Компания GoPlus Security, занимающаяся безопасностью в Web3, сообщила, что недавно запущенный кросс-уровневый протокол x402bridge стал жертвой уязвимости безопасности, что привело к потере более 200 пользователей USDC на общую сумму около 17,693 долларов США. Оба, блокчейн-детектив и компания по безопасности SlowMist, подтвердили, что наиболее вероятной причиной уязвимости является утечка закрытого ключа администратора, что дало злоумышленникам доступ к особым административным правам контракта. GoPlus Security настоятельно рекомендует всем пользователям, имеющим кошелек на этом протоколе, как можно скорее отменить действующие авторизации и напоминает пользователям никогда не предоставлять контрактам неограниченные полномочия. Этот инцидент выявил потенциальные риски безопасности в механизме x402, где хранение закрытых ключей на сервере может привести к утечке административных прав.
Новый протокол x402bridge подвергся атаке: избыточные полномочия раскрывают уязвимость безопасности закрытого ключа
Протокол x402bridge, спустя несколько дней после его запуска в блокчейне, столкнулся с атакой безопасности, что привело к потерям средств пользователей. Механизм этого протокола требует, чтобы пользователи сначала получили разрешение от контракта Owner перед созданием USDC. В этом инциденте именно это избыточное разрешение привело к тому, что стабильные монеты более чем 200 пользователей были переведены.
Нападающий использует скомпрометированный закрытый ключ для кражи пользователей USDC
Согласно наблюдениям GoPlus Security, процесс атаки ясно указывает на злоупотребление полномочиями:
- Передача прав: адрес создателя (0xed1A, начиная с ), передал право собственности адресу 0x2b8F, предоставив последнему специальные административные права, которые принадлежат команде x402bridge, включая возможность изменения ключевых настроек и передачи активов.
- Выполнение вредоносной функции: После получения контроля новый адрес владельца немедленно выполнил функцию под названием “transferUserToken”, что позволило этому адресу извлекать остатки USD Coins из всех ранее授权ованных этому контракту Кошелек.
- Потеря и перевод средств: адрес 0x2b8F украл у пользователя USDC на сумму около 17,693 USD, после чего обменял украденные средства на эфир и перевел их в сеть Arbitrum через несколько кросс-цепочных транзакций.
Корень уязвимости: Риски хранения закрытых ключей в механизме x402
Команда x402bridge отреагировала на этот инцидент с уязвимостью, подтвердив, что атака произошла из-за утечки Закрытого ключа, что привело к краже десятков тестовых и основных Кошелек. Проект приостановил все активные мероприятия и закрыл сайт, а также сообщил об этом в правоохранительные органы.
- Риски процесса авторизации: Протокол ранее объяснял принцип работы своего механизма x402: пользователи подписывают или одобряют транзакции через веб-интерфейс, информация об авторизации отправляется на сервер в бекенде, после чего сервер извлекает средства и создает токены.
- Риск раскрытия закрытого ключа: Команда призналась: “Когда мы запускаем на x402scan.com, нам необходимо хранить закрытый ключ на сервере для вызова методов контракта.” Этот шаг может привести к раскрытию закрытого ключа администратора на этапе подключения к Интернету, что может вызвать утечку полномочий. Как только закрытый ключ будет украден, хакеры смогут захватить все полномочия администратора и перераспределить средства пользователей.
За несколько дней до этого атаки использование токена x402 резко возросло. 27 октября рыночная капитализация токена x402 впервые преодолела 800 миллионов долларов, а объем торгов по протоколу x402 на основных CEX за неделю достиг 500 000 сделок, что составило рост на 10,780%.
Рекомендации по безопасности: GoPlus призывает пользователей немедленно отменить авторизацию
Учитывая серьезность этой утечки, GoPlus Security срочно рекомендует пользователям, имеющим Кошелек на данном Протоколе, немедленно отменить все текущие авторизации. Безопасная компания также напоминает всем пользователям:
- Проверьте адрес: Перед тем, как одобрить любое перечисление, убедитесь, что авторизованный адрес является официальным адресом проекта.
- Ограничение суммы авторизации: предоставляйте только необходимую сумму и не давайте контракту неограниченную авторизацию.
- Регулярные проверки: Регулярно проверяйте и отменяйте ненужные авторизации.
