Violazione della Sicurezza di 402bridge
GoPlus ha rilevato autorizzazioni insolite collegate a 402bridge, portando oltre 200 utenti a perdere USDC a causa di autorizzazioni eccessive effettuate dal protocollo. Il 28 ottobre, l’account sui social media cinesi della società di sicurezza web3 GoPlus Security ha avvisato gli utenti di una presunta violazione della sicurezza che coinvolge il protocollo cross-layer x402, x402bridge.
Dettagli dell’Hack
L’hack è avvenuto solo pochi giorni dopo il lancio del protocollo on-chain. Prima di coniare USDC (USD Coin), l’azione deve essere autorizzata dal contratto Owner. In questo caso, autorizzazioni eccessive hanno portato oltre 200 utenti a perdere i loro stablecoin rimanenti in una serie di trasferimenti.
GoPlus (GPS) ha notato che il creatore del contratto, il cui indirizzo inizia con 0xed1A, ha effettuato un trasferimento di proprietà all’indirizzo 0x2b8F, concedendo al nuovo indirizzo privilegi amministrativi speciali detenuti dal team di x402bridge, come la possibilità di modificare impostazioni chiave e spostare asset.
Poco dopo aver acquisito il controllo, il nuovo indirizzo proprietario ha eseguito una funzione chiamata “transferUserToken.” Questa funzione ha permesso all’indirizzo di drenare tutti i rimanenti USD Coin dai portafogli che avevano precedentemente concesso autorizzazione al contratto. In totale, l’indirizzo 0x2b8F ha drenato circa 17.693 dollari di USDC dagli utenti prima di scambiare i fondi rubati in ETH.
Raccomandazioni di Sicurezza
A seguito della violazione, GoPlus Security ha raccomandato agli utenti che detengono portafogli sul protocollo di annullare qualsiasi autorizzazione in corso il prima possibile. La società di sicurezza ha anche ricordato agli utenti di controllare se l’indirizzo autorizzato è quello ufficiale del progetto prima di approvare qualsiasi trasferimento. Inoltre, gli utenti sono incoraggiati a autorizzare solo l’importo necessario e a non concedere mai autorizzazioni illimitate ai contratti.
In generale, sono esortati a controllare regolarmente le autorizzazioni e a revocare quelle non necessarie.
Impatto sull’Utilizzo del Protocollo
L’hack si verifica solo pochi giorni dopo che le transazioni x402 hanno iniziato a vedere un boom nell’uso. Il 27 ottobre, il valore di mercato dei token x402 ha superato per la prima volta gli 800 milioni di dollari. Nel frattempo, il protocollo x402 di Coinbase ha registrato 500.000 transazioni in una sola settimana, indicando un aumento del 10.780% rispetto al mese precedente.
Il protocollo x402 consente sia agli esseri umani che agli agenti AI di effettuare transazioni utilizzando il codice di stato HTTP 402 Payment Required per abilitare pagamenti istantanei e programmabili per API e contenuti digitali.
Indagini e Risposte
Gli investigatori on-chain e le società di sicurezza blockchain come SlowMist hanno concluso che la violazione è stata probabilmente causata da una fuga di chiavi private. Tuttavia, non hanno escluso la possibilità di un coinvolgimento interno. A causa della violazione, il progetto ha sospeso tutte le attività e il suo sito web è attualmente offline.
“Abbiamo prontamente segnalato l’incidente alle autorità di polizia e terremo informata la comunità con aggiornamenti tempestivi man mano che l’indagine progredisce,” ha dichiarato 402bridge.
In un post separato condiviso in precedenza, il protocollo ha spiegato come funziona il meccanismo x402. Richiede agli utenti di firmare o approvare le transazioni tramite l’interfaccia web. L’autorizzazione viene quindi inviata a un server back-end che estrae i fondi e conia i token.
“Quando ci registriamo su x402scan.com, dobbiamo memorizzare la chiave privata sul server per poter chiamare i metodi del contratto,” ha affermato il protocollo. “Questo passaggio può esporre privilegi amministrativi perché la chiave privata dell’amministratore è connessa a Internet in questa fase, portando potenzialmente a una fuga di permessi,” ha continuato il team.
Di conseguenza, se la chiave privata viene rubata da un hacker, questi può prendere il controllo di tutti i privilegi amministrativi e riassegnare i fondi degli utenti al contratto dell’hacker.
