Compra criptomonedas
Pagar con
USD
USD
Compra y venta
Hot
Compra y vende criptomonedas a travésde Apple Pay, tarjetas, Google Pay, transferencias bancarias y más
P2P
0 Fees
¡Cero tarifas, más de 400 opciones de pago y compra y venta de criptomonedas sin complicaciones!
Gate Card
Tarjeta de pago con criptomonedas que permite efectuar transacciones internacionales fácilmente
Mercados
Operar
Básico
Avanzado
Futuros
Futuros
Cientos de contratos liquidados en USDT o BTC
TradFi
Oro
Opera con activos tradicionales globales con USDT en un solo lugar
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Comienzo del trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Participa en eventos para ganar generosas recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Earn
Lanzamiento
CandyDrop
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Launchpad
Anticípate a los demás en el próximo gran proyecto de tokens
Puntos Alpha
¡Opera con activos on-chain y recibe recompensas por airdrop!
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Comunidad
Square
Comparte tu publicación y mantente al tanto de las criptomonedas y mucho más
En vivo
moments live
Análisis del mercado de criptomonedas en tiempo real
Chat
Chatea con traders de criptomonedas
Noticias
Lo que está ocurriendo en el mundo de las criptomonedas
Más
Promociones
Otros
TradFi
giveaways
Centro de Recompensas

Análisis del incidente de ataque de x402bridge: la filtración de la llave privada causó daños a más de 200 usuarios, la autorización excesiva expone riesgos.

MarketWhisper
USDC news
ETH-2,97%

La empresa de seguridad Web3 GoPlus Security informó que el nuevo protocolo de capa cruzada x402bridge sufrió una vulnerabilidad de seguridad, lo que resultó en pérdidas para más de 200 usuarios de USDC, totalizando aproximadamente 17,693 dólares. Los investigadores en cadena y la empresa de seguridad SlowMist confirmaron que la vulnerabilidad fue probablemente causada por la filtración de la llave privada del administrador, lo que permitió a los atacantes obtener permisos especiales de gestión del contrato. GoPlus Security ha aconsejado urgentemente a todos los usuarios con billeteras en este protocolo que cancelen las autorizaciones en curso lo antes posible y les recuerda que nunca deben otorgar autorizaciones ilimitadas a los contratos. Este incidente expone los riesgos de seguridad potenciales en el mecanismo x402, donde la llave privada almacenada en el servidor puede llevar a la filtración de permisos de administrador.

Nuevo protocolo x402bridge atacado: autorización excesiva expone vulnerabilidades de seguridad de la llave privada

El protocolo x402bridge sufrió un ataque de seguridad unos días después de su lanzamiento en la cadena, lo que provocó pérdidas de fondos para los usuarios. El mecanismo de este protocolo requiere que los usuarios obtengan autorización del contrato Owner antes de acuñar USDC. En este evento, fue esta autorización excesiva la que llevó a la transferencia de los stablecoins restantes de más de 200 usuarios.

El atacante utiliza una llave privada filtrada para robar USDC de los usuarios

Según la observación de GoPlus Security, el proceso de ataque apunta claramente al abuso de permisos:

  • Transferencia de permisos: La dirección del creador (0xed1A con el inicio ) ha transferido la propiedad a la dirección 0x2b8F, otorgando a esta última permisos especiales de gestión, que son poseídos por el equipo de x402bridge, incluyendo la capacidad de modificar configuraciones clave y transferir activos.
  • Ejecución de funciones maliciosas: Después de obtener el control, la nueva dirección del propietario ejecutó inmediatamente una función llamada “transferUserToken”, lo que permitió que dicha dirección extrajera los USD Coins restantes de todas las billeteras que habían sido autorizadas previamente a ese contrato.
  • Pérdida y transferencia de fondos: La dirección 0x2b8F robó un total de aproximadamente 17,693 USD de USDC de los usuarios, luego cambió los fondos robados por Ethereum y los transfirió a la red Arbitrum a través de múltiples transacciones entre cadenas.

