Аналіз інциденту атаки на x402bridge: витік закритого ключа призвів до шкоди для понад 200 користувачів, надмірне уповноваження виявило ризики.

Компанія з безпеки Web3 GoPlus Security повідомила, що новий крос-лінійний протокол x402bridge зазнав безпекової уразливості, внаслідок якої понад 200 користувачів втратили USDC, загалом близько 17,693 доларів США. У блокчейні детективи та безпекова компанія SlowMist підтвердили, що ця уразливість, найімовірніше, виникла внаслідок витоку закритого ключа адміністратора, що надало зловмисникам спеціальні управлінські права над контрактом. GoPlus Security терміново рекомендує всім користувачам, які мають гаманець на цьому протоколі, якнайшвидше скасувати активні дозволи та нагадує, що ніколи не слід надавати контрактам необмежені дозволи. Цей інцидент виявив потенційні ризики безпеки в механізмі x402, де зберігання закритого ключа на сервері може призвести до витоку адміністративних прав.

Новий протокол x402bridge зазнав атаки: надлишкова авторизація виявила небезпеку безпеки закритих ключів

Протокол x402bridge зазнав атаки безпеки через кілька днів після виходу в блокчейн, що призвело до втрати коштів користувачів. Механізм цього протоколу вимагає, щоб користувачі отримали авторизацію від контракту Owner перед карбуванням USDC. В даному випадку саме ця надмірна авторизація призвела до переміщення залишків стейблкоїнів понад 200 користувачів.

Зловмисники використовують витік закритого ключа для викрадення користувацького USDC

Згідно з спостереженнями GoPlus Security, процес атаки чітко вказує на зловживання повноваженнями:

• Передача прав: адрес творця (0xed1A починається з ) передав усі права адресі 0x2b8F, надавши останній спеціальні управлінські повноваження, які належать команді x402bridge, включаючи можливість змінювати ключові налаштування та передавати активи.
• Виконання шкідливої функції: Після отримання контролю нова адреса власника негайно виконала функцію під назвою “transferUserToken”, що дозволило цій адресі вилучити залишки USD Coins з усіх раніше авторизованих для цього контракту гаманців.
• Втрата та переведення коштів: Адреса 0x2b8F вкрала у користувача USDC на загальну суму близько 17,693 USD, після чого злочинні кошти були обміняні на ефіріум і через кілька крос-ланцюгових транзакцій були переведені в мережу Arbitrum.

Джерело вразливості: ризики зберігання закритого ключа в механізмі x402

Команда x402bridge вже відповіла на цю подію з вразливістю, підтвердивши, що атака сталася через витік Закритого ключа, що призвело до викрадення активів десятків команд, які тестували, та основних Гаманець. Проект призупинив усі активності та закрив сайт, а також повідомив правоохоронні органи.

• Ризики процесу авторизації: Протокол раніше пояснював принцип роботи свого механізму x402: користувачі підписують або затверджують транзакції через веб-інтерфейс, інформація про авторизацію надсилається на сервери, після чого сервери витягують кошти та карбують токени.
• Ризик витоку закритого ключа: Команда зізналася: “Коли ми запускаємося на x402scan. com, нам потрібно зберігати закритий ключ на сервері, щоб викликати методи контракту.” Цей етап може призвести до витоку закритого ключа адміністратора на етапі підключення до Інтернету, що може призвести до витоку прав. Як тільки закритий ключ буде вкрадений, хакер може взяти під контроль всі права адміністратора та перерозподілити кошти користувачів.

За кілька днів до цього нападу використання x402 транзакцій різко зросло, 27 жовтня ринкова капіталізація токенів x402 вперше перевищила 800 мільйонів доларів, обсяг транзакцій протоколу x402 на основних CEX за тиждень досяг 500 тисяч, зростання в порівнянні з попереднім періодом склало 10,780%.

Рекомендації з безпеки: GoPlus закликає користувачів терміново скасувати авторизацію

У зв'язку з серйозністю цього витоку, GoPlus Security терміново рекомендує користувачам, які мають гаманець на цьому протоколі, негайно скасувати всі активні авторизації. Безпекова компанія також нагадує всім користувачам:

1. Перевірте адресу: Перед затвердженням будь-якого переказу перевірте, чи авторизована адреса є офіційною адресою проекту.
2. Обмежена сума авторизації: авторизуйте лише необхідну суму, ніколи не надавайте контракту безмежну авторизацію.
3. Регулярна перевірка: Регулярно перевіряйте та скасовуйте непотрібні дозволи.

Висновок

Інцидент з витоком закритого ключа x402bridge знову сповістив про ризики, пов'язані з централізованими компонентами (наприклад, серверами, що зберігають закриті ключі) у сфері Web3. Незважаючи на те, що протокол x402 має на меті реалізувати миттєві та програмовані платежі стабільної валюти за допомогою статус-коду HTTP 402 Payment Required, вразливості безпеки в його механізмі реалізації повинні бути терміново виправлені. Для користувачів ця атака стала дорогоцінним уроком, що нагадує нам про необхідність залишатися пильними та обережними в управлінні авторизацією гаманець при взаємодії з будь-яким протоколом у блокчейні.