A empresa de segurança Web3 GoPlus Security relatou que o novo protocolo de camada cruzada x402bridge sofreu uma vulnerabilidade de segurança, resultando na perda de mais de 200 usuários de USDC, totalizando cerca de 17.693 dólares. Detetives na cadeia e a empresa de segurança SlowMist confirmaram que a vulnerabilidade provavelmente foi causada pela divulgação da chave privada do administrador, permitindo que os atacantes obtivessem permissões especiais de gerenciamento do contrato. A GoPlus Security recomendou urgentemente que todos os usuários com carