O hack do 402bridge leva a mais de 200 usuários drenados de USDC

GoPlus detectou autorizações incomuns ligadas a 402ponte, levando a mais de 200 usuários a perder USDC em autorizações excessivas feitas pelo protocolo.

Resumo

• O protocolo x402ponte sofreu uma violação causada por uma chave privada de administrador vazada, permitindo que um atacante roubasse cerca de $17,693 em USDC de mais de 200 usuários.
• O hack revela vulnerabilidades relacionadas ao mecanismo x402 que depende de chaves privadas armazenadas em um servidor para permitir privilégios de administrador a endereços on-chain que podem distribuir e autorizar transações de forma excessiva.

Em 28 de outubro, uma empresa de segurança web3 alertou os usuários sobre uma suspeita de violação de segurança envolvendo o protocolo de camada cruzada x402, x402bridge. O hack ocorreu apenas dias após o protocolo ser lançado na cadeia.

Antes de cunhar USDC (USDC), a ação deve primeiro ser autorizada pelo contrato do Proprietário. Neste caso, autorizações excessivas levaram a mais de 200 usuários a perderem os seus stablecoins restantes numa série de transferências.

Foi observado que o criador do contrato começando com 0xed1A fez uma transferência de propriedade para o endereço 0x2b8F, concedendo ao novo endereço privilégios administrativos especiais detidos pela equipe x402ponte, como a capacidade de modificar configurações chave e mover ativos.

Pouco depois de ganhar o controle, o novo endereço do proprietário executou uma função chamada “transferUserToken.” Esta função permitiu que o endereço drenasse todos os USD Coins restantes das carteiras que anteriormente tinham concedido autorização ao contrato.

No total, o endereço 0x2b8F drenou cerca de $17,693 em USDC dos usuários antes de trocar os fundos roubados por ETH. O ETH recém-convertido foi posteriormente transferido para Arbitrum através de múltiplas transações entre cadeias.

Como resultado da violação, foi recomendado aos utilizadores que detêm carteiras no protocolo que cancelassem qualquer autorização em curso o mais rapidamente possível. Os utilizadores também foram lembrados de verificar se o endereço autorizado é o endereço oficial do projeto antes de aprovar qualquer transferência.

Além disso, os utilizadores são incentivados a autorizar apenas o montante necessário e nunca conceder autorizações ilimitadas a contratos. No geral, são instados a verificar regularmente as autorizações e a revogar as que não são necessárias.

O hack ocorre apenas alguns dias após as transações x402 começarem a ver um aumento no uso. Em 27 de outubro, o valor de mercado dos tokens x402 ultrapassou $800 milhões pela primeira vez. Enquanto isso, o protocolo x402 de uma grande exchange registrou 500.000 transações em uma única semana, indicando um aumento de 10.780% em comparação com o mês anterior.

O protocolo x402 permite que tanto humanos quanto agentes de IA realizem transações usando o código de status HTTP 402 Payment Required para possibilitar pagamentos instantâneos e programáticos para APIs e conteúdo digital. Isso significa que eles podem fazer pagamentos instantâneos em stablecoin através de HTTP.

O que causou o suposto hack no 402bridge?

Detetives on-chain e empresas de segurança de blockchain concluíram que a violação foi provavelmente causada por um vazamento de chave privada. No entanto, não descartaram a possibilidade de envolvimento interno. Devido à violação, o projeto interrompeu toda a atividade e o seu site está agora offline.

A conta oficial do 402bridge abordou desde então o exploit, confirmando que foi realmente causado por um vazamento da chave privada que levou a mais de uma dúzia de carteiras de teste da equipe e carteiras principais no protocolo a serem comprometidas no processo. A equipe está atualmente investigando o incidente e o relatou às autoridades.

“Reportámos prontamente o incidente às autoridades policiais e manteremos a comunidade informada com atualizações oportunas à medida que a investigação avança,” disse 402bridge.

Em um post separado que foi compartilhado anteriormente, o protocolo explicou como o mecanismo x402 funciona. Ele requer que os usuários assinem ou aprovem transações através da interface web. A autorização é então enviada a um servidor back-end que extrai os fundos e emite os tokens.

“Quando fazemos o onboarding para x402scan.com, precisamos armazenar a chave privada no servidor para poder chamar métodos de contrato,” disse o protocolo.

“Este passo pode expor privilégios de administrador porque a chave privada do administrador está conectada à internet nesta fase, potencialmente levando a um vazamento de permissões,” continuou a equipe.

Como resultado, se a chave privada for roubada por um hacker, então ele poderá assumir todos os privilégios de administrador e reassinar os fundos dos usuários para o contrato do hacker.