Peste 200 de utilizatori pierd USDC în hack-ul x402bridge, în timp ce GoPlus semnalează breșa cheii private

La câteva zile după lansare, protocolul cross-layer x402bridge a suferit o breșă de securitate care a dus la pierderea a peste 200 de utilizatori de deținerile USDC.

Pe 28 octombrie, firma de securitate Web3 GoPlus Security a lansat o alertă prin intermediul contului său chinez de socializare, avertizând utilizatorii despre autorizații neobișnuite legate de x402bridge.

Exploit-ul, care a drenat USDC în valoare de aproximativ 17.693 de dolari, a determinat o nouă examinare asupra modului în care scurgerile de chei private și autorizațiile excesive continuă să expună protocoalele descentralizate la atacuri.

GoPlus descoperă autorizații suspecte

GoPlus Security a identificat că creatorul contractului, începând cu 0xed1A, a transferat proprietatea către o adresă care începe cu 0x2b8F.

Această adresă a primit privilegii administrative deținute anterior de echipa x402bridge, permițându-i să modifice setările cheie și să transfere active.

La scurt timp după preluarea controlului, noua adresă a folosit o funcție numită "transferUserToken" pentru a drena toate USDC-urile din portofelele care acordaseră autorizație prealabilă pentru contract.

Adresa 0x2b8F a mutat USDC în valoare de aproximativ 17.693 USD înainte de a converti tokenurile furate în ETH. Fondurile convertite au fost trimise ulterior către rețeaua Arbitrum prin mai multe tranzacții cross-chain.

GoPlus a sfătuit utilizatorii afectați să anuleze imediat orice autorizație în curs și să verifice adresele oficiale ale proiectului înainte de a aproba tranzacții ulterioare.

Experții în securitate suspectează o scurgere de cheie privată

Anchetatorii și firmele de securitate, inclusiv SlowMist, au raportat că cauza probabilă a exploit-ului a fost o scurgere de cheie privată, deși implicarea din interior nu a putut fi respinsă.

În urma breșei, toate operațiunile x402bridge au fost oprite, iar site-ul web al proiectului a fost oprit. Contul oficial x402bridge a confirmat incidentul de securitate, afirmând că atât portofelele de testare ale echipei, cât și portofelele principale au fost compromise.

Echipa a declarat că a raportat cazul forțelor de ordine și lucrează cu anchetatorii pentru a urmări sursa scurgerii.

Protocolul a clarificat faptul că mecanismul x402 cere utilizatorilor să semneze sau să aprobe tranzacții printr-o interfață web. Autorizația este apoi trimisă către un server backend responsabil cu extragerea fondurilor și emiterea token-urilor.

În timpul integrării, cheile private sunt stocate pe server pentru a facilita apelurile prin metoda contractului. Acest pas, potrivit echipei, expune privilegiile de administrator, deoarece cheia privată rămâne conectată la internet, creând potențiale vulnerabilități.

Creșterea utilizării x402 înainte de exploit

Atacul a venit într-un moment în care tranzacțiile x402 înregistrau o creștere rapidă. Pe 27 octombrie, valoarea de piață a tokenurilor x402 a depășit 800 de milioane de dolari pentru prima dată.

Protocolul x402 al Coinbase a procesat, de asemenea, aproximativ 500.000 de tranzacții într-o singură săptămână, reflectând o creștere de peste 10.780% față de luna precedentă.

Capacitatea protocolului de a facilita plățile folosind codurile de stare HTTP 402 Payment Required a fost salutată ca o punte între tranzacțiile umane și cele bazate pe inteligență artificială, permițând plăți instantanee cu stablecoin pentru API-uri și conținut digital.

Cu toate acestea, breșa recentă subliniază preocupările persistente de securitate în protocoalele Web3 care se bazează pe autorizațiile utilizatorilor.

GoPlus a reiterat că utilizatorii ar trebui să aprobe doar suma necesară, mai degrabă decât să acorde permisiuni nelimitate și ar trebui să revizuiască și să revoce frecvent autorizațiile inutile.

Următorii pași pentru utilizatorii afectați și investigația

În actualizarea sa oficială, echipa x402bridge a declarat că lucrează cu agențiile de aplicare a legii pentru a urmări activele furate și pentru a consolida măsurile de securitate internă.

Deși nu a fost anunțat un calendar de recuperare, incidentul servește ca un alt memento atât pentru dezvoltatori, cât și pentru utilizatori să acorde prioritate siguranței cheilor private și să efectueze audituri regulate ale sistemelor de autorizare.

Breșa evidențiază o slăbiciune recurentă a protocoalelor blockchain care depind în mare măsură de straturile de autorizare a utilizatorilor și de cheile de administrare conectate la internet.

Experții în securitate au avertizat că chiar și protocoalele cu arhitectură puternică în lanț pot rămâne expuse dacă gestionarea cheilor backend nu este securizată corespunzător.