Mais de 200 usuários perdem USDC em hack de x402bridge enquanto GoPlus sinaliza violação de chave privada

Poucos dias após seu lançamento, o protocolo de camada cruzada x402bridge sofreu uma violação de segurança que levou mais de 200 usuários a perder suas participações em USDC.

Em 28 de outubro, a empresa de segurança Web3 GoPlus Security gerou um alerta por meio de sua conta de mídia social chinesa, alertando os usuários sobre autorizações incomuns vinculadas ao x402bridge.

A exploração, que drenou cerca de US$ 17.693 em USDC, gerou um novo escrutínio sobre como vazamentos de chaves privadas e autorizações excessivas continuam a expor protocolos descentralizados a ataques.

GoPlus descobre autorizações suspeitas

A GoPlus Security identificou que o criador do contrato, começando com 0xed1A, transferiu a propriedade para um endereço começando com 0x2b8F.

Esse endereço recebeu privilégios administrativos anteriormente mantidos pela equipe do x402bridge, permitindo que ela modifique as principais configurações e transfira ativos.

Pouco depois de assumir o controle, o novo endereço usou uma função chamada "transferUserToken" para drenar todo o USDC das carteiras que haviam concedido autorização prévia ao contrato.

O endereço 0x2b8F movimentou aproximadamente US$ 17.693 em USDC antes de converter os tokens roubados em ETH. Os fundos convertidos foram posteriormente enviados para a rede Arbitrum por meio de várias transações cross-chain.

A GoPlus aconselhou os usuários afetados a cancelar imediatamente quaisquer autorizações em andamento e verificar os endereços oficiais do projeto antes de aprovar novas transações.

Especialistas em segurança suspeitam de vazamento de chave privada

Investigadores on-chain e empresas de segurança, incluindo a SlowMist, relataram que a causa provável da exploração foi um vazamento de chave privada, embora o envolvimento interno não pudesse ser descartado.

Após a violação, todas as operações da ponte x402 foram interrompidas e o site do projeto ficou offline. A conta oficial do x402bridge confirmou o incidente de segurança, afirmando que as carteiras de teste da equipe e as carteiras principais foram comprometidas.

A equipe disse que relatou o caso às autoridades e está trabalhando com os investigadores para rastrear a origem do vazamento.

O protocolo esclareceu que o mecanismo x402 exige que os usuários assinem ou aprovem transações por meio de uma interface da web. A autorização é então enviada para um servidor de back-end responsável por extrair fundos e cunhar tokens.

Durante a integração, as chaves privadas são armazenadas no servidor para facilitar as chamadas de método de contrato. Esta etapa, de acordo com a equipe, expõe privilégios de administrador porque a chave privada permanece conectada à internet, criando vulnerabilidades potenciais.

Aumento do uso do x402 antes da exploração

O ataque ocorreu em um momento em que as transações x402 estavam registrando um rápido crescimento. Em 27 de outubro, o valor de mercado dos tokens x402 ultrapassou US$ 800 milhões pela primeira vez.

O protocolo x402 da Coinbase também processou cerca de 500.000 transações em uma única semana, refletindo um aumento de mais de 10.780% em comparação com o mês anterior.

A capacidade do protocolo de facilitar pagamentos usando códigos de status HTTP 402 Payment Required foi aclamada como uma ponte entre transações humanas e orientadas por IA, permitindo pagamentos instantâneos de stablecoin para APIs e conteúdo digital.

No entanto, a violação recente ressalta as preocupações persistentes de segurança nos protocolos Web3 que dependem de autorizações do usuário.

A GoPlus reiterou que os usuários devem aprovar apenas a quantidade necessária, em vez de conceder permissões ilimitadas, e devem revisar e revogar frequentemente autorizações desnecessárias.

Próximas etapas para usuários afetados e a investigação

Em sua atualização oficial, a equipe do x402bridge disse que está trabalhando com agências de aplicação da lei para rastrear os ativos roubados e fortalecer as medidas de segurança interna.

Embora nenhum cronograma de recuperação tenha sido anunciado, o incidente serve como outro lembrete para desenvolvedores e usuários priorizarem a segurança da chave privada e realizarem auditorias regulares dos sistemas de autorização.

A violação destaca uma fraqueza recorrente nos protocolos blockchain que dependem fortemente das camadas de autorização do usuário e das chaves de administração conectadas à Internet.

Especialistas em segurança alertaram que mesmo protocolos com forte arquitetura on-chain podem permanecer expostos se o gerenciamento de chaves de back-end não estiver devidamente protegido.