Meer dan 200 gebruikers verliezen USDC in x402bridge-hack terwijl GoPlus inbreuk op privésleutels markeert

Een paar dagen na de lancering kreeg het cross-layer protocol x402bridge te maken met een inbreuk op de beveiliging die ertoe leidde dat meer dan 200 gebruikers hun USDC-bezit verloren.

Op 28 oktober heeft Web3-beveiligingsbedrijf GoPlus Security een waarschuwing afgegeven via zijn Chinese sociale media-account, waarin gebruikers worden gewaarschuwd voor ongebruikelijke autorisaties die zijn gekoppeld aan x402bridge.

De exploit, die ongeveer $ 17.693 aan USDC heeft leeggezogen, heeft geleid tot hernieuwd onderzoek naar de manier waarop lekken van privésleutels en buitensporige autorisaties gedecentraliseerde protocollen blijven blootstellen aan aanvallen.

GoPlus ontdekt verdachte autorisaties

GoPlus Security heeft vastgesteld dat de maker van het contract, te beginnen met 0xed1A, het eigendom heeft overgedragen aan een adres dat begint met 0x2b8F.

Dit adres heeft beheerdersrechten gekregen die voorheen in het bezit waren van het x402bridge-team, waardoor het belangrijke instellingen kon wijzigen en activa kon overdragen.

Kort nadat het de controle had overgenomen, gebruikte het nieuwe adres een functie met de naam "transferUserToken" om alle USDC af te tappen uit portefeuilles die vooraf toestemming hadden gegeven voor het contract.

Het 0x2b8F-adres verplaatste ongeveer $ 17.693 aan USDC voordat de gestolen tokens werden omgezet in ETH. De geconverteerde fondsen werden later via verschillende cross-chain transacties naar het Arbitrum-netwerk gestuurd.

GoPlus adviseerde de getroffen gebruikers om alle lopende autorisaties onmiddellijk te annuleren en officiële projectadressen te verifiëren voordat verdere transacties worden goedgekeurd.

Beveiligingsexperts vermoeden lekken privésleutels

On-chain onderzoekers en beveiligingsbedrijven, waaronder SlowMist, meldden dat de waarschijnlijke oorzaak van de exploit een lek in een privésleutel was, hoewel betrokkenheid van insiders niet kon worden afgewezen.

Na de inbreuk werden alle x402bridge-activiteiten stopgezet en ging de website van het project offline. Het officiële x402bridge-account bevestigde het beveiligingsincident en verklaarde dat zowel de testportefeuilles als de hoofdportefeuilles van het team waren gecompromitteerd.

Het team zei dat het de zaak heeft gemeld aan de politie en samenwerkt met onderzoekers om de bron van het lek op te sporen.

Het protocol verduidelijkte dat het x402-mechanisme vereist dat gebruikers transacties ondertekenen of goedkeuren via een webinterface. De autorisatie wordt vervolgens verzonden naar een backend-server die verantwoordelijk is voor het extraheren van geld en het slaan van tokens.

Tijdens de onboarding worden privésleutels op de server opgeslagen om aanroepen van contractmethoden mogelijk te maken. Deze stap legt volgens het team beheerdersrechten bloot omdat de privésleutel verbonden blijft met internet, waardoor potentiële kwetsbaarheden ontstaan.

Toenemend gebruik van x402 vóór de exploit

De aanval kwam op een moment dat x402-transacties een snelle groei doormaakten. Op 27 oktober overschreed de marktwaarde van x402-tokens voor het eerst $ 800 miljoen.

Het x402-protocol van Coinbase verwerkte ook ongeveer 500.000 transacties in één week, een stijging van meer dan 10.780% in vergelijking met de voorgaande maand.

Het vermogen van het protocol om betalingen te vergemakkelijken met behulp van HTTP 402 Payment Required-statuscodes is geprezen als een brug tussen menselijke en AI-gestuurde transacties, waardoor directe stablecoin-betalingen voor API's en digitale inhoud mogelijk zijn.

De recente inbreuk onderstreept echter aanhoudende beveiligingsproblemen in Web3-protocollen die afhankelijk zijn van gebruikersautorisaties.

GoPlus herhaalde dat gebruikers alleen het vereiste bedrag moeten goedkeuren in plaats van onbeperkte machtigingen te verlenen en regelmatig onnodige autorisaties moeten herzien en intrekken.

Volgende stappen voor getroffen gebruikers en het onderzoek

In de officiële update zei het x402bridge-team dat het samenwerkt met wetshandhavingsinstanties om de gestolen activa op te sporen en de interne veiligheidsmaatregelen te versterken.

Hoewel er geen hersteltijdlijn is aangekondigd, dient het incident als een nieuwe herinnering voor zowel ontwikkelaars als gebruikers om prioriteit te geven aan de veiligheid van privésleutels en regelmatig audits van autorisatiesystemen uit te voeren.

De inbreuk wijst op een terugkerende zwakte in blockchain-protocollen die sterk afhankelijk zijn van gebruikersautorisatielagen en met internet verbonden beheerderssleutels.

Beveiligingsexperts hebben gewaarschuwd dat zelfs protocollen met een sterke on-chain-architectuur kwetsbaar kunnen blijven als het backend-sleutelbeheer niet goed is beveiligd.