Over 200 brukere mister USDC i x402bridge-hack når GoPlus flagger brudd på privat nøkkel

Noen dager etter lanseringen ble krysslagsprotokollen x402bridge utsatt for et sikkerhetsbrudd som førte til at mer enn 200 brukere mistet USDC-beholdningen sin.

28. oktober varslet Web3-sikkerhetsfirmaet GoPlus Security gjennom sin kinesiske sosiale mediekonto, og advarte brukere om uvanlige autorisasjoner knyttet til x402bridge.

Utnyttelsen, som tappet USDC til en verdi av rundt 17 693 dollar, har ført til fornyet gransking av hvordan private nøkkellekkasjer og overdrevne autorisasjoner fortsetter å utsette desentraliserte protokoller for angrep.

GoPlus avdekker mistenkelige autorisasjoner

GoPlus Security identifiserte at kontraktskaperen, fra og med 0xed1A, overførte eierskapet til en adresse som begynte med 0x2b8F.

Denne adressen ble gitt administrative rettigheter som tidligere ble holdt av x402bridge-teamet, slik at det kunne endre nøkkelinnstillinger og overføre ressurser.

Kort tid etter å ha overtatt kontrollen, brukte den nye adressen en funksjon kalt "transferUserToken" for å tømme alle USDC fra lommebøker som hadde gitt forhåndsgodkjenning til kontrakten.

Den 0x2b8F adressen flyttet USDC til en verdi av omtrent $17 693 før den konverterte de stjålne tokenene til ETH. De konverterte midlene ble senere sendt til Arbitrum-nettverket gjennom flere transaksjoner på tvers av kjeder.

GoPlus rådet berørte brukere til umiddelbart å kansellere eventuelle pågående autorisasjoner og verifisere offisielle prosjektadresser før de godkjenner ytterligere transaksjoner.

Sikkerhetseksperter mistenker lekkasje av privat nøkkel

Etterforskere og sikkerhetsfirmaer på kjeden, inkludert SlowMist, rapporterte at den sannsynlige årsaken til utnyttelsen var en privat nøkkellekkasje, selv om innsideinvolvering ikke kunne avvises.

Etter bruddet ble alle x402bridge-operasjoner stoppet, og prosjektets nettside gikk offline. Den offisielle x402bridge-kontoen bekreftet sikkerhetshendelsen, og sa at både teamets testlommebøker og hovedlommebøker hadde blitt kompromittert.

Teamet sa at det har rapportert saken til politiet og samarbeider med etterforskere for å spore kilden til lekkasjen.

Protokollen presiserte at x402-mekanismen krever at brukere signerer eller godkjenner transaksjoner gjennom et nettgrensesnitt. Autorisasjonen sendes deretter til en backend-server som er ansvarlig for å hente ut midler og prege tokens.

Under onboarding lagres private nøkler på serveren for å lette kontraktsmetodekall. Dette trinnet, ifølge teamet, avslører administratorrettigheter fordi den private nøkkelen forblir koblet til internett, noe som skaper potensielle sårbarheter.

Økende bruk av x402 før utnyttelsen

Angrepet kom på et tidspunkt da x402-transaksjoner registrerte rask vekst. 27. oktober oversteg markedsverdien av x402-tokens 800 millioner dollar for første gang.

Coinbases x402-protokoll behandlet også rundt 500 000 transaksjoner på en enkelt uke, noe som gjenspeiler en økning på mer enn 10 780 % sammenlignet med forrige måned.

Protokollens evne til å lette betalinger ved hjelp av HTTP 402 Payment Required-statuskoder har blitt hyllet som en bro mellom menneskelige og AI-drevne transaksjoner, noe som muliggjør umiddelbare stablecoin-betalinger for APIer og digitalt innhold.

Det nylige bruddet understreker imidlertid vedvarende sikkerhetsproblemer på tvers av Web3-protokoller som er avhengige av brukerautorisasjoner.

GoPlus gjentok at brukere bare bør godkjenne det nødvendige beløpet i stedet for å gi ubegrensede tillatelser og bør ofte gjennomgå og tilbakekalle unødvendige autorisasjoner.

Neste trinn for berørte brukere og undersøkelsen

I sin offisielle oppdatering sa x402bridge-teamet at de samarbeider med rettshåndhevelsesbyråer for å spore de stjålne eiendelene og styrke interne sikkerhetstiltak.

Selv om det ikke er kunngjort noen tidslinje for gjenoppretting, fungerer hendelsen som nok en påminnelse for både utviklere og brukere om å prioritere privat nøkkelsikkerhet og gjennomføre regelmessige revisjoner av autorisasjonssystemer.

Bruddet fremhever en tilbakevendende svakhet i blokkjedeprotokoller som er sterkt avhengige av brukerautorisasjonslag og internetttilkoblede administratornøkler.

Sikkerhetseksperter har advart om at selv protokoller med sterk on-chain-arkitektur kan forbli eksponert hvis serverend-nøkkeladministrasjon ikke er ordentlig sikret.