La société de sécurité Web3 GoPlus Security a rapporté que le nouveau protocole inter-chaînes x402bridge a subi une vulnérabilité de sécurité, entraînant la perte de plus de 200 utilisateurs de USDC, pour un total d'environ 17 693 USD. Les détectives on-chain et la société de sécurité SlowMist ont tous deux confirmé que la vulnérabilité était probablement due à la fuite de la clé privée de l'administrateur, permettant aux attaquants d'obtenir des droits de gestion spéciaux sur le contrat. GoPlus Security a urgemment conseillé à tous les utilisateurs possédant un portefeuille sur ce protocole d'annuler dès que possible les autorisations en cours et a rappelé aux utilisateurs de ne jamais accorder d'autorisation illimitée au contrat. Cet incident a révélé le risque de sécurité potentiel que la clé privée stockée sur le serveur dans le mécanisme x402 pourrait entraîner une fuite des droits d'administrateur.
Nouveau protocole x402bridge attaqué : autorisation excessive exposant la sécurité des clés privées
Le protocole x402bridge a subi une attaque de sécurité quelques jours après son lancement on-chain, entraînant des pertes de fonds pour les utilisateurs. Le mécanisme de ce protocole exige que les utilisateurs obtiennent d'abord l'autorisation du contrat Owner avant de frapper des USDC. Dans cet incident, c'est précisément cette autorisation excessive qui a conduit au transfert de plus de 200 utilisateurs de stablecoins restants.
L'attaquant a utilisé une clé privée divulguée pour voler des USDC des utilisateurs.
Selon les observations de GoPlus Security, le processus d'attaque pointe clairement vers l'abus de privilèges :
- Transfert de droits : L'adresse du créateur (0xed1A a transféré tous les droits à l'adresse 0x2b8F, lui accordant des droits de gestion spéciaux détenus par l'équipe x402bridge, y compris la capacité de modifier des paramètres clés et de transférer des actifs.
- Exécution de fonctionnalités malveillantes : Après avoir pris le contrôle, l'adresse du nouveau propriétaire a immédiatement exécuté une fonction appelée “transferUserToken”, permettant à cette adresse de retirer les USD Coins restants de tous les portefeuilles précédemment autorisés à ce contrat.
- Perte et transfert de fonds : L'adresse 0x2b8F a volé un montant total d'environ 17,693 USD en USDC auprès des utilisateurs, puis a échangé le butin contre de l'Ethereum et a transféré les fonds sur le réseau Arbitrum via de multiples transactions inter-chaînes.
Origine de la vulnérabilité : Risque de stockage de clé privée dans le mécanisme x402
L'équipe de x402bridge a répondu à cet incident de vulnérabilité, confirmant que l'attaque était due à une fuite de Clé privée, entraînant le vol de plusieurs équipes de test et de Portefeuille principaux. Le projet a suspendu toutes les activités et fermé le site Web, et a signalé l'incident aux autorités.
- Risque du processus d'autorisation : Le protocole avait précédemment expliqué le fonctionnement de son mécanisme x402 : les utilisateurs signent ou approuvent les transactions via une interface web, et les informations d'autorisation sont envoyées au serveur backend, qui extrait ensuite des fonds et crée des jetons.
- Risque d'exposition de la clé privée : L'équipe admet : “Lorsque nous serons en ligne sur x402scan.com, nous devrons stocker la clé privée sur le serveur pour pouvoir appeler les méthodes de contrat.” Cette étape peut entraîner l'exposition de la clé privée de l'administrateur pendant la phase de connexion à Internet, ce qui pourrait provoquer une fuite de permissions. Une fois que la clé privée est volée, les hackers peuvent prendre le contrôle de tous les droits d'administrateur et redistribuer les fonds des utilisateurs.
Quelques jours avant cette attaque, l'utilisation du x402 a connu une forte augmentation. Le 27 octobre, la capitalisation boursière du token x402 a dépassé pour la première fois 800 millions de dollars, et le volume des transactions du protocole x402 sur les principales CEX a atteint 500 000 transactions en une semaine, avec une croissance de 10 780 %.
Conseils de sécurité : GoPlus appelle les utilisateurs à révoquer immédiatement l'autorisation
Étant donné la gravité de cette fuite, GoPlus Security recommande en urgence aux utilisateurs possédant un portefeuille sur ce protocole d'annuler immédiatement toute autorisation en cours. La société de sécurité rappelle également à tous les utilisateurs :
- Vérifiez l'adresse : Avant d'approuver tout transfert, vérifiez que l'adresse autorisée est l'adresse officielle du projet.
- Montant d'autorisation limité : Autorisez uniquement le montant nécessaire, ne donnez jamais une autorisation illimitée au contrat.
