402köprü hack'i 200'den fazla kullanıcının USDC'sinin çalınmasına yol açtı

GoPlus, 402köprü ile bağlantılı alışılmadık yetkilendirmeleri tespit etti ve bu durum protokol tarafından yapılan aşırı yetkilendirmeler nedeniyle 200'den fazla kullanıcının USDC kaybetmesine yol açtı.

Özet

• x402köprü protokolü, sızdırılan bir yönetici özel anahtarı nedeniyle bir ihlal yaşadı ve bu, bir saldırganın 200'den fazla kullanıcıdan yaklaşık 17,693 $ USDC çalmasına olanak tanıdı.
• Hack, sunucu üzerinde saklanan özel anahtarlara dayanan x402 mekanizmasıyla ilgili güvenlik açıklarını ortaya çıkarmaktadır. Bu durum, aşırı işlem dağıtımı ve yetkilendirilmesi yapabilecek zincir üstü adreslere yönetici ayrıcalıkları sağlamaktadır.

28 Ekim'de, bir web3 güvenlik şirketi x402 köprü protokolü ile ilgili şüpheli bir güvenlik ihlali konusunda kullanıcıları uyardı. Hack, protokolün zincir üzerinde başlatılmasından sadece birkaç gün sonra gerçekleşti.

USDC (USDC) basılmadan önce, işlem önceki Sahip sözleşmesi tarafından yetkilendirilmelidir. Bu durumda, aşırı yetkilendirmeler, 200'den fazla kullanıcının bir dizi transferde kalan sabit paralarını kaybetmesine yol açtı.

0xed1A ile başlayan sözleşmenin yaratıcısının 0x2b8F adresine bir mülkiyet transferi yaptığı ve bu yeni adrese x402köprü ekibinin sahip olduğu, anahtar ayarlarını değiştirme ve varlıkları hareket ettirme gibi özel idari yetkiler verdiği kaydedildi.

Kontrolü ele aldıktan kısa bir süre sonra, yeni sahip adresi “transferUserToken” adlı bir fonksiyonu çalıştırdı. Bu fonksiyon, adresin daha önce sözleşmeye yetki veren cüzdanlardan tüm kalan USD Coin'leri boşaltmasına olanak tanıdı.

Toplamda, 0x2b8F adresi kullanıcılarından yaklaşık 17,693 $ değerinde USDC'yi boşalttıktan sonra çalınan fonları ETH'ye dönüştürdü. Yeni dönüştürülen ETH, daha sonra birden fazla köprü işlemi ile Arbitrum'a aktarıldı.

İhlal sonucunda, protokolde cüzdanı olan kullanıcılara mümkün olan en kısa sürede devam eden yetkilendirmeleri iptal etmeleri önerildi. Kullanıcılara ayrıca, herhangi bir transferi onaylamadan önce yetkilendirilmiş adresin projenin resmi adresi olup olmadığını kontrol etmeleri hatırlatıldı.

Ayrıca, kullanıcıların yalnızca gerekli miktarı yetkilendirmeleri ve sözleşmelere asla sınırsız yetkiler vermemeleri teşvik edilmektedir. Genel olarak, yetkileri düzenli olarak kontrol etmeleri ve gereksiz olanları iptal etmeleri önerilmektedir.

Hack, x402 işlemlerinin kullanımında bir patlama görmeye başladığı günlerin sadece birkaç gün sonrasında gerçekleşiyor. 27 Ekim'de, x402 tokenlarının piyasa değeri ilk kez $800 milyonun üzerine çıktı. Bu arada, büyük bir borsanın x402 protokolü tek bir haftada 500.000 işlem kaydetti ve bu, bir önceki aya göre %10.780'lik bir artışı gösteriyor.

x402 protokolü, hem insanların hem de AI ajanlarının, API'ler ve dijital içerikler için anlık, programatik ödemeleri sağlamak amacıyla HTTP 402 Ödeme Gereklidir durum kodunu kullanarak işlemler yapmasına olanak tanır. Bu, HTTP üzerinden anlık stabilcoin ödemeleri yapabilecekleri anlamına gelir.

402köprü üzerindeki iddia edilen hack'in nedeni neydi?

Zincir üzerindeki dedektifler ve blok zinciri güvenlik firmaları, ihlalin muhtemelen bir özel anahtar sızıntısından kaynaklandığını sonucuna varmıştır. Ancak, içerden birinin dahil olma olasılığını da dışlamamışlardır. İhlal nedeniyle, proje tüm faaliyetlerini durdurmuş ve web sitesi şu anda çevrimdışı.

402bridge'in resmi hesabı, bir özel anahtar sızıntısı nedeniyle yaşanan istismarı ele aldı ve bunun, protokol üzerindeki ondan fazla ekip test cüzdanı ve ana cüzdanın bu süreçte tehlikeye girmesine yol açtığını doğruladı. Ekip şu anda olayı araştırıyor ve durumu yetkililere bildirdi.

“Olayı derhal kolluk kuvvetlerine bildirdik ve soruşturma ilerledikçe toplumu zamanında güncellemelerle bilgilendireceğiz,” dedi 402bridge.

Daha önce paylaşılan ayrı bir gönderide, protokol x402 mekanizmasının nasıl çalıştığını açıkladı. Kullanıcıların web arayüzü aracılığıyla işlemleri imzalaması veya onaylaması gerekiyor. Yetkilendirme, ardından fonları çıkartan ve token'ları mintleyen bir arka uç sunucusuna gönderilir.

“x402scan.com'a kaydolduğumuzda, sözleşme yöntemlerini çağırmak için özel anahtarı sunucuda saklamamız gerekiyor,” dedi protokol.

“Bu adım, admin özel anahtarının bu aşamada internete bağlı olması nedeniyle admin ayrıcalıklarını açığa çıkarabilir ve bu da izinlerin sızmasına yol açabilir,” ekip devam etti.

Sonuç olarak, eğer özel anahtar bir hacker tarafından çalınırsa, o zaman tüm yönetici ayrıcalıklarını ele geçirebilir ve kullanıcı fonlarını hacker'ın sözleşmesine yeniden atayabilir.