Web3 安全公司 GoPlus Security 報告稱,新推出的跨層協議 x402bridge 遭受安全漏洞,導致超過 200 名用戶 損失了 USDC,總計約 17,693 美元。鏈上偵探和安全公司 SlowMist 均確認,該漏洞最可能由管理員私鑰泄露所致,使攻擊者獲得了合約的特殊管理權限。GoPlus Security 緊急建議所有在該協議上擁有錢包的用戶盡快取消正在進行的授權,並提醒用戶永遠不要向合約授予無限授權。此次事件暴露了 x402 機制中,服務器存儲的私鑰可能導致管理員權限泄露的潛在安全風險。
新協議 x402bridge 遭攻擊:超額授權暴露私鑰安全隱患
x402bridge 協議在上線鏈上幾天後,就遭遇了一次安全攻擊,導致用戶資金損失。該協議的機制要求用戶在鑄造 USDC 前,必須先由 Owner 合約進行授權。在本次事件中,正是這種超額授權導致了超過 200 名用戶剩餘的穩定幣被轉移。
攻擊者利用泄露私鑰竊取用戶 USDC
根據 GoPlus Security 的觀察,攻擊流程清晰地指向了 權限濫用:
- 權限轉移: 創建者地址 (0xed1A 開頭) 將所有權轉移給了地址 0x2b8F,授予了後者由 x402bridge 團隊持有的特殊 管理權限,包括修改關鍵設置和轉移資產的能力。
- 執行惡意功能: 在獲得控制權後,新所有者地址立即執行了一個名爲 “transferUserToken” 的功能,使得該地址能夠從所有此前授權給該合約的錢包中,提取剩餘的 USD Coins。
- 資金損失與轉移: 地址 0x2b8F 總共從用戶處竊取了價值約 17,693 美元 的 USDC,隨後將贓款兌換成以太坊,並通過多次跨鏈交易轉移到 Arbitrum 網路。
漏洞根源:x402 機制中的私鑰存儲風險
x402bridge 團隊已對此次漏洞事件進行了回應,確認攻擊是由於 私鑰泄露 導致的,使得十幾個團隊測試和主要錢包被盜用。該項目已暫停所有活動並關閉網站,並已向執法部門報告。
- 授權流程風險: 協議此前曾解釋其 x402 機制 的工作原理:用戶通過網頁界面籤名或批準交易,授權信息被發送到 後端服務器,服務器隨後提取資金並鑄造代幣。
- 私鑰暴露風險: 團隊坦言:“當我們在 x402scan. com 上線時,我們需要在 服務器上存儲私鑰才能調用合約方法。”這一步驟可能導致 管理員私鑰 在連接互聯網的階段暴露,從而引發權限泄露。一旦私鑰被盜,黑客即可接管所有管理員權限並重新分配用戶資金。
在本次攻擊發生前幾天,x402 交易的使用量曾出現激增,10 月 27 日,x402 代幣的市值首次突破 8 億美元,主流CEX 的 x402 協議在一周內的交易量達到 50 萬筆,環比增長 10,780%。
安全建議:GoPlus 呼籲用戶立即取消授權
鑑於此次泄露的嚴重性,GoPlus Security 緊急建議在該協議上擁有錢包的用戶立即取消任何正在進行的授權。安全公司同時提醒所有用戶:
- 核對地址: 在批準任何轉移之前,檢查授權地址是否爲項目的 官方地址。
- 限制授權金額: 僅授權 必要的金額,切勿向合約授予 無限授權。
- 定期檢查: 定期檢查並 撤銷不必要的授權。
結語
x402bridge 遭受私鑰泄露攻擊的事件,再次敲響了 Web3 領域關於中心化組件(如服務器存儲私鑰)帶來風險的警鍾。盡管 x402 協議旨在利用 HTTP 402 Payment Required 狀態碼實現即時、可編程的 穩定幣 支付,但其實現機制中的 安全漏洞 必須得到立即修復。對於用戶而言,這次攻擊是一次昂貴的教訓,提醒我們在與任何區塊鏈協議交互時,必須時刻保持 警惕,謹慎管理錢包授權。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
USDC實質交易量超越USDT,為成熟市場支付的好選擇
瑞穗證券報告顯示,穩定幣USDC今年的「經調整後交易量」已超越USDT,達到64%。USDC憑藉合規性在成熟市場中受青睞,特別在北美流通量遠高於USDT。USDC一年成長26%,而USDT略有下滑,顯示出市場對兩者使用的不同邏輯。隨著數位支付需求增長,USDC的實體支付功能可能進一步深化。
鏈新聞abmedia2小時前
Nguồn cung USDC lập đỉnh mới 81 tỷ USD
The supply of USDC has reached a record high of $81 billion, indicating rising demand for stablecoins in the cryptocurrency market. This growth highlights USDC's increasing use in transactions, DeFi, and cross-border payments, as investors seek stable liquidity on the blockchain. The expansion also suggests an influx of new capital into the digital asset ecosystem, acting as a bridge between traditional finance and crypto markets. Analysts view this supply increase as a sign of improving market liquidity and potential buying power for cryptocurrencies.
Tap Chi Bitcoin3小時前
USDC vượt USDT về khối lượng giao dịch thực tế trong năm nay: Mizuho
Analysts from Mizuho report that the transaction volume of USD Coin (USDC) has surpassed Tether (USDT) this year, reversing a long-term trend. USDC now holds about 64% of market share in adjusted transaction volume. Despite USDT being the largest stablecoin by market cap, USDC is increasingly used for everyday applications, especially in payments.
Tap Chi Bitcoin5小時前
Polymarket 预测 USDT 年底市值达 2000 亿美元概率 79%,USDC 达 1000 亿美元概率 60%
Artemis数据显示,Polymarket预测到年底USDT市值将达2000亿美元概率为79%,USDC为1000亿美元概率为60%。USDT需上涨8%,USDC需上涨23%才能达到目标。2025年均对应36%和72%的增长。
GateNews6小時前
Circle 推出开源 AI 工具 Circle Skills,支持 USDC 等稳定币应用开发
Circle 于 3 月 14 日推出开源 AI 工具 Circle Skills,帮助开发者构建基于稳定币的应用,支持 USDC、EURC 等,并与多种 AI Agent 工具配合使用,对推动 Agentic Economy 发展具有重要意义。
GateNews8小時前
