Usædvanlige autorisationer og sikkerhedsbrud
GoPlus har opdaget usædvanlige autorisationer knyttet til 402bridge, hvilket har ført til, at mere end 200 brugere har mistet USDC på grund af overdrevne autorisationer foretaget af protokollen. Den 28. oktober advarede GoPlus Securitys kinesiske sociale mediekonto brugerne om et mistænkt sikkerhedsbrud, der involverede x402 cross-layer protokollen, x402bridge.
Detaljer om hændelsen
Hacket skete blot få dage efter, at protokollen blev lanceret on-chain. Før minting af USDC (USD Coin) skal handlingen først godkendes af ejerkontrakten. I dette tilfælde førte overdrevne autorisationer til, at mere end 200 brugere mistede deres resterende stablecoins i en række overførsler.
GoPlus (GPS) bemærkede, at skaberen af kontrakten, der begynder med 0xed1A, foretog en ejerskabsoverførsel til adressen 0x2b8F, hvilket gav den nye adresse særlige administrative privilegier, som tidligere blev holdt af x402bridge-teamet, såsom muligheden for at ændre nøgleindstillinger og flytte aktiver.
Konsekvenser af bruddet
Kort efter at have fået kontrol, udførte den nye ejeradresse en funktion kaldet “transferUserToken”. Denne funktion gjorde det muligt for adressen at tømme alle resterende USD Coins fra tegnebøger, der tidligere havde givet autorisation til kontrakten. I alt tømte adressen 0x2b8F omkring $17.693 værd af USDC fra brugerne, før de stjålne midler blev ombyttet til ETH. Den nyomdannede ETH blev senere overført til Arbitrum gennem flere cross-chain transaktioner.
GoPlus’ anbefalinger til brugerne
Som følge af bruddet anbefalede GoPlus Security brugere, der har tegnebøger på protokollen, at annullere eventuelle igangværende autorisationer så hurtigt som muligt. Sikkerhedsfirmaet mindede også brugerne om at kontrollere, om den autoriserede adresse er den officielle adresse for projektet, før de godkender nogen overførsler. Derudover opfordres brugerne til kun at autorisere det nødvendige beløb og aldrig give ubegrænsede autorisationer til kontrakter. Generelt opfordres de til regelmæssigt at kontrollere autorisationer og tilbagekalde unødvendige.
Øget brug af x402 protokollen
Hacket sker blot få dage efter, at x402-transaktioner begyndte at se en stigning i brugen. Den 27. oktober oversteg markedsværdien af x402 tokens $800 millioner for første gang. I mellemtiden registrerede Coinbase’s x402 protokol 500.000 transaktioner på en enkelt uge, hvilket indikerer en stigning på 10.780% sammenlignet med den foregående måned.
Årsagen til bruddet
x402 protokollen muliggør både mennesker og AI-agenter at foretage transaktioner ved hjælp af HTTP 402 Payment Required-statuskode for at muliggøre øjeblikkelige, programmatisk betalinger for API’er og digitalt indhold. Dette betyder, at de kan foretage øjeblikkelige stablecoin-betalinger over HTTP.
On-chain detektiver og blockchain-sikkerhedsfirmaer som SlowMist har konkluderet, at bruddet sandsynligvis blev forårsaget af et læk af den private nøgle. De udelukkede dog ikke muligheden for insider-involvering. På grund af bruddet har projektet stoppet al aktivitet, og dets hjemmeside er nu offline.
“Vi har hurtigt rapporteret hændelsen til retshåndhævende myndigheder og vil holde samfundet informeret med rettidige opdateringer, efterhånden som efterforskningen skrider frem,” sagde 402bridge.
Forklaring af x402-mekanismen
I et separat indlæg, der blev delt tidligere, forklarede protokollen, hvordan x402-mekanismen fungerer. Den kræver, at brugerne underskriver eller godkender transaktioner via webgrænsefladen. Autorisationen sendes derefter til en back-end server, der udtrækker midlerne og mint tokens.
“Når vi tilmelder os x402scan.com, skal vi gemme den private nøgle på serveren for at kunne kalde kontraktmetoder,” sagde protokollen. “Dette trin kan udsætte admin privilegier, fordi den private admin nøgle er forbundet til internettet på dette stadium, hvilket potentielt kan føre til et læk af tilladelser,” fortsatte teamet. Som et resultat, hvis den private nøgle bliver stjålet af en hacker, kan de overtage alle admin privilegier og omfordele brugerens midler til hackerens kontrakt.
