Обнаружение необычных авторизаций
Компания GoPlus обнаружила необычные авторизации, связанные с 402bridge, что привело к потере более 200 пользователей USDC из-за чрезмерных авторизаций, сделанных протоколом.
Предупреждение о нарушении безопасности
28 октября китайская социальная сеть компании GoPlus Security предупредила пользователей о подозрительном нарушении безопасности, связанном с кросс-слойным протоколом x402, x402bridge. Взлом произошел всего через несколько дней после запуска протокола в сети.
Механизм авторизации и последствия
Перед тем как создать USDC (USD Coin), действие должно быть сначала авторизовано контрактом владельца. В данном случае чрезмерные авторизации привели к тому, что более 200 пользователей потеряли свои оставшиеся стейблкоины в серии переводов.
GoPlus (GPS) отметила, что создатель контракта, начинающегося с 0xed1A, передал права собственности на адрес 0x2b8F, предоставив новому адресу специальные административные привилегии, удерживаемые командой x402bridge, такие как возможность изменять ключевые настройки и перемещать активы.
Вскоре после получения контроля новый адрес владельца выполнил функцию под названием «transferUserToken». Эта функция позволила адресу вывести все оставшиеся USD Coins из кошельков, которые ранее предоставили авторизацию контракту. В общей сложности адрес 0x2b8F вывел около $17,693 в виде USDC от пользователей, прежде чем обменять украденные средства на ETH.
Рекомендации по безопасности
В результате нарушения GoPlus Security рекомендовала пользователям, которые держат кошельки на протоколе, как можно скорее отменить все текущие авторизации.
Безопасная компания также напомнила пользователям проверить, является ли авторизованный адрес официальным адресом проекта, прежде чем одобрять какие-либо переводы. Кроме того, пользователям рекомендуется авторизовывать только необходимую сумму и никогда не предоставлять неограниченные авторизации контрактам. В целом, их призывают регулярно проверять авторизации и отменять ненужные.
Рост использования протокола x402
Взлом произошел всего через несколько дней после того, как транзакции x402 начали наблюдать бум в использовании. 27 октября рыночная стоимость токенов x402 впервые превысила $800 миллионов. Тем временем протокол x402 от Coinbase зафиксировал 500,000 транзакций за одну неделю, что указывает на увеличение на 10,780% по сравнению с предыдущим месяцем.
Причины нарушения и расследование
Аналитики блокчейна и компании по безопасности, такие как SlowMist, пришли к выводу, что нарушение, скорее всего, было вызвано утечкой приватного ключа. Однако они не исключили возможность участия инсайдеров. В связи с нарушением проект приостановил всю деятельность, и его веб-сайт сейчас недоступен.
Официальный аккаунт 402bridge с тех пор прокомментировал взлом, подтвердив, что он действительно был вызван утечкой приватного ключа, что привело к компрометации более дюжины тестовых кошельков команды и основных кошельков на протоколе.
Команда в настоящее время расследует инцидент и сообщила об этом властям. «Мы незамедлительно сообщили о происшествии правоохранительным органам и будем держать сообщество в курсе своевременных обновлений по мере продвижения расследования», — сказал 402bridge.
Объяснение механизма x402
В отдельном посте, который был опубликован ранее, протокол объяснил, как работает механизм x402. Он требует от пользователей подписывать или одобрять транзакции через веб-интерфейс. Затем авторизация отправляется на сервер, который извлекает средства и создает токены.
«Когда мы подключаемся к x402scan.com, нам нужно хранить приватный ключ на сервере, чтобы вызывать методы контракта. Этот шаг может подвергнуть риску административные привилегии, поскольку административный приватный ключ на этом этапе подключен к интернету, что потенциально может привести к утечке разрешений», — продолжила команда.
В результате, если приватный ключ будет украден хакером, он сможет захватить все административные привилегии и переназначить средства пользователей на контракт хакера.
