Uvanlige autorisasjoner oppdaget av GoPlus
GoPlus har oppdaget uvanlige autorisasjoner knyttet til 402bridge, noe som har ført til at mer enn 200 brukere har mistet USDC på grunn av overdrevne autorisasjoner gjort av protokollen. Den 28. oktober varslet det web3-sikkerhetsselskapet GoPlus Securitys kinesiske sosiale mediekonto brukere om et mistenkt sikkerhetsbrudd som involverte x402-krysslag-protokollen, x402bridge.
Sikkerhetsbrudd og konsekvenser
Hackingen skjedde bare dager etter at protokollen ble lansert på kjeden. Før minting av USDC (USD Coin) må handlingen først autoriseres av eierkontrakten. I dette tilfellet førte overdrevne autorisasjoner til at mer enn 200 brukere mistet sine gjenværende stablecoins i en serie overføringer.
GoPlus (GPS) bemerket at skaperen av kontrakten, som begynner med 0xed1A, gjorde en eierskapsoverføring til adressen 0x2b8F, og ga den nye adressen spesielle administrative privilegier som tidligere ble holdt av x402bridge-teamet, inkludert muligheten til å endre nøkkelinnstillinger og flytte eiendeler.
Kort tid etter å ha fått kontroll, utførte den nye eieradressen en funksjon kalt «transferUserToken». Denne funksjonen tillot adressen å tømme alle gjenværende USD Coins fra lommebøker som tidligere hadde gitt autorisasjon til kontrakten. Totalt tappet adressen 0x2b8F omtrent $17,693 verdt av USDC fra brukere før de stjålne midlene ble byttet til ETH.
Rekommandasjoner fra GoPlus Security
Som et resultat av bruddet anbefalte GoPlus Security brukere som har lommebøker på protokollen å kansellere eventuelle pågående autorisasjoner så snart som mulig. Sikkerhetsselskapet minnet også brukere om å sjekke om den autoriserte adressen er den offisielle adressen til prosjektet før de godkjenner noen overføringer. I tillegg oppfordres brukere til kun å autorisere det nødvendige beløpet og aldri gi ubegrensede autorisasjoner til kontrakter.
Økning i x402-bruk og etterforskning
Hackingen skjer bare noen dager etter at x402-transaksjoner begynte å se en boom i bruken. Den 27. oktober overskred markedsverdien av x402-tokens $800 millioner for første gang. I mellomtiden registrerte Coinbase sin x402-protokoll 500,000 transaksjoner på en enkelt uke, noe som indikerer en økning på 10,780% sammenlignet med måneden før.
x402-protokollen gjør det mulig for både mennesker og AI-agenter å gjennomføre transaksjoner ved å bruke HTTP 402 Payment Required-statuskode for å muliggjøre umiddelbare, programmerbare betalinger for API-er og digitalt innhold. Dette betyr at de kan gjøre umiddelbare stablecoin-betalinger over HTTP.
On-chain etterforskere og blockchain-sikkerhetsselskaper som SlowMist har konkludert med at bruddet mest sannsynlig ble forårsaket av en lekkasje av privatnøkkel. De utelukket imidlertid ikke muligheten for innsideinvolvering.
På grunn av bruddet har prosjektet stoppet all aktivitet, og nettstedet deres er nå offline. Den offisielle kontoen for 402bridge har siden adressert utnyttelsen og bekreftet at det faktisk var forårsaket av en lekkasje av privatnøkkel, som førte til at mer enn et dusin team testlommebøker og hovedlommebøker på protokollen ble kompromittert i prosessen.
Fremtidige tiltak og kommunikasjon
Teamet undersøker for øyeblikket hendelsen og har rapportert den til myndighetene. «Vi har raskt rapportert hendelsen til rettshåndhevende myndigheter og vil holde samfunnet informert med tidsriktige oppdateringer etter hvert som etterforskningen skrider frem,» sa 402bridge.
I et separat innlegg som ble delt tidligere, forklarte protokollen hvordan x402-mekanismen fungerer. Den krever at brukere signerer eller godkjenner transaksjoner via webgrensesnittet. Autorisasjonen sendes deretter til en backend-server som trekker ut midlene og mint tokenene.
«Når vi registrerer oss på x402scan.com, må vi lagre den private nøkkelen på serveren for å kunne kalle kontraktsmetoder. Dette trinnet kan eksponere admin-rettigheter fordi admin privatnøkkelen er koblet til internett på dette stadiet, noe som potensielt kan føre til en lekkasje av tillatelser,» fortsatte teamet.
Som et resultat, hvis den private nøkkelen blir stjålet av en hacker, kan de ta over alle admin-rettigheter og omfordele brukerfond til hackerens kontrakt.
