Vorfall bei GoPlus und 402bridge-Protokoll
GoPlus hat ungewöhnliche Autorisierungen im Zusammenhang mit dem 402bridge-Protokoll festgestellt, die dazu führten, dass mehr als 200 Nutzer USDC durch übermäßige Autorisierungen verloren haben. Am 28. Oktober warnte das Web3-Sicherheitsunternehmen GoPlus Security über sein chinesisches Social-Media-Konto die Nutzer vor einem vermuteten Sicherheitsvorfall, der das x402 Cross-Layer-Protokoll, x402bridge, betrifft. Der Hack ereignete sich nur wenige Tage nach dem Start des Protokolls on-chain.
Details des Hacks
Bevor USDC geprägt werden kann, muss die Aktion zunächst vom Owner-Vertrag autorisiert werden. In diesem Fall führten übermäßige Autorisierungen dazu, dass mehr als 200 Nutzer ihre verbleibenden Stablecoins in einer Reihe von Überweisungen verloren. GoPlus (GPS) stellte fest, dass der Ersteller des Vertrags, der mit 0xed1A beginnt, eine Eigentumsübertragung an die Adresse 0x2b8F vorgenommen hat. Dadurch erhielt die neue Adresse besondere administrative Privilegien, die normalerweise vom x402bridge-Team gehalten werden, wie die Fähigkeit, wichtige Einstellungen zu ändern und Vermögenswerte zu bewegen.
Kurz nachdem die Kontrolle übernommen wurde, führte die neue Eigentümeradresse eine Funktion namens „transferUserToken“ aus. Diese Funktion ermöglichte es der Adresse, alle verbleibenden USD Coins aus Wallets abzuziehen, die zuvor die Autorisierung für den Vertrag erteilt hatten. Insgesamt entnahm die Adresse 0x2b8F etwa 17.693 USD an USDC von Nutzern, bevor die gestohlenen Mittel in ETH umgetauscht wurden. Das neu umgewandelte ETH wurde später durch mehrere Cross-Chain-Transaktionen nach Arbitrum transferiert.
Empfehlungen von GoPlus Security
Aufgrund des Vorfalls empfahl GoPlus Security den Nutzern, die Wallets im Protokoll halten, alle laufenden Autorisierungen so schnell wie möglich zu widerrufen. Die Sicherheitsfirma erinnerte die Nutzer auch daran, zu überprüfen, ob die autorisierte Adresse die offizielle Adresse des Projekts ist, bevor sie Überweisungen genehmigen. Darüber hinaus werden die Nutzer ermutigt, nur den notwendigen Betrag zu autorisieren und niemals unbegrenzte Autorisierungen für Verträge zu erteilen. Insgesamt sollten sie regelmäßig Autorisierungen überprüfen und unnötige widerrufen.
Marktentwicklung und Sicherheitsanalyse
Der Hack ereignete sich nur wenige Tage, nachdem die x402-Transaktionen einen Boom in der Nutzung verzeichneten. Am 27. Oktober überschritt der Marktwert der x402-Token zum ersten Mal 800 Millionen USD. In der Zwischenzeit verzeichnete das x402-Protokoll von Coinbase 500.000 Transaktionen in einer einzigen Woche, was einem Anstieg von 10.780 % im Vergleich zum Vormonat entspricht. Das x402-Protokoll ermöglicht es sowohl Menschen als auch KI-Agenten, Transaktionen unter Verwendung des HTTP 402 Payment Required-Statuscodes durchzuführen, um sofortige, programmatische Zahlungen für APIs und digitale Inhalte zu ermöglichen.
On-Chain-Ermittler und Blockchain-Sicherheitsfirmen wie SlowMist haben festgestellt, dass der Vorfall höchstwahrscheinlich durch einen Leak des privaten Schlüssels verursacht wurde. Sie schlossen jedoch die Möglichkeit einer Insider-Beteiligung nicht aus. Aufgrund des Vorfalls hat das Projekt alle Aktivitäten eingestellt, und seine Website ist jetzt offline.
Reaktion des 402bridge-Teams
„Wir haben den Vorfall umgehend den Strafverfolgungsbehörden gemeldet und werden die Gemeinschaft mit zeitnahen Updates informieren, während die Untersuchung voranschreitet“, sagte 402bridge.
In einem separaten Beitrag, der zuvor geteilt wurde, erklärte das Protokoll, wie der x402-Mechanismus funktioniert. Er erfordert, dass die Nutzer Transaktionen über die Weboberfläche signieren oder genehmigen. Die Autorisierung wird dann an einen Backend-Server gesendet, der die Mittel extrahiert und die Token prägt.
„Wenn wir uns bei x402scan.com anmelden, müssen wir den privaten Schlüssel auf dem Server speichern, um Vertragsmethoden aufzurufen“, erklärte das Protokoll. „Dieser Schritt kann Admin-Rechte gefährden, da der Admin-private Schlüssel zu diesem Zeitpunkt mit dem Internet verbunden ist, was potenziell zu einem Leak von Berechtigungen führen kann“, fuhr das Team fort.
Wenn der private Schlüssel von einem Hacker gestohlen wird, kann dieser alle Admin-Rechte übernehmen und die Benutzerfonds auf den Vertrag des Hackers umleiten.
