Ponad 200 użytkowników traci USDC w wyniku włamania do x402bridge, gdy GoPlus oznacza naruszenie klucza prywatnego

Kilka dni po uruchomieniu wielowarstwowy protokół x402bridge doznał naruszenia bezpieczeństwa, które doprowadziło do utraty przez ponad 200 użytkowników swoich udziałów w USDC.

28 października firma GoPlus Security zajmująca się bezpieczeństwem Web3 podniosła alert za pośrednictwem swojego chińskiego konta w mediach społecznościowych, ostrzegając użytkowników przed nietypowymi autoryzacjami związanymi z x402bridge.

Exploit, który wyczerpał USDC o wartości około 17 693 USDC, skłonił do ponownego zbadania tego, w jaki sposób wycieki kluczy prywatnych i nadmierne autoryzacje nadal narażają zdecentralizowane protokoły na ataki.

GoPlus wykrywa podejrzane autoryzacje

GoPlus Security ustalił, że twórca umowy, zaczynając od 0xed1A, przeniósł własność na adres zaczynający się na 0x2b8F.

Temu adresowi przyznano uprawnienia administracyjne, które wcześniej posiadał zespół x402bridge, umożliwiając mu modyfikowanie kluczowych ustawień i przenoszenie zasobów.

Wkrótce po przejęciu kontroli, nowy adres wykorzystał funkcję o nazwie "transferUserToken" do opróżnienia wszystkich USDC z portfeli, które udzieliły wcześniejszej autoryzacji kontraktu.

Adres 0x2b8F przeniósł USDC o wartości około 17 693 USDC przed konwersją skradzionych tokenów na ETH. Przekonwertowane środki zostały później przesłane do sieci Arbitrum poprzez kilka transakcji cross-chain.

GoPlus poradził użytkownikom, których dotyczy problem, aby natychmiast anulowali wszelkie trwające autoryzacje i zweryfikowali oficjalne adresy projektów przed zatwierdzeniem dalszych transakcji.

Eksperci ds. bezpieczeństwa podejrzewają wyciek klucza prywatnego

Śledczy on-chain i firmy zajmujące się bezpieczeństwem, w tym SlowMist, poinformowali, że prawdopodobną przyczyną exploita był wyciek klucza prywatnego, chociaż nie można było odrzucić zaangażowania osób wewnętrznych.

Po włamaniu wszystkie operacje x402bridge zostały wstrzymane, a strona internetowa projektu została wyłączona. Oficjalne konto x402bridge potwierdziło incydent bezpieczeństwa, stwierdzając, że zarówno portfele testowe zespołu, jak i główne portfele zostały naruszone.

Zespół poinformował, że zgłosił sprawę organom ścigania i współpracuje ze śledczymi w celu wyśledzenia źródła wycieku.

W protokole wyjaśniono, że mechanizm x402 wymaga od użytkowników podpisywania lub zatwierdzania transakcji za pośrednictwem interfejsu internetowego. Autoryzacja jest następnie wysyłana do serwera zaplecza odpowiedzialnego za wydobywanie środków i wybijanie tokenów.

Podczas dołączania klucze prywatne są przechowywane na serwerze, aby ułatwić wywołania metod kontraktu. Ten krok, według zespołu, ujawnia uprawnienia administratora, ponieważ klucz prywatny pozostaje połączony z Internetem, tworząc potencjalne luki w zabezpieczeniach.

Rosnące użycie x402 przed exploitem

Atak nastąpił w czasie, gdy transakcje x402 odnotowywały szybki wzrost. 27 października wartość rynkowa tokenów x402 po raz pierwszy przekroczyła 800 milionów dolarów.

Protokół x402 Coinbase przetworzył również około 500 000 transakcji w ciągu jednego tygodnia, co odzwierciedla wzrost o ponad 10 780% w porównaniu z poprzednim miesiącem.

Zdolność protokołu do ułatwiania płatności przy użyciu kodów statusu HTTP 402 Payment Required została okrzyknięta pomostem między transakcjami opartymi na człowieku i sztucznej inteligencji, umożliwiając natychmiastowe płatności stablecoinami za interfejsy API i treści cyfrowe.

Jednak niedawne naruszenie podkreśla utrzymujące się obawy dotyczące bezpieczeństwa w protokołach Web3, które opierają się na autoryzacjach użytkowników.

GoPlus powtórzył, że użytkownicy powinni zatwierdzać tylko wymaganą kwotę, a nie przyznawać nieograniczone uprawnienia i powinni często przeglądać i odwoływać niepotrzebne uprawnienia.

Kolejne kroki dla użytkowników, których dotyczy problem, i dochodzenie

W swojej oficjalnej aktualizacji zespół x402bridge poinformował, że współpracuje z organami ścigania w celu śledzenia skradzionych aktywów i wzmocnienia wewnętrznych środków bezpieczeństwa.

Chociaż nie ogłoszono harmonogramu odzyskiwania, incydent służy jako kolejne przypomnienie zarówno dla programistów, jak i użytkowników, aby priorytetowo traktować bezpieczeństwo klucza prywatnego i przeprowadzać regularne audyty systemów autoryzacji.

Naruszenie podkreśla powtarzającą się słabość protokołów blockchain, które w dużym stopniu zależą od warstw autoryzacji użytkowników i kluczy administratora połączonych z Internetem.

Eksperci ds. bezpieczeństwa ostrzegają, że nawet protokoły o silnej architekturze on-chain mogą pozostać narażone, jeśli zarządzanie kluczami zaplecza nie jest odpowiednio zabezpieczone.