Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
Hot
Achetez et vendez des cryptomonnaies via Apple Pay, cartes bancaires, Google Pay, virements bancaires et d'autres méthodes de paiement.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Carte Gate
Carte de paiement crypto, permettant d'effectuer des transactions mondiales en toute transparence.
Marchés
Trader
Basique
Avancé
Futures
Futures
Des centaines de contrats réglés en USDT ou en BTC
TradFi
Or
Tradez des actifs traditionnels mondiaux avec des USDT en un seul endroit
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Lancement Futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez à des événements pour gagner de généreuses récompenses
Trading démo
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
Tradez des actifs on-chain et profitez des récompenses en airdrop !
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Communauté
Square
Partagez votre message et restez informé sur les crypto et au-delà
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Actualités
Ce qu'il se passe dans le monde de la crypto
Plus
Promotions
Autres
TradFi
giveaways
Centre de récompenses

Analyse de l'incident d'attaque x402bridge : Clé privée divulguée entraînant des dommages pour plus de 200 utilisateurs, autorisation excessive exposant des risques.

MarketWhisper
USDC news
ETH-2,97%

La société de sécurité Web3 GoPlus Security a rapporté que le nouveau protocole inter-chaînes x402bridge a subi une vulnérabilité de sécurité, entraînant la perte de plus de 200 utilisateurs de USDC, pour un total d'environ 17 693 USD. Les détectives on-chain et la société de sécurité SlowMist ont tous deux confirmé que la vulnérabilité était probablement due à la fuite de la clé privée de l'administrateur, permettant aux attaquants d'obtenir des droits de gestion spéciaux sur le contrat. GoPlus Security a urgemment conseillé à tous les utilisateurs possédant un portefeuille sur ce protocole d'annuler dès que possible les autorisations en cours et a rappelé aux utilisateurs de ne jamais accorder d'autorisation illimitée au contrat. Cet incident a révélé le risque de sécurité potentiel que la clé privée stockée sur le serveur dans le mécanisme x402 pourrait entraîner une fuite des droits d'administrateur.

Nouveau protocole x402bridge attaqué : autorisation excessive exposant la sécurité des clés privées

Le protocole x402bridge a subi une attaque de sécurité quelques jours après son lancement on-chain, entraînant des pertes de fonds pour les utilisateurs. Le mécanisme de ce protocole exige que les utilisateurs obtiennent d'abord l'autorisation du contrat Owner avant de frapper des USDC. Dans cet incident, c'est précisément cette autorisation excessive qui a conduit au transfert de plus de 200 utilisateurs de stablecoins restants.

L'attaquant a utilisé une clé privée divulguée pour voler des USDC des utilisateurs.

Selon les observations de GoPlus Security, le processus d'attaque pointe clairement vers l'abus de privilèges :

  • Transfert de droits : L'adresse du créateur (0xed1A a transféré tous les droits à l'adresse 0x2b8F, lui accordant des droits de gestion spéciaux détenus par l'équipe x402bridge, y compris la capacité de modifier des paramètres clés et de transférer des actifs.
  • Exécution de fonctionnalités malveillantes : Après avoir pris le contrôle, l'adresse du nouveau propriétaire a immédiatement exécuté une fonction appelée “transferUserToken”, permettant à cette adresse de retirer les USD Coins restants de tous les portefeuilles précédemment autorisés à ce contrat.
  • Perte et transfert de fonds : L'adresse 0x2b8F a volé un montant total d'environ 17,693 USD en USDC auprès des utilisateurs, puis a échangé le butin contre de l'Ethereum et a transféré les fonds sur le réseau Arbitrum via de multiples transactions inter-chaînes.

Origine de la vulnérabilité : Risque de stockage de clé privée dans le mécanisme x402

L'équipe de x402bridge a répondu à cet incident de vulnérabilité, confirmant que l'attaque était due à une fuite de Clé privée, entraînant le vol de plusieurs équipes de test et de Portefeuille principaux. Le projet a suspendu toutes les activités et fermé le site Web, et a signalé l'incident aux autorités.

