Över 200 användare förlorar USDC i x402bridge-hack när GoPlus flaggar för intrång i den privata nyckeln

Några dagar efter lanseringen drabbades cross-layer-protokollet x402bridge av ett säkerhetsintrång som ledde till att mer än 200 användare förlorade sina USDC-innehav.

Den 28 oktober höjde Web3-säkerhetsföretaget GoPlus Security en varning via sitt kinesiska sociala mediekonto och varnade användare för ovanliga auktoriseringar kopplade till x402bridge.

Exploateringen, som dränerade USDC till ett värde av cirka 17 693 dollar, har lett till förnyad granskning av hur läckor av privata nycklar och överdrivna auktoriseringar fortsätter att utsätta decentraliserade protokoll för attacker.

GoPlus avslöjar misstänkta behörigheter

GoPlus Security identifierade att den som skapade avtalet, från och med 0xed1A, överförde äganderätten till en adress som började med 0x2b8F.

Den här adressen beviljades administrativa privilegier som tidigare innehades av x402bridge-teamet, vilket gjorde det möjligt att ändra nyckelinställningar och överföra tillgångar.

Kort efter att ha tagit kontroll använde den nya adressen en funktion som kallas "transferUserToken" för att tömma all USDC från plånböcker som hade beviljat förhandsgodkännande till kontraktet.

Den 0x2b8F adressen flyttade USDC till ett värde av cirka 17 693 dollar innan de stulna tokenerna konverterades till ETH. De konverterade medlen skickades senare till Arbitrum-nätverket genom flera transaktioner över kedjan.

GoPlus rådde berörda användare att omedelbart avbryta alla pågående godkännanden och verifiera officiella projektadresser innan de godkände ytterligare transaktioner.

Säkerhetsexperter misstänker läckage av privat nyckel

On-chain-utredare och säkerhetsföretag, inklusive SlowMist, rapporterade att den troliga orsaken till exploateringen var en läcka av en privat nyckel, även om insiderinblandning inte kunde avfärdas.

Efter intrånget stoppades all x402bridge-verksamhet och projektets webbplats gick offline. Det officiella x402bridge-kontot bekräftade säkerhetsincidenten och uppgav att både lagets testplånböcker och huvudplånböcker hade äventyrats.

Teamet sa att det har rapporterat fallet till brottsbekämpande myndigheter och arbetar med utredare för att spåra källan till läckan.

Protokollet klargjorde att x402-mekanismen kräver att användare signerar eller godkänner transaktioner via ett webbgränssnitt. Auktorisationen skickas sedan till en backend-server som ansvarar för att extrahera pengar och prägla tokens.

Under registreringen lagras privata nycklar på servern för att underlätta anrop till kontraktsmetoder. Detta steg, enligt teamet, exponerar administratörsbehörigheter eftersom den privata nyckeln förblir ansluten till internet, vilket skapar potentiella sårbarheter.

Ökande användning av x402 före exploateringen

Attacken kom vid en tidpunkt då x402-transaktioner registrerade snabb tillväxt. Den 27 oktober översteg marknadsvärdet på x402-tokens 800 miljoner dollar för första gången.

Coinbases x402-protokoll behandlade också cirka 500 000 transaktioner under en enda vecka, vilket återspeglar en ökning med mer än 10 780 % jämfört med föregående månad.

Protokollets förmåga att underlätta betalningar med HTTP 402 Payment Required-statuskoder har hyllats som en bro mellan mänskliga och AI-drivna transaktioner, vilket möjliggör omedelbara stablecoin-betalningar för API:er och digitalt innehåll.

Det senaste intrånget understryker dock ihållande säkerhetsproblem i Web3-protokoll som är beroende av användarbehörigheter.

GoPlus upprepade att användare endast bör godkänna det nödvändiga beloppet snarare än att bevilja obegränsade behörigheter och att de ofta bör granska och återkalla onödiga tillstånd.

Nästa steg för berörda användare och undersökningen

I sin officiella uppdatering sa x402bridge-teamet att de arbetar med brottsbekämpande myndigheter för att spåra de stulna tillgångarna och stärka de interna säkerhetsåtgärderna.

Även om ingen tidsplan för återställning har tillkännagivits, fungerar incidenten som ytterligare en påminnelse för både utvecklare och användare om att prioritera säkerhet med privata nycklar och genomföra regelbundna granskningar av auktoriseringssystem.

Intrånget belyser en återkommande svaghet i blockkedjeprotokoll som är starkt beroende av användarauktoriseringslager och internetanslutna administratörsnycklar.

Säkerhetsexperter har varnat för att även protokoll med stark on-chain-arkitektur kan förbli exponerade om hanteringen av backend-nycklar inte är ordentligt skyddad.