402міст хак призвів до того, що понад 200 користувачів втратили USDC

GoPlus виявив незвичайні авторизації, пов'язані з 402міст, внаслідок чого більше ніж 200 користувачів втратили USDC через надмірні авторизації, зроблені протоколом.

Резюме

• Протокол x402міст зазнав зламу через витік приватного ключа адміністратора, що дозволило зловмиснику вкрасти близько $17,693 у USDC у понад 200 користувачів.
• Злом виявляє вразливості, пов'язані з механізмом x402, який покладається на приватні ключі, збережені на сервері, щоб надати адміністративні привілеї адресам в блокчейні, які можуть надмірно розподіляти та авторизовувати транзакції.

28 жовтня компанія з безпеки web3 попередила користувачів про підозрілий витік безпеки, пов'язаний з крос-шаровим протоколом x402, x402bridge. Хак стався всього через кілька днів після запуску протоколу в мережі.

Перед випуском USDC (USDC), дія повинна бути спочатку авторизована контрактом Власника. У цьому випадку надмірні авторизації призвели до того, що більше 200 користувачів втратили свої залишкові стейблкоїни в серії переказів.

Було зазначено, що творець контракту, який починається з 0xed1A, здійснив передачу власності на адресу 0x2b8F, надавши новій адресі спеціальні адміністративні привілеї, які належать команді x402bridge, такі як можливість змінювати ключові налаштування та переміщувати активи.

Невдовзі після отримання контролю нова адреса власника виконала функцію, що називається “transferUserToken”. Ця функція дозволила адресі вивести всі залишкові USD Coins з гаманців, які раніше надали авторизацію контракту.

В цілому, адреса 0x2b8F вкрала близько $17,693 вартості USDC у користувачів, перш ніж обміняти вкрадені кошти на ETH. Нещодавно конвертований ETH пізніше був переказаний на Arbitrum через кілька крос-ланцюгових транзакцій.

Внаслідок порушення користувачам, які мають гаманці на протоколі, було рекомендовано скасувати будь-які поточні авторизації якомога швидше. Користувачів також нагадали перевірити, чи є авторизована адреса офіційною адресою проєкту перед затвердженням будь-яких переказів.

Крім того, користувачів закликають авторизувати лише необхідну суму і ніколи не надавати безмежні авторизації контрактам. Загалом, їх закликають регулярно перевіряти авторизації та відкликати непотрібні.

Злом стався всього через кілька днів після того, як транзакції x402 почали демонструвати бум у використанні. 27 жовтня ринкова вартість токенів x402 вперше перевищила $800 мільйон. Тим часом, протокол x402 одного з великих бірж зафіксував 500 000 транзакцій за один тиждень, що свідчить про зростання на 10 780% порівняно з попереднім місяцем.

Протокол x402 дозволяє як людям, так і агентам ШІ здійснювати транзакції, використовуючи статус-код HTTP 402 Payment Required, щоб забезпечити миттєві, програмні платежі для API та цифрового контенту. Це означає, що вони можуть здійснювати миттєві платежі в стейблкоїнах через HTTP.

Що спричинило нібито злом на 402місті?

Ончейн-детективи та компанії з безпеки блокчейну дійшли висновку, що витік, ймовірно, був викликаний витоком приватного ключа. Однак вони не відкинули можливість залучення внутрішніх осіб. Через витік проект призупинив усю діяльність, а його веб-сайт наразі недоступний.

Офіційний акаунт 402bridge відреагував на експлойт, підтвердивши, що він дійсно був спричинений витоком приватного ключа, що призвело до компрометації більше ніж дюжини командних тестових гаманців та основних гаманців на протоколі. Команда наразі розслідує інцидент і повідомила про нього владі.

“Ми оперативно повідомили про інцидент правоохоронним органам і будемо тримати спільноту в курсі своєчасних оновлень в міру просування розслідування,” сказав 402bridge.

У окремому повідомленні, яке було поділено раніше, протокол пояснив, як працює механізм x402. Він вимагає, щоб користувачі підписували або підтверджували транзакції через веб-інтерфейс. Авторизація потім надсилається на сервер бекенду, який вилучає кошти та карбуватиме токени.

“Коли ми підключаємося до x402scan.com, нам потрібно зберегти приватний ключ на сервері, щоб викликати методи контракту,” сказав протокол.

“Цей крок може піддати адміністративні привілеї, оскільки приватний ключ адміністратора на цьому етапі підключений до Інтернету, що потенційно може призвести до витоку дозволів,” – продовжила команда.

В результаті, якщо приватний ключ буде вкрадений хакером, то він зможе отримати всі адміністративні привілеї та перенаправити користувацькі кошти на контракт хакера.