  • Risque du processus d'autorisation : Le protocole avait précédemment expliqué le fonctionnement de son mécanisme x402 : les utilisateurs signent ou approuvent les transactions via une interface web, et les informations d'autorisation sont envoyées au serveur backend, qui extrait ensuite des fonds et crée des jetons.
  • Risque d'exposition de la clé privée : L'équipe admet : “Lorsque nous serons en ligne sur x402scan.com, nous devrons stocker la clé privée sur le serveur pour pouvoir appeler les méthodes de contrat.” Cette étape peut entraîner l'exposition de la clé privée de l'administrateur pendant la phase de connexion à Internet, ce qui pourrait provoquer une fuite de permissions. Une fois que la clé privée est volée, les hackers peuvent prendre le contrôle de tous les droits d'administrateur et redistribuer les fonds des utilisateurs.

Quelques jours avant cette attaque, l'utilisation du x402 a connu une forte augmentation. Le 27 octobre, la capitalisation boursière du token x402 a dépassé pour la première fois 800 millions de dollars, et le volume des transactions du protocole x402 sur les principales CEX a atteint 500 000 transactions en une semaine, avec une croissance de 10 780 %.

Conseils de sécurité : GoPlus appelle les utilisateurs à révoquer immédiatement l'autorisation

Étant donné la gravité de cette fuite, GoPlus Security recommande en urgence aux utilisateurs possédant un portefeuille sur ce protocole d'annuler immédiatement toute autorisation en cours. La société de sécurité rappelle également à tous les utilisateurs :

  1. Vérifiez l'adresse : Avant d'approuver tout transfert, vérifiez que l'adresse autorisée est l'adresse officielle du projet.
  2. Montant d'autorisation limité : Autorisez uniquement le montant nécessaire, ne donnez jamais une autorisation illimitée au contrat.
  3. Vérifications régulières : Vérifiez régulièrement et révoquez les autorisations inutiles.

Conclusion

L'incident de fuite de clé privée sur x402bridge a de nouveau tiré la sonnette d'alarme sur les risques que présentent les composants centralisés (comme le stockage de clés privées sur des serveurs) dans le domaine du Web3. Bien que le protocole x402 vise à réaliser des paiements de stablecoin instantanés et programmables en utilisant le code d'état HTTP 402 Payment Required, les vulnérabilités de sécurité dans son mécanisme de mise en œuvre doivent être corrigées immédiatement. Pour les utilisateurs, cette attaque est une leçon coûteuse, nous rappelant qu'il est essentiel de rester vigilant et de gérer avec prudence l'autorisation des portefeuilles lors de l'interaction avec tout protocole blockchain.

Voir l'original
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.

Articles similaires

Huang Licheng a de nouveau déposé 245 000 USDC sur Hyperliquid pour continuer à prendre des positions longues

USDC newsFlux de capitaux

PANews 24 février : Selon la surveillance de Lookonchain, chaque fois que Maji Gege Huang Licheng est liquidé jusqu'à presque zéro, il dépose plus de fonds sur Hyperliquid pour continuer à prendre des positions longues. Il vient de déposer à nouveau 245 000 USDC sur Hyperliquid.

GateNewsBotIl y a 10m

La baleine "0x4A2" dépose un supplémentaire $2M USDC dans HyperLiquid, étend ses positions longues en ETH et SOL

ethereum newsUSDC newsDonnées sur les produits dérivés

Message du bot Gate News, l'adresse whale "0x4A2" a déposé un million USDC supplémentaire sur la plateforme HyperLiquid, augmentant encore ses positions longues à effet de levier 20x en ETH et SOL. Selon Onchain Lens, la whale détient actuellement une position longue ETH 20x d'une valeur de 11,14 millions de dollars et continue de

GateNewsBotIl y a 1h

Une baleine a déposé 2 millions d'USDC sur Hyperliquid pour augmenter ses positions longues en ETH et SOL.

ethereum newssolana newsUSDC newsDonnées sur les produits dérivés

Odaily Planet Daily rapporte que, selon la surveillance d'Onchain Lens, une baleine a déposé 2 millions d'USDC sur Hyperliquid pour augmenter ses positions longues en ETH et SOL avec un effet de levier de 20 fois. Actuellement, cette baleine affiche une perte flottante de 1 million de dollars, avec une perte totale dépassant 8 millions de dollars.

