Peretasan 402bridge menyebabkan lebih dari 200 pengguna kehilangan USDC

GoPlus telah mendeteksi otorisasi tidak biasa yang terkait dengan 402bridge, mengakibatkan lebih dari 200 pengguna kehilangan USDC dalam otorisasi berlebihan yang dibuat oleh protokol.

Ringkasan

• Protokol x402bridge mengalami pelanggaran yang disebabkan oleh kebocoran kunci pribadi admin, yang memungkinkan seorang penyerang mencuri sekitar $17,693 dalam USDC dari lebih dari 200 pengguna.
• Peretasan ini mengungkap kerentanan terkait mekanisme x402 yang bergantung pada kunci privat yang disimpan di server untuk memberikan hak admin kepada alamat on-chain yang dapat mendistribusikan dan mengautorisasi transaksi secara berlebihan.

Pada 28 Okt, sebuah perusahaan keamanan web3 memberi tahu pengguna tentang dugaan pelanggaran keamanan yang melibatkan protokol lintas lapisan x402, x402bridge. Peretasan terjadi hanya beberapa hari setelah protokol diluncurkan di on-chain.

Sebelum mencetak USDC (USDC), tindakan ini harus terlebih dahulu diotorisasi oleh kontrak Pemilik. Dalam kasus ini, otorisasi yang berlebihan menyebabkan lebih dari 200 pengguna kehilangan sisa stablecoin mereka dalam serangkaian transfer.

Diketahui bahwa pencipta kontrak yang dimulai dengan 0xed1A melakukan transfer kepemilikan ke alamat 0x2b8F, memberikan alamat baru hak administratif khusus yang dipegang oleh tim x402bridge, seperti kemampuan untuk mengubah pengaturan kunci dan memindahkan aset.

Tak lama setelah menguasai, alamat pemilik baru menjalankan fungsi yang disebut “transferUserToken.” Fungsi ini memungkinkan alamat tersebut untuk menguras semua koin USD yang tersisa dari dompet yang sebelumnya telah memberikan otorisasi kepada kontrak.

Total, alamat 0x2b8F menguras sekitar $17.693 dalam bentuk USDC dari pengguna sebelum menukarkan dana yang dicuri menjadi ETH. ETH yang baru dikonversi kemudian ditransfer ke Arbitrum melalui beberapa transaksi lintas rantai.

Sebagai hasil dari pelanggaran tersebut, pengguna yang memiliki dompet di protokol disarankan untuk membatalkan semua otorisasi yang sedang berlangsung secepat mungkin. Pengguna juga diingatkan untuk memeriksa apakah alamat yang diotorisasi adalah alamat resmi dari proyek sebelum menyetujui transfer apa pun.

Selain itu, pengguna didorong untuk hanya memberikan otorisasi jumlah yang diperlukan dan tidak pernah memberikan otorisasi tanpa batas kepada kontrak. Secara keseluruhan, mereka disarankan untuk secara teratur memeriksa otorisasi dan mencabut yang tidak diperlukan.

Peretasan terjadi hanya beberapa hari setelah transaksi x402 mulai mengalami lonjakan penggunaan. Pada 27 Oktober, nilai pasar token x402 melampaui $800 juta untuk pertama kalinya. Sementara itu, protokol x402 dari sebuah bursa besar mencatat 500.000 transaksi dalam satu minggu, menunjukkan peningkatan 10.780% dibandingkan bulan sebelumnya.

Protokol x402 memungkinkan baik manusia maupun agen AI untuk melakukan transaksi menggunakan kode status HTTP 402 Pembayaran Diperlukan untuk memungkinkan pembayaran programatik instan untuk API dan konten digital. Ini berarti bahwa mereka dapat melakukan pembayaran stablecoin instan melalui HTTP.

Apa yang menyebabkan dugaan peretasan pada 402bridge?

Penyelidik on-chain dan firma keamanan blockchain telah menyimpulkan bahwa pelanggaran tersebut kemungkinan besar disebabkan oleh kebocoran kunci privat. Namun, mereka tidak mengesampingkan kemungkinan keterlibatan orang dalam. Karena pelanggaran tersebut, proyek telah menghentikan semua aktivitas dan situs webnya kini tidak dapat diakses.

Akun resmi untuk 402bridge sejak itu telah menangani eksploitasi tersebut, mengkonfirmasi bahwa itu memang disebabkan oleh kebocoran kunci privat yang mengakibatkan lebih dari selusin dompet uji tim dan dompet utama di protokol terkompromikan dalam prosesnya. Tim saat ini sedang menyelidiki insiden tersebut dan telah melaporkannya kepada pihak berwenang.

“Kami telah segera melaporkan insiden tersebut kepada pihak berwenang dan akan menjaga komunitas tetap terinformasi dengan pembaruan yang tepat waktu seiring dengan perkembangan penyelidikan,” kata 402bridge.

Dalam sebuah pos terpisah yang dibagikan sebelumnya, protokol menjelaskan bagaimana mekanisme x402 bekerja. Ini mengharuskan pengguna untuk menandatangani atau menyetujui transaksi melalui antarmuka web. Otorisasi kemudian dikirim ke server belakang yang mengekstrak dana dan mencetak token.

“Ketika kami bergabung dengan x402scan.com, kami perlu menyimpan kunci pribadi di server untuk dapat memanggil metode kontrak,” kata protokol.

“Langkah ini dapat mengekspos hak istimewa admin karena kunci pribadi admin terhubung ke internet pada tahap ini, yang berpotensi menyebabkan kebocoran izin,” tim melanjutkan.

Sebagai hasilnya, jika kunci pribadi dicuri oleh seorang hacker, maka mereka dapat mengambil alih semua hak admin dan mengalihkan dana pengguna ke kontrak hacker.