Le hack de 402bridge entraîne le drainage de plus de 200 utilisateurs de USDC

GoPlus a détecté des autorisations inhabituelles liées à 402bridge, entraînant la perte de plus de 200 utilisateurs de USDC en raison d'autorisations excessives accordées par le protocole.

Résumé

• Le protocole x402bridge a subi une violation causée par une fuite de clé privée d'administrateur, permettant à un attaquant de voler environ 17 693 $ en USDC à plus de 200 utilisateurs.
• Le hack révèle des vulnérabilités liées au mécanisme x402 qui repose sur des clés privées stockées sur un serveur pour permettre des privilèges administratifs aux adresses on-chain qui peuvent distribuer et autoriser des transactions de manière excessive.

Le 28 octobre, une entreprise de sécurité web3 a alerté les utilisateurs d'une violation de sécurité suspectée impliquant le protocole inter-couches x402, x402bridge. Le piratage est survenu quelques jours seulement après le lancement du protocole sur la chaîne.

Avant de frapper des USDC (USDC), l'action doit d'abord être autorisée par le contrat propriétaire. Dans ce cas, des autorisations excessives ont entraîné la perte de plus de 200 utilisateurs de leurs stablecoins restants dans une série de transferts.

Il a été noté que le créateur du contrat commençant par 0xed1A a effectué un transfert de propriété à l'adresse 0x2b8F, accordant à la nouvelle adresse des privilèges administratifs spéciaux détenus par l'équipe x402bridge, tels que la capacité de modifier les paramètres clés et de déplacer des actifs.

Peu de temps après avoir pris le contrôle, l'adresse du nouveau propriétaire a exécuté une fonction appelée “transferUserToken.” Cette fonction a permis à l'adresse d'épuiser tous les USD Coins restants des portefeuilles qui avaient précédemment accordé une autorisation au contrat.

Au total, l'adresse 0x2b8F a siphonné environ 17 693 $ USDC des utilisateurs avant d'échanger les fonds volés en ETH. L'ETH nouvellement converti a ensuite été transféré vers Arbitrum à travers plusieurs transactions inter-chaînes.

En raison de la violation, les utilisateurs qui détiennent des portefeuilles sur le protocole ont été invités à annuler toute autorisation en cours dès que possible. Les utilisateurs ont également été rappelés de vérifier si l'adresse autorisée est l'adresse officielle du projet avant d'approuver tout transfert.

De plus, les utilisateurs sont encouragés à n'autoriser que le montant nécessaire et à ne jamais accorder des autorisations illimitées aux contrats. Dans l'ensemble, ils sont incités à vérifier régulièrement les autorisations et à révoquer celles qui ne sont pas nécessaires.

Le hack se produit quelques jours seulement après que les transactions x402 ont commencé à connaître un boom d'utilisation. Le 27 octobre, la valeur marchande des tokens x402 a dépassé $800 millions pour la première fois. Pendant ce temps, le protocole x402 d'un échange majeur a enregistré 500 000 transactions en une seule semaine, indiquant une augmentation de 10 780 % par rapport au mois précédent.

Le protocole x402 permet aux humains et aux agents IA d'effectuer des transactions en utilisant le code d'état HTTP 402 Payment Required pour permettre des paiements instantanés et programmatiques pour les API et le contenu numérique. Cela signifie qu'ils peuvent effectuer des paiements instantanés en stablecoin via HTTP.

Qu'est-ce qui a causé le prétendu hack sur 402bridge ?

Les enquêteurs en chaîne et les entreprises de sécurité blockchain ont conclu que la violation était très probablement causée par une fuite de clé privée. Cependant, ils n'ont pas écarté la possibilité d'une implication interne. En raison de la violation, le projet a suspendu toutes ses activités et son site web est désormais hors ligne.

Le compte officiel de 402bridge a depuis abordé l'exploit, confirmant qu'il était en effet causé par une fuite de clé privée qui a conduit à la compromission de plus d'une douzaine de portefeuilles de test et de portefeuilles principaux de l'équipe sur le protocole. L'équipe enquête actuellement sur l'incident et l'a signalé aux autorités.

“Nous avons rapidement signalé l'incident aux autorités judiciaires et tiendrons la communauté informée avec des mises à jour en temps voulu à mesure que l'enquête progresse,” a déclaré 402bridge.

Dans un post séparé qui a été partagé plus tôt, le protocole a expliqué comment fonctionne le mécanisme x402. Il exige que les utilisateurs signent ou approuvent des transactions via l'interface web. L'autorisation est ensuite envoyée à un serveur back-end qui extrait les fonds et crée les jetons.

“Lorsque nous nous connectons à x402scan.com, nous devons stocker la clé privée sur le serveur afin d'appeler les méthodes de contrat,” a déclaré le protocole.

“Cette étape peut exposer les privilèges d'administrateur car la clé privée de l'administrateur est connectée à Internet à ce stade, ce qui pourrait entraîner une fuite des autorisations,” a poursuivi l'équipe.

En conséquence, si la clé privée est volée par un hacker, alors il peut prendre le contrôle de tous les privilèges d'administrateur et réaffecter les fonds des utilisateurs au contrat du hacker.