GateNewsBotIl y a 1h

La baleine 0xcd6b dépose 7,35 millions de dollars USDC sur Hyperliquid pour des positions longues sur NVDA et SNDK

USDC news

Message du bot Gate News, l'adresse Whale 0xcd6b a déposé 7,35 millions d'USDC dans Hyperliquid pour établir des positions longues sur les actions NVDA et SNDK. La baleine détient actuellement 61 951 xyz:NVDA d'une valeur de 11,94 millions de dollars et 2 920 xyz:SNDK d'une valeur de $2 millions dans des positions longues. De plus, une ordre limite pour 40,7

GateNewsBotIl y a 5h

Sur la base de la technologie de recharge automatique des robots développée conjointement par OpenMind et Circle, la Fondation FABRIC poursuivra la promotion du déploiement à grande échelle de l'économie robotique et des agents intelligents dans deux grandes directions

USDC newsProgression du projetPartenariats & Écosystème

OpenMind et Circle collaborent pour lancer la première infrastructure de paiement au monde conçue pour les agents autonomes intelligents et l'IA du monde réel, permettant aux robots d'effectuer des paiements autonomes dans le monde physique. La fondation FABRIC accélérera la concrétisation de l'ère de l'économie machine, en favorisant le robot en tant que sujet économique autonome.

GateNewsBotIl y a 7h

HYPE a subi une perte flottante maximale de 17,47 millions de dollars pour ses positions longues, en déposant 2,4 millions de USDC pour éviter la liquidation

USDC newsActualités crypto quotidiennesDonnées sur les produits dérivés

Odaily Planet Daily rapporte que, selon Onchain Lens, la plus grande adresse longue HYPE (0x082e) détient 1,38 million de HYPE (d'une valeur de 35,9 millions de dollars) en position longue. Actuellement, cette position est en perte de 17,47 millions de dollars. Cette adresse a déposé aujourd'hui 2 millions de USDC sur Hyperliquid pour éviter la liquidation, et son prix de liquidation a été réduit à 23,91 dollars.

GateNewsBotIl y a 12h
Commentaire
0/400
Aucun commentaire
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • À propos de nousCarrièresSalle de presseSponsor de Oracle Red Bull Racing Partenaire officiel sur la manche du maillot de l’Inter de MilanConsulter les clauses contractuellesAvertissement Consulter les clauses contractuelles et notre Politique de confidentialitéPolitique des cookiesKit médiaPreuve de réservesLicenceSécuritéGateToken (GT)GUSDGate ChainÉvènements de GateApplication de la loiSommetsGate Ventures
    P2PConversion & Trading en blocs Trading spotMargeCentre EarnETFFuturesTradFiActionsAlphaNFTGate PayGate LifeCarte cadeauGate OTCGate CharityBoutique GateWeb3Gate Perp DEXGate Vault
    Avantages VIPInstitutionnelCommentaires des utilisateursAnnoncesFraisAideEnvoyer une demandeListingVérifiez la sécurité d'un smart contractDéveloppeursRecherche de vérificationApplication pour les marchands P2PProgramme d'affiliationTradingViewCalendrier CryptoSolution Cross-Chain de
    Gate LearnCours cryptoGlossaire des cryptomonnaiesCours des cryptomonnaiesBig DataHalving du BitcoinMise à niveau d’Ethereum (ETH)Wiki cryptoCalculateur crypto