Origen de la vulnerabilidad: riesgo de almacenamiento de llaves privadas en el mecanismo x402

El equipo de x402bridge ha respondido a este incidente de vulnerabilidad, confirmando que el ataque fue causado por la filtración de la Llave privada, lo que resultó en el robo de varias billeteras y equipos de pruebas. El proyecto ha suspendido todas las actividades y cerrado el sitio web, y ha informado a las autoridades.

  • Riesgo del proceso de autorización: El protocolo anteriormente explicó el funcionamiento de su mecanismo x402: los usuarios firman o aprueban transacciones a través de la interfaz web, la información de autorización se envía al servidor backend, que luego extrae los fondos y acuña tokens.
  • Riesgo de exposición de la llave privada: El equipo admite: “Cuando lancemos en x402scan.com, necesitamos almacenar la llave privada en el servidor para poder llamar a los métodos del contrato.” Este paso puede llevar a que la llave privada del administrador se exponga en la fase de conexión a Internet, lo que podría causar una filtración de permisos. Una vez que la llave privada es robada, los hackers pueden tomar el control de todos los permisos del administrador y redistribuir los fondos de los usuarios.

Días antes de que ocurriera este ataque, el uso del token x402 había experimentado un aumento repentino. El 27 de octubre, la capitalización de mercado del token x402 superó por primera vez los 800 millones de dólares, y el volumen de transacciones del protocolo x402 en las principales CEX alcanzó las 500,000 transacciones en una semana, con un crecimiento interanual del 10,780%.

Sugerencias de seguridad: GoPlus insta a los usuarios a revocar la autorización de inmediato

Dada la gravedad de la filtración, GoPlus Security recomienda urgentemente a los usuarios que poseen Billetera en este protocolo que cancelen de inmediato cualquier autorización en curso. La empresa de seguridad también advierte a todos los usuarios:

  1. Verificar la dirección: Antes de aprobar cualquier transferencia, verifique si la dirección autorizada es la dirección oficial del proyecto.
  2. Monto de autorización restringido: solo autorice la cantidad necesaria, no otorgue autorización ilimitada al contrato.
  3. Inspección regular: Inspeccione regularmente y revoque las autorizaciones innecesarias.

Conclusión

El incidente de x402bridge que sufrió un ataque de filtración de llaves privadas vuelve a sonar la alarma sobre los riesgos que conllevan los componentes centralizados (como el almacenamiento de llaves privadas en servidores) en el ámbito de Web3. Aunque el protocolo x402 tiene como objetivo utilizar el código de estado HTTP 402 Payment Required para implementar pagos instantáneos y programables en stablecoins, las vulnerabilidades de seguridad en su mecanismo de implementación deben ser reparadas de inmediato. Para los usuarios, este ataque es una lección costosa, que nos recuerda que al interactuar con cualquier protocolo de blockchain, debemos mantenernos siempre alerta y gestionar con cuidado la autorización de la billetera.

Ver originales
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el Aviso legal.

Artículos relacionados

Huang Licheng vuelve a depositar 245,000 USDC en Hyperliquid para continuar en posición larga

USDC newsFlujo de capital

PANews 24 de febrero de 2024: Según la monitorización de Lookonchain, cada vez que el hermano Magi, Huang Licheng, es liquidado hasta casi cero, él deposita más fondos en Hyperliquid para seguir haciendo long. Recientemente, volvió a depositar 245,000 USDC en Hyperliquid.

GateNewsBotHace6m

La ballena "0x4A2" deposita un adicional de $2M USDC en HyperLiquid, amplía posiciones largas en ETH y SOL

ethereum newsUSDC newsDatos sobre derivados

Mensaje del bot de Gate News, la dirección de la ballena "0x4A2" depositó un adicional de $2 millones de USDC en la plataforma HyperLiquid, aumentando aún más sus posiciones largas apalancadas en 20x en ETH y SOL. Según Onchain Lens, la ballena actualmente mantiene una posición larga en ETH 20x valorada en $11.14 millones y continúa

GateNewsBothace1h

Una ballena depositó 2 millones de USDC en Hyperliquid para aumentar las posiciones largas de ETH y SOL.

ethereum newssolana newsUSDC newsDatos sobre derivados

Odaily Planet Daily informa que, según la monitorización de Onchain Lens, una ballena depositó 2 millones de USDC en Hyperliquid para aumentar sus posiciones largas en ETH y SOL con un apalancamiento de 20 veces. Actualmente, la pérdida flotante de esa ballena es de 1 millón de dólares, con una pérdida total que supera los 8 millones de dólares.

GateNewsBothace1h

La ballena 0xcd6b deposita $7.35M USDC en Hyperliquid para posiciones largas en NVDA y SNDK

USDC news

Mensaje del bot de Gate News, la dirección de la ballena 0xcd6b depositó 7.35 millones de USDC en Hyperliquid para establecer posiciones largas en las acciones NVDA y SNDK. La ballena actualmente posee 61,951 xyz:NVDA valorados en $11.94 millones y 2,920 xyz:SNDK por $2 millones en posiciones largas. Además, una orden limitada para 40,7

GateNewsBothace5h

Sobre la base de la tecnología de carga automática de robots desarrollada conjuntamente por OpenMind y Circle, la Fundación FABRIC impulsará aún más el despliegue a gran escala de la economía de máquinas y agentes inteligentes en dos grandes direcciones

USDC newsAvance del proyectoAsociaciones y ecosistema

OpenMind y Circle colaboran para lanzar la primera infraestructura de pagos del mundo diseñada para agentes inteligentes autónomos y AI en el mundo real, logrando que los robots realicen pagos autónomos en el mundo físico. La Fundación FABRIC acelerará la implementación de la era de la economía de máquinas, impulsando a los robots a convertirse en sujetos económicos autónomos.

GateNewsBothace6h

La mayor pérdida flotante de los largos en HYPE fue de 17,47 millones de dólares, y se depositaron 2,4 millones de USDC para evitar la liquidación.

USDC newsNoticias cripto diariasDatos sobre derivados

Odaily Planet Daily informó que, según Onchain Lens, la dirección de mayor posición larga de HYPE (0x082e) posee 1.38 millones de HYPE (valorados en 35.9 millones de dólares). Actualmente, su posición larga tiene una pérdida flotante de 17.47 millones de dólares. Esta dirección depositó hoy 2 millones de USDC en Hyperliquid para evitar ser liquidada, y su precio de liquidación ha bajado a 23.91 dólares.

GateNewsBothace12h
Comentar
0/400
Sin comentarios
Opera con criptomonedas en cualquier momento y lugar
qrCode
Escanea para descargar la aplicación de Gate
Comunidad
Español
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Acerca de nosotrosEmpleoSala de prensaPatrocinador de Oracle Red Bull RacingSocio oficial del Inter de MilánAcuerdo de usuarioAdvertencia de riesgosPolítica de privacidadPolítica de cookiesKit de mediosPrueba de ReservasLicenciaSeguridadGateToken (GT)GUSDGate ChainEventos de GateAplicación de la leyCumbresGate Ventures
    P2PConversión y trading en bloquesTrading de spotMargenCentro EarnETFFuturosTradFiAccionesAlphaNFTGate PayGate LifeTarjeta de regaloGate OTCGate CharityTienda GateWeb3Gate Perp DEXGate Vault
    Ventajas VIPInstitucionalComentarios de los usuariosAnuncioTarifasAyudaEnviar una solicitudListadoSeguridad de los contratos inteligentesDesarrolladoresBúsqueda de verificaciónSolicitud de comerciante P2PPrograma de afiliadosTradingViewCalendario criptoSolución de interoperabilidad de Gate
    Gate LearnCursos de criptomonedasGlosario sobre criptomonedasPrecios de criptomonedasMacrodatosReducción a la mitad del bitcoinActualización de Ethereum (ETH)CriptopediaCalculadora cripto