Incident de sécurité lié à 402bridge
GoPlus a détecté des autorisations inhabituelles liées à 402bridge, entraînant la perte de plus de 200 utilisateurs de USDC en raison d’autorisations excessives accordées par le protocole. Le 28 octobre, le compte de médias sociaux chinois de la société de sécurité web3 GoPlus Security a alerté les utilisateurs d’une violation de sécurité suspectée impliquant le protocole cross-layer x402, x402bridge.
Détails de la violation
Ce piratage s’est produit quelques jours seulement après le lancement du protocole sur la chaîne. Avant qu’une action ne puisse être effectuée sur des USDC (USD Coin), celle-ci doit d’abord être autorisée par le contrat Owner. Dans ce cas, des autorisations excessives ont conduit à la perte des stablecoins restants de plus de 200 utilisateurs à travers une série de transferts.
GoPlus (GPS) a noté que le créateur du contrat, dont l’adresse commence par 0xed1A, a transféré la propriété à l’adresse 0x2b8F, accordant à cette nouvelle adresse des privilèges administratifs spéciaux détenus par l’équipe de x402bridge, tels que la capacité de modifier des paramètres clés et de déplacer des actifs.
Peu après avoir pris le contrôle, la nouvelle adresse propriétaire a exécuté une fonction appelée « transferUserToken ». Cette fonction a permis à l’adresse de vider tous les USD Coins restants des portefeuilles qui avaient précédemment accordé une autorisation au contrat. Au total, l’adresse 0x2b8F a drainé environ 17 693 $ de USDC des utilisateurs avant d’échanger les fonds volés contre de l’ETH.
Recommandations de sécurité
En raison de cette violation, GoPlus Security a recommandé aux utilisateurs détenant des portefeuilles sur le protocole d’annuler toute autorisation en cours dès que possible. La société de sécurité a également rappelé aux utilisateurs de vérifier si l’adresse autorisée est bien l’adresse officielle du projet avant d’approuver tout transfert.
De plus, les utilisateurs sont encouragés à n’autoriser que le montant nécessaire et à ne jamais accorder des autorisations illimitées aux contrats. Dans l’ensemble, ils sont invités à vérifier régulièrement les autorisations et à révoquer celles qui ne sont pas nécessaires.
Contexte et conséquences
Ce piratage survient quelques jours seulement après que les transactions x402 ont commencé à connaître un boom d’utilisation. Le 27 octobre, la valeur marchande des jetons x402 a dépassé 800 millions de dollars pour la première fois. Pendant ce temps, le protocole x402 de Coinbase a enregistré 500 000 transactions en une seule semaine, indiquant une augmentation de 10 780 % par rapport au mois précédent.
Les enquêteurs en chaîne et les entreprises de sécurité blockchain comme SlowMist ont conclu que la violation était probablement causée par une fuite de clé privée. Cependant, ils n’ont pas exclu la possibilité d’une implication interne. En raison de cette violation, le projet a suspendu toute activité et son site Web est désormais hors ligne.
« Nous avons rapidement signalé l’incident aux autorités judiciaires et tiendrons la communauté informée avec des mises à jour en temps opportun au fur et à mesure que l’enquête progresse », a déclaré 402bridge.
Fonctionnement du protocole x402
Dans un post séparé partagé plus tôt, le protocole a expliqué comment fonctionne le mécanisme x402. Il nécessite que les utilisateurs signent ou approuvent des transactions via l’interface web. L’autorisation est ensuite envoyée à un serveur back-end qui extrait les fonds et frappe les jetons.
« Lorsque nous nous connectons à x402scan.com, nous devons stocker la clé privée sur le serveur afin d’appeler les méthodes du contrat », a déclaré le protocole. « Cette étape peut exposer des privilèges administratifs, car la clé privée de l’administrateur est connectée à Internet à ce stade, ce qui peut potentiellement conduire à une fuite de permissions », a poursuivi l’équipe.
En conséquence, si la clé privée est volée par un hacker, celui-ci peut prendre le contrôle de tous les privilèges administratifs et réaffecter les fonds des utilisateurs au contrat du hacker.