Заключение
Инцидент с утечкой закрытого ключа x402bridge снова поднял вопрос о рисках, связанных с централизованными компонентами (такими как серверы, хранящие закрытые ключи), в области Web3. Несмотря на то, что протокол x402 направлен на реализацию мгновенных, программируемых платежей с использованием состояния HTTP 402 Payment Required для стабильной валюты, уязвимости в механизме реализации должны быть немедленно исправлены. Для пользователей эта атака стала дорогим уроком, напоминающим нам о необходимости оставаться бдительными и осторожно управлять авторизацией кошелька при взаимодействии с любыми протоколами в блокчейне.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Circle, расширяет доступ OSL для USDC по мере роста спроса на трансграничные операции в Азии
Институциональный доступ к ликвидности цифрового доллара растет по мере увеличения спроса на трансграничные расчеты и усиления роли стейблкоинов в рыночной инфраструктуре. OSL Group и Circle расширяют использование USDC для торговли, платежей и расчетов в Азии.
Ключевые выводы:
OSL Group расширила доступ к USDC
Coinpedia4ч назад
Ликвидации CHIP достигли $1,2 млн за один час: трейдер neoyokio.eth открывает лонг на $2,2 млн
Сообщение Gate News, 23 апреля — Согласно данным мониторинга от Hyperinsight и Coinglass, CHIP лидировал среди всех активов по объёмам ликвидаций за последний час: было ликвидировано примерно $1,2 млн позиций, в основном лонгов. На платформе Hyperliquid один адрес был ликвидирован дважды за
GateNews4ч назад
Pornhub Переключает Выплаты Авторам с USDT на USDC ради Большей Надежности
Pornhub заменил выплаты авторам-выгодоприобретателям с USDT на USDC, сославшись на надежность и соответствие MiCA; старые связи USDT–PayPal и партнерства на базе TronLink были удалены.
Аннотация: Pornhub заменил выплаты USDT для авторов на USDC, утверждая, что USDC надежнее и соответствует MiCA. Этот шаг положил конец связям PayPal–USDT и платежной инфраструктуре на базе TronLink, а эти партнерства были удалены со страницы выплат авторам.
GateNews5ч назад
Circle предлагает экстренную переработку ставок для замороженного пула USDC Aave
Краткое резюме: Circle предлагает экстренный пересмотр Aave V3 для пула USDC, поднимая Slope 2 до ~40%, чтобы восстановить здоровую загрузку (target ~85%), при этом максимальная ставка растёт до ~48%, утверждая, что заемщики игнорируют ставки; также предлагает приостановить USDC risk oracle.
Аннотация: Circle призвала к экстренному пересмотру Aave V3's USDC-пула после четырех дней при почти-6% неиспользованной ликвидности и 99.87% загруженности после эксплойта KelpDAO. План будет немедленно повышать Slope 2 для депозитов USDC примерно с 10% до 40%, а затем — ратификацию через управление целевого показателя в 50% в течение недели. Цель — привлечь предложение и восстановить сбалансированную загрузку, с переходом к более высокой максимальной ставке по снабжению (примерно 48%) при полной загрузке. Liao утверждает, что текущие заемщики используют заимствование USDC как механизм обхода очереди и не реагируют на текущие ставки, что делает предложения, ориентированные на снабжение, необходимыми. В предложении также рекомендуется приостановить USDC Risk Oracle из‑за прошлых недоработок. Позиция Circle примечательна, потому что эмитент стейблкоина фактически говорит, что рынок его актива на Aave сломан.
CryptoFrontier8ч назад
Казначейство USDC отчеканило 200 млн USDC в Ethereum, стоимостью ~$199.9M
Кратко: Казначейство USDC отчеканило 200 млн USDC в сети Ethereum в 22:00 UTC; по данным Whale Alert, это стоит примерно $199.9M.
Аннотация: Обновление Gate News сообщает, что Казначейство USDC отчеканило 200 миллионов USDC в сети Ethereum в 22:00 UTC, а Whale Alert подтверждает выпуск. Новая эмиссия оценивается примерно в $199.9 миллиона, что иллюстрирует существенное увеличение выдачи USDC.
GateNews15ч назад
RedotPay интегрирует Sui и USDC-Sui, расширяя платежи на 100+ стран
RedotPay теперь поддерживает SUI и USDC-Sui в сети Sui, обеспечивая более быстрые глобальные платежи для 130M продавцов и 7M клиентов, а также масштабируемые трансграничные транзакции, связывающие криптоиндустрию и коммерцию.
Аннотация: RedotPay добавила поддержку SUI и USDC-Sui в сети Sui, обеспечив бесшовную обработку платежей и глобальные выплаты в рамках своей экосистемы. Обслуживая более 130 миллионов продавцов в более чем 100 странах и около 7 миллионов клиентов, платформа стремится предоставить более быстрые, масштабируемые трансграничные платежи и расширенный доступ к финансовым сервисам, поддерживаемый блокчейном. Интегрируя SUI и USDC-Sui, RedotPay стремится упростить отправку и получение платежей по всему миру, обеспечивая при этом безопасные и эффективные транзакции, которые связывают цифровые активы с реальной коммерцией.
GateNews22ч назад
