El hackeo de 402puente lleva a más de 200 usuarios drenados de USDC

GoPlus ha detectado autorizaciones inusuales vinculadas a 402puente, lo que ha llevado a que más de 200 usuarios pierdan USDC debido a autorizaciones excesivas realizadas por el protocolo.

Resumen

• El protocolo x402puente sufrió una violación causada por una clave privada de administrador filtrada, lo que permitió a un atacante robar alrededor de $17,693 en USDC de más de 200 usuarios.
• El hack revela vulnerabilidades relacionadas con el mecanismo x402 que depende de claves privadas almacenadas en un servidor para habilitar privilegios de administrador en direcciones en la cadena que pueden distribuir y autorizar transacciones en exceso.

El 28 de octubre, una empresa de seguridad web3 alertó a los usuarios sobre una posible violación de seguridad que involucraba el protocolo x402 cross-layer, x402bridge. El hackeo ocurrió solo unos días después de que el protocolo se lanzara en la cadena.

Antes de acuñar USDC (USDC), la acción debe ser autorizada primero por el contrato del Propietario. En este caso, autorizaciones excesivas llevaron a que más de 200 usuarios perdieran sus stablecoins restantes en una serie de transferencias.

Se observó que el creador del contrato que comienza con 0xed1A realizó una transferencia de propiedad a la dirección 0x2b8F, otorgando a la nueva dirección privilegios administrativos especiales mantenidos por el equipo de x402bridge, como la capacidad de modificar configuraciones clave y mover activos.

Poco después de ganar el control, la nueva dirección del propietario ejecutó una función llamada “transferUserToken.” Esta función permitió a la dirección drenar todos los USDC restantes de las billeteras que habían otorgado autorización previamente al contrato.

En total, la dirección 0x2b8F drenó aproximadamente $17,693 en USDC de los usuarios antes de intercambiar los fondos robados por ETH. El ETH recién convertido fue transferido más tarde a Arbitrum a través de múltiples transacciones entre cadenas.

Como resultado de la brecha, se recomendó a los usuarios que tienen billeteras en el protocolo cancelar cualquier autorización en curso lo antes posible. También se recordó a los usuarios verificar si la dirección autorizada es la dirección oficial del proyecto antes de aprobar cualquier transferencia.

Además, se anima a los usuarios a autorizar solo la cantidad necesaria y nunca otorgar autorizaciones ilimitadas a los contratos. En general, se les insta a verificar regularmente las autorizaciones y revocar las innecesarias.

El hackeo ocurre justo unos días después de que las transacciones x402 comenzaron a ver un auge en su uso. El 27 de octubre, el valor de mercado de los tokens x402 superó los $800 millones por primera vez. Mientras tanto, el protocolo x402 de un importante intercambio registró 500,000 transacciones en una sola semana, lo que indica un aumento del 10,780% en comparación con el mes anterior.

El protocolo x402 permite tanto a humanos como a agentes de IA realizar transacciones utilizando el código de estado HTTP 402 Pago Requerido para habilitar pagos instantáneos y programáticos para APIs y contenido digital. Esto significa que pueden realizar pagos instantáneos en stablecoin a través de HTTP.

¿Qué causó el supuesto hackeo en 402bridge?

Los investigadores en cadena y las empresas de seguridad de blockchain han concluido que la violación fue probablemente causada por una filtración de clave privada. Sin embargo, no descartaron la posibilidad de la participación de un insider. Debido a la violación, el proyecto ha detenido toda actividad y su sitio web ahora está fuera de línea.

La cuenta oficial de 402bridge ha abordado desde entonces la explotación, confirmando que fue causada por una filtración de clave privada que llevó a que más de una docena de billeteras de prueba del equipo y billeteras principales en el protocolo se viesen comprometidas en el proceso. El equipo está investigando el incidente y lo ha informado a las autoridades.

“Hemos informado de inmediato del incidente a las autoridades policiales y mantendremos a la comunidad informada con actualizaciones oportunas a medida que avance la investigación”, dijo 402bridge.

En una publicación separada que se compartió anteriormente, el protocolo explicó cómo funciona el mecanismo x402. Requiere que los usuarios firmen o aprueben transacciones a través de la interfaz web. La autorización se envía a un servidor de back-end que extrae los fondos y acuña los tokens.

“Cuando nos registramos en x402scan.com, necesitamos almacenar la clave privada en el servidor para poder llamar a los métodos del contrato,” dijo el protocolo.

“Este paso puede exponer los privilegios de administrador porque la clave privada del administrador está conectada a Internet en esta etapa, lo que podría provocar una filtración de permisos,” continuó el equipo.

Como resultado, si la clave privada es robada por un hacker, entonces pueden hacerse cargo de todos los privilegios de administrador y reasignar los fondos de los usuarios al contrato del hacker.