanei in stablecoin per API e contenuti digitali.

Tuttavia, la recente violazione sottolinea i persistenti problemi di sicurezza nei protocolli Web3 che si basano sulle autorizzazioni degli utenti.

GoPlus ha ribadito che gli utenti dovrebbero approvare solo l'importo richiesto piuttosto che concedere autorizzazioni illimitate e dovrebbero rivedere e revocare frequentemente le autorizzazioni non necessarie.

Passaggi successivi per gli utenti interessati e l'indagine

Nel suo aggiornamento ufficiale, il team di x402bridge ha dichiarato che sta lavorando con le forze dell'ordine per rintracciare i beni rubati e rafforzare le misure di sicurezza interna.

Sebbene non sia stata annunciata alcuna tempistica di ripristino, l'incidente serve come ulteriore promemoria sia per gli sviluppatori che per gli utenti di dare priorità alla sicurezza delle chiavi private e di condurre audit regolari dei sistemi di autorizzazione.

La violazione evidenzia una debolezza ricorrente nei protocolli blockchain che dipendono fortemente dai livelli di autorizzazione degli utenti e dalle chiavi di amministrazione connesse a Internet.

Gli esperti di sicurezza hanno avvertito che anche i protocolli con una forte architettura on-chain possono rimanere esposti se la gestione delle chiavi di backend non è adeguatamente protetta.