- Vérifications régulières : Vérifiez régulièrement et révoquez les autorisations inutiles.
Conclusion
L'incident de fuite de clé privée sur x402bridge a de nouveau tiré la sonnette d'alarme sur les risques que présentent les composants centralisés (comme le stockage de clés privées sur des serveurs) dans le domaine du Web3. Bien que le protocole x402 vise à réaliser des paiements de stablecoin instantanés et programmables en utilisant le code d'état HTTP 402 Payment Required, les vulnérabilités de sécurité dans son mécanisme de mise en œuvre doivent être corrigées immédiatement. Pour les utilisateurs, cette attaque est une leçon coûteuse, nous rappelant qu'il est essentiel de rester vigilant et de gérer avec prudence l'autorisation des portefeuilles lors de l'interaction avec tout protocole blockchain.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Président de la FDIC américaine : Selon la loi GENIUS, les stablecoins « n'ont absolument pas » droit à l'assurance-dépôts
Le président de la FDIC aux États-Unis a souligné qu'en vertu de la loi « GENIUS », les stablecoins (tels que USDT, USDC) ne bénéficient pas de l'assurance-dépôts de la FDIC, afin de clarifier leur distinction avec les dépôts bancaires traditionnels et d'éviter de tromper les investisseurs. De plus, bien que les banques puissent émettre des stablecoins, elles doivent respecter des exigences strictes en matière de réserves.
動區BlockTempoIl y a 1h
USDC Treasury a ajouté la création de 2,5 milliards de USDC sur la chaîne Solana
Selon Gate News, le 11 mars, d'après Whale Alert, l'émetteur de l'USDC, USDC Treasury, a créé 250 millions d'USDC supplémentaires sur la blockchain Solana.
GateNewsIl y a 2h
USDC et CCTP officiellement lancés sur le réseau Ethereum L2 Morph
USDC et le protocole de transfert inter-chaînes CCTP sont désormais disponibles sur le réseau Morph de l'Ethereum L2, prenant en charge les paiements, les transferts et les transactions DeFi. CCTP permet le transfert inter-chaînes de l'USDC entre Morph et d'autres blockchains, avec parmi les premiers partenaires intégrés un CEX, Bulba et Stargate.
GateNewsIl y a 6h
La vague des stablecoins, l'« IA agent financière » en soutien ! Bernstein prévoit que le cours de Circle va encore grimper de 60%
L'émetteur de la stablecoin USDC, Circle, a récemment vu son cours en bourse augmenter. Le rapport Bernstein prévoit qu'il pourrait encore augmenter de 60 % à l'avenir, avec un objectif de 190 dollars. La demande croissante pour les stablecoins et l'essor des applications financières basées sur l'IA sont les principaux moteurs de cette croissance. Le cours de Circle a déjà augmenté de plus de 100 % au cours des dernières semaines, tout en étendant continuellement son réseau de paiements, ce qui montre que le domaine d'application des stablecoins s'élargit. De plus, le volume des échanges de stablecoins a connu une croissance significative, indiquant un approfondissement de leur intégration avec la finance traditionnelle.
区块客Il y a 11h
Le cours de l'action Circle pourrait atteindre 190 dollars : extension de l'application de la stablecoin USDC, Wall Street favorable aux perspectives de paiement en dollar numérique
Les institutions de Wall Street sont optimistes quant aux perspectives de croissance à long terme de l'émetteur de stablecoins Circle, prévoyant une hausse d'environ 70 % de son cours et un objectif de prix proche de 190 dollars. L'analyse indique qu'avec l'expansion de l'utilisation des stablecoins dans les activités financières, le rôle de l'USDC dans l'écosystème mondial de paiement ne cesse de se renforcer. Par ailleurs, les caractéristiques programmables des stablecoins et le développement de la technologie AI pourraient stimuler la demande. Circle pourrait bénéficier de l'expansion du système de paiement en dollars numériques et devenir une composante essentielle du système financier mondial.
GateNewsIl y a 12h
Circle rencontre une intensification de la concurrence dans le domaine des stablecoins : Tether et Wall Street entrent en jeu, USDC pourra-t-il continuer à mener la course ?
Avec l'intensification de la concurrence sur le marché mondial des stablecoins, Circle fait face à des défis de la part de Tether et des institutions financières traditionnelles, mais ses avantages en matière de conformité, de coopération et de technologie restent prometteurs. Les études prévoient une hausse potentielle du cours de l'action de Circle, tandis que la tendance de croissance de l’USDC et l'augmentation des revenus sont rapides. Circle explore également la combinaison de l'IA et de la blockchain dans les scénarios de paiement, et le futur paysage concurrentiel dépendra de la capacité de conformité et de l'expansion du réseau de paiement.
GateNewsIl y a 12h
