Incidente de Seguridad en 402bridge
GoPlus ha detectado autorizaciones inusuales vinculadas a 402bridge, lo que ha llevado a que más de 200 usuarios pierdan USDC debido a autorizaciones excesivas realizadas por el protocolo. El 28 de octubre, la cuenta de redes sociales chinas de la empresa de seguridad web3 GoPlus Security alertó a los usuarios sobre una posible violación de seguridad que involucraba el protocolo de capa cruzada x402, conocido como x402bridge. El hackeo ocurrió solo unos días después de que el protocolo se lanzara en la cadena.
Detalles del Hackeo
Antes de acuñar USDC, la acción debe ser autorizada primero por el contrato Owner. En este caso, las autorizaciones excesivas llevaron a que más de 200 usuarios perdieran sus stablecoins restantes en una serie de transferencias. GoPlus (GPS) señaló que el creador del contrato, que comienza con 0xed1A, realizó una transferencia de propiedad a la dirección 0x2b8F, otorgando a la nueva dirección privilegios administrativos especiales que mantenía el equipo de x402bridge, como la capacidad de modificar configuraciones clave y mover activos.
Poco después de obtener el control, la nueva dirección propietaria ejecutó una función llamada “transferUserToken”. Esta función permitió a la dirección drenar todos los USD Coins restantes de las billeteras que previamente habían otorgado autorización al contrato. En total, la dirección 0x2b8F drenó aproximadamente $17,693 en USDC de los usuarios antes de intercambiar los fondos robados por ETH. El ETH recién convertido fue posteriormente transferido a Arbitrum a través de múltiples transacciones entre cadenas.
Recomendaciones de Seguridad
Como resultado de la violación, GoPlus Security recomendó a los usuarios que poseen billeteras en el protocolo cancelar cualquier autorización en curso lo antes posible. La firma de seguridad también recordó a los usuarios que verifiquen si la dirección autorizada es la dirección oficial del proyecto antes de aprobar cualquier transferencia. Además, se alienta a los usuarios a autorizar solo la cantidad necesaria y nunca otorgar autorizaciones ilimitadas a contratos. En general, se les insta a revisar regularmente las autorizaciones y revocar las innecesarias.
Aumento en el Uso de x402
El hackeo ocurre solo unos días después de que las transacciones de x402 comenzaran a ver un auge en el uso. El 27 de octubre, el valor de mercado de los tokens x402 superó los $800 millones por primera vez. Mientras tanto, el protocolo x402 de Coinbase registró 500,000 transacciones en una sola semana, lo que indica un aumento del 10,780% en comparación con el mes anterior.
El protocolo x402 permite tanto a humanos como a agentes de IA realizar transacciones utilizando el código de estado HTTP 402 Payment Required para habilitar pagos instantáneos y programáticos para APIs y contenido digital. Esto significa que pueden realizar pagos instantáneos en stablecoins a través de HTTP.
Investigación y Respuesta
Los investigadores de la cadena y las firmas de seguridad blockchain como SlowMist han concluido que la violación fue probablemente causada por una filtración de clave privada. Sin embargo, no descartaron la posibilidad de participación interna. Debido a la violación, el proyecto ha detenido toda actividad y su sitio web ahora está fuera de línea. La cuenta oficial de 402bridge ha abordado desde entonces la explotación, confirmando que fue causada por una filtración de clave privada que llevó a que más de una docena de billeteras de prueba del equipo y billeteras principales en el protocolo se comprometieran en el proceso.
El equipo está actualmente investigando el incidente y lo ha reportado a las autoridades.
“Hemos informado rápidamente del incidente a las autoridades policiales y mantendremos a la comunidad informada con actualizaciones oportunas a medida que avance la investigación”,
dijo 402bridge.
Funcionamiento del Mecanismo x402
En una publicación separada que se compartió anteriormente, el protocolo explicó cómo funciona el mecanismo x402. Requiere que los usuarios firmen o aprueben transacciones a través de la interfaz web. La autorización se envía a un servidor de back-end que extrae los fondos y acuña los tokens.
“Cuando nos registramos en x402scan.com, necesitamos almacenar la clave privada en el servidor para poder llamar a los métodos del contrato”,
dijo el protocolo.
“Este paso puede exponer privilegios de administrador porque la clave privada del administrador está conectada a Internet en esta etapa, lo que puede llevar a una filtración de permisos”,
continuó el equipo. Como resultado, si un hacker roba la clave privada, podrá tomar el control de todos los privilegios de administrador y reasignar los fondos de los usuarios al contrato del hacker.
