Анализ инцидента с атакой x402bridge: утечка закрытого ключа привела к ущербу более 200 пользователей, избыточные полномочия выявили риски.

Компания GoPlus Security, занимающаяся безопасностью в Web3, сообщила, что недавно запущенный кросс-уровневый протокол x402bridge стал жертвой уязвимости безопасности, что привело к потере более 200 пользователей USDC на общую сумму около 17,693 долларов США. Оба, блокчейн-детектив и компания по безопасности SlowMist, подтвердили, что наиболее вероятной причиной уязвимости является утечка закрытого ключа администратора, что дало злоумышленникам доступ к особым административным правам контракта. GoPlus Security настоятельно рекомендует всем пользователям, имеющим кошелек на этом протоколе, как можно скорее отменить действующие авторизации и напоминает пользователям никогда не предоставлять контрактам неограниченные полномочия. Этот инцидент выявил потенциальные риски безопасности в механизме x402, где хранение закрытых ключей на сервере может привести к утечке административных прав.

Новый протокол x402bridge подвергся атаке: избыточные полномочия раскрывают уязвимость безопасности закрытого ключа

Протокол x402bridge, спустя несколько дней после его запуска в блокчейне, столкнулся с атакой безопасности, что привело к потерям средств пользователей. Механизм этого протокола требует, чтобы пользователи сначала получили разрешение от контракта Owner перед созданием USDC. В этом инциденте именно это избыточное разрешение привело к тому, что стабильные монеты более чем 200 пользователей были переведены.

Нападающий использует скомпрометированный закрытый ключ для кражи пользователей USDC

Согласно наблюдениям GoPlus Security, процесс атаки ясно указывает на злоупотребление полномочиями:

• Передача прав: адрес создателя (0xed1A, начиная с ), передал право собственности адресу 0x2b8F, предоставив последнему специальные административные права, которые принадлежат команде x402bridge, включая возможность изменения ключевых настроек и передачи активов.
• Выполнение вредоносной функции: После получения контроля новый адрес владельца немедленно выполнил функцию под названием “transferUserToken”, что позволило этому адресу извлекать остатки USD Coins из всех ранее授权ованных этому контракту Кошелек.
• Потеря и перевод средств: адрес 0x2b8F украл у пользователя USDC на сумму около 17,693 USD, после чего обменял украденные средства на эфир и перевел их в сеть Arbitrum через несколько кросс-цепочных транзакций.

Корень уязвимости: Риски хранения закрытых ключей в механизме x402

Команда x402bridge отреагировала на этот инцидент с уязвимостью, подтвердив, что атака произошла из-за утечки Закрытого ключа, что привело к краже десятков тестовых и основных Кошелек. Проект приостановил все активные мероприятия и закрыл сайт, а также сообщил об этом в правоохранительные органы.

• Риски процесса авторизации: Протокол ранее объяснял принцип работы своего механизма x402: пользователи подписывают или одобряют транзакции через веб-интерфейс, информация об авторизации отправляется на сервер в бекенде, после чего сервер извлекает средства и создает токены.
• Риск раскрытия закрытого ключа: Команда призналась: “Когда мы запускаем на x402scan.com, нам необходимо хранить закрытый ключ на сервере для вызова методов контракта.” Этот шаг может привести к раскрытию закрытого ключа администратора на этапе подключения к Интернету, что может вызвать утечку полномочий. Как только закрытый ключ будет украден, хакеры смогут захватить все полномочия администратора и перераспределить средства пользователей.

За несколько дней до этого атаки использование токена x402 резко возросло. 27 октября рыночная капитализация токена x402 впервые преодолела 800 миллионов долларов, а объем торгов по протоколу x402 на основных CEX за неделю достиг 500 000 сделок, что составило рост на 10,780%.

Рекомендации по безопасности: GoPlus призывает пользователей немедленно отменить авторизацию

Учитывая серьезность этой утечки, GoPlus Security срочно рекомендует пользователям, имеющим Кошелек на данном Протоколе, немедленно отменить все текущие авторизации. Безопасная компания также напоминает всем пользователям:

1. Проверьте адрес: Перед тем, как одобрить любое перечисление, убедитесь, что авторизованный адрес является официальным адресом проекта.
2. Ограничение суммы авторизации: предоставляйте только необходимую сумму и не давайте контракту неограниченную авторизацию.
3. Регулярные проверки: Регулярно проверяйте и отменяйте ненужные авторизации.

Заключение

Инцидент с утечкой закрытого ключа x402bridge снова поднял вопрос о рисках, связанных с централизованными компонентами (такими как серверы, хранящие закрытые ключи), в области Web3. Несмотря на то, что протокол x402 направлен на реализацию мгновенных, программируемых платежей с использованием состояния HTTP 402 Payment Required для стабильной валюты, уязвимости в механизме реализации должны быть немедленно исправлены. Для пользователей эта атака стала дорогим уроком, напоминающим нам о необходимости оставаться бдительными и осторожно управлять авторизацией кошелька при взаимодействии с любыми протоколами в блокчейне.