Lỗ hổng 402bridge dẫn đến hơn 200 người dùng bị rút hết USDC

GoPlus đã phát hiện các ủy quyền bất thường liên quan đến 402bridge, dẫn đến hơn 200 người dùng mất USDC do các ủy quyền quá mức được thực hiện bởi giao thức.

Tóm tắt

• Giao thức x402cầu đã bị tấn công do một khóa riêng của quản trị viên bị rò rỉ, cho phép một kẻ tấn công đánh cắp khoảng 17,693 USD trong USDC từ hơn 200 người dùng.
• Cuộc tấn công tiết lộ các lỗ hổng liên quan đến cơ chế x402, cơ chế này dựa vào khóa riêng được lưu trữ trên máy chủ để cấp quyền quản trị cho các địa chỉ trên chuỗi có thể phân phối và ủy quyền giao dịch một cách quá mức.

Vào ngày 28 tháng 10, một công ty bảo mật web3 đã cảnh báo người dùng về một vụ vi phạm bảo mật nghi ngờ liên quan đến giao thức x402 cross-layer, x402bridge. Vụ hack xảy ra chỉ vài ngày sau khi giao thức được ra mắt trên chuỗi.

Trước khi phát hành USDC (USDC), hành động này phải được ủy quyền bởi hợp đồng Chủ sở hữu trước. Trong trường hợp này, việc ủy quyền quá mức đã dẫn đến việc hơn 200 người dùng mất đi các stablecoin còn lại của họ trong một loạt các giao dịch.

Người ta lưu ý rằng người tạo hợp đồng bắt đầu bằng 0xed1A đã thực hiện chuyển nhượng quyền sở hữu cho địa chỉ 0x2b8F, cấp cho địa chỉ mới quyền quản trị đặc biệt do đội ngũ x402cầu nắm giữ, chẳng hạn như khả năng thay đổi các cài đặt quan trọng và chuyển tài sản.

Ngay sau khi giành quyền kiểm soát, địa chỉ chủ sở hữu mới đã thực hiện một chức năng gọi là “transferUserToken.” Chức năng này cho phép địa chỉ này rút toàn bộ USD Coins còn lại từ các ví đã từng cấp quyền cho hợp đồng.

Tổng cộng, địa chỉ 0x2b8F đã rút khoảng 17,693 USD giá trị USDC từ người dùng trước khi chuyển đổi số tiền bị đánh cắp sang ETH. ETH mới chuyển đổi sau đó đã được chuyển đến Arbitrum thông qua nhiều giao dịch chuỗi chéo.

Do sự vi phạm, người dùng sở hữu ví trên giao thức được khuyến nghị hủy bỏ bất kỳ ủy quyền nào đang diễn ra càng sớm càng tốt. Người dùng cũng được nhắc nhở kiểm tra xem địa chỉ đã ủy quyền có phải là địa chỉ chính thức của dự án trước khi phê duyệt bất kỳ giao dịch chuyển tiền nào.

Ngoài ra, người dùng được khuyến khích chỉ ủy quyền số tiền cần thiết và không bao giờ cấp ủy quyền không giới hạn cho các hợp đồng. Nhìn chung, họ được khuyến cáo thường xuyên kiểm tra các ủy quyền và thu hồi những ủy quyền không cần thiết.

Cuộc tấn công diễn ra chỉ vài ngày sau khi các giao dịch x402 bắt đầu chứng kiến sự bùng nổ trong việc sử dụng. Vào ngày 27 tháng 10, giá trị thị trường của các token x402 lần đầu tiên vượt qua $800 triệu. Trong khi đó, giao thức x402 của một sàn giao dịch lớn đã ghi nhận 500.000 giao dịch trong một tuần, cho thấy mức tăng 10.780% so với tháng trước.

Giao thức x402 cho phép cả con người và các đại lý AI thực hiện giao dịch bằng cách sử dụng mã trạng thái HTTP 402 Yêu cầu thanh toán để cho phép thanh toán lập tức, theo chương trình cho các API và nội dung kỹ thuật số. Điều này có nghĩa là họ có thể thực hiện các khoản thanh toán stablecoin ngay lập tức qua HTTP.

Nguyên nhân nào đã gây ra vụ hack bị cáo buộc trên 402bridge?

Các nhà điều tra trên chuỗi và các công ty an ninh blockchain đã kết luận rằng lỗ hổng rất có thể là do rò rỉ khóa riêng. Tuy nhiên, họ không loại trừ khả năng có sự tham gia của người trong cuộc. Do lỗ hổng, dự án đã ngừng tất cả hoạt động và trang web của nó hiện đã ngoại tuyến.

Tài khoản chính thức của 402bridge đã giải quyết sự cố, xác nhận rằng nó thực sự do rò rỉ khóa riêng tư gây ra, dẫn đến việc hơn một chục ví thử nghiệm của đội và ví chính trên giao thức bị xâm phạm trong quá trình này. Đội ngũ hiện đang điều tra sự cố và đã báo cáo cho các cơ quan chức năng.

“Chúng tôi đã nhanh chóng báo cáo sự cố cho các cơ quan thực thi pháp luật và sẽ giữ cho cộng đồng được thông báo với các cập nhật kịp thời khi cuộc điều tra tiến triển,” 402bridge cho biết.

Trong một bài viết riêng được chia sẻ trước đó, giao thức đã giải thích cách hoạt động của cơ chế x402. Nó yêu cầu người dùng ký hoặc phê duyệt các giao dịch qua giao diện web. Sau đó, việc ủy quyền được gửi đến một máy chủ phía sau để trích xuất các quỹ và đúc các token.

“Khi chúng tôi đăng nhập vào x402scan.com, chúng tôi cần lưu trữ khóa riêng trên máy chủ để gọi các phương thức hợp đồng,” giao thức nói.

“Bước này có thể làm lộ quyền quản trị vì khóa riêng của quản trị viên được kết nối với internet ở giai đoạn này, có khả năng dẫn đến rò rỉ quyền hạn,” nhóm đã tiếp tục.

Vì vậy, nếu khóa riêng bị đánh cắp bởi một hacker, thì họ có thể chiếm đoạt tất cả quyền quản trị và chuyển đổi quỹ của người dùng sang hợp đồng của hacker.