Взлом 402мост привел к тому, что более 200 пользователей потеряли USDC

GoPlus обнаружил необычные авторизации, связанные с 402bridge, что привело к тому, что более 200 пользователей потеряли USDC из-за чрезмерных авторизаций, сделанных протоколом.

Резюме

• Протокол x402мост пострадал от нарушения, вызванного утечкой приватного ключа администратора, что позволило злоумышленнику украсть около $17,693 в USDC у более чем 200 пользователей.
• Взлом выявляет уязвимости, связанные с механизмом x402, который полагается на закрытые ключи, хранящиеся на сервере, чтобы предоставить административные привилегии адресам в блокчейне, которые могут чрезмерно распределять и авторизовывать транзакции.

28 октября компания по безопасности web3 предупредила пользователей о подозрительном нарушении безопасности, связанном с кросс-слойным протоколом x402, x402bridge. Взлом произошел всего через несколько дней после запуска протокола в сети.

Перед чеканкой USDC (USDC), действие должно сначала быть авторизовано контрактом Владельца. В этом случае чрезмерные авторизации привели к тому, что более 200 пользователей потеряли свои оставшиеся стейблкоины в серии переводов.

Отмечалось, что создатель контракта, начинающегося с 0xed1A, совершил передачу прав собственности на адрес 0x2b8F, предоставив новому адресу специальные административные привилегии, удерживаемые командой x402bridge, такие как возможность изменять ключевые настройки и перемещать активы.

Вскоре после получения контроля новый адрес владельца выполнил функцию под названием “transferUserToken.” Эта функция позволила адресу вывести все оставшиеся USDC из кошельков, которые ранее предоставили разрешение на контракт.

В общей сложности адрес 0x2b8F вывел около 17 693 долларов США в эквиваленте USDC от пользователей, прежде чем обменять украденные средства на ETH. Недавно конвертированный ETH позже был переведен в Arbitrum через несколько кросс-цепочных транзакций.

В результате нарушения пользователям, которые держат кошельки на протоколе, рекомендуется как можно скорее отменить все текущие авторизации. Пользователи также были напомнены о необходимости проверить, является ли авторизованный адрес официальным адресом проекта, прежде чем одобрять любые переводы.

Кроме того, пользователям рекомендуется авторизовать только необходимую сумму и никогда не предоставлять неограниченные авторизации контрактам. В целом, им настоятельно советуют регулярно проверять авторизации и отзывать ненужные.

Взлом произошел всего через несколько дней после того, как транзакции x402 начали наблюдать рост использования. 27 октября рыночная стоимость токенов x402 впервые превысила $800 миллион. Тем временем, x402 протокол крупной биржи зафиксировал 500,000 транзакций за одну неделю, что указывает на рост на 10,780% по сравнению с предыдущим месяцем.

Протокол x402 позволяет как людям, так и AI-агентам совершать транзакции, используя код состояния HTTP 402 Оплата требуется, чтобы обеспечить мгновенные, программируемые платежи для API и цифрового контента. Это означает, что они могут осуществлять мгновенные платежи в стейблкойнах по HTTP.

Что стало причиной предполагаемого взлома на 402bridge?

Ончейн-детективы и фирмы по безопасности блокчейна пришли к выводу, что утечка, скорее всего, была вызвана утечкой закрытого ключа. Однако они не исключили возможность внутреннего участия. Из-за утечки проект приостановил всю деятельность, и его веб-сайт теперь недоступен.

Официальный аккаунт 402bridge с тех пор сообщил о взломе, подтвердив, что он действительно был вызван утечкой закрытого ключа, что привело к компрометации более дюжины командных тестовых кошельков и основных кошельков на Протоколе в процессе. Команда в настоящее время проводит расследование инцидента и сообщила об этом властям.

“Мы незамедлительно сообщили о происшествии в правоохранительные органы и будем информировать сообщество о ходе расследования своевременными обновлениями,” сказал 402bridge.

В отдельном посте, который был опубликован ранее, Протокол объяснил, как работает механизм x402. Он требует от пользователей подписывать или одобрять транзакции через веб-интерфейс. Авторизация затем отправляется на сервер, который извлекает средства и выпускает токены.

“Когда мы подключаемся к x402scan.com, нам нужно сохранить закрытый ключ на сервере, чтобы вызывать методы контракта,” сказал ведущий.

“Этот шаг может раскрыть административные привилегии, поскольку на данном этапе административный приватный ключ подключен к интернету, что потенциально может привести к утечке прав,” продолжила команда.

В результате, если частный ключ будет украден хакером, то он сможет взять на себя все административные привилегии и переназначить средства пользователей на контракт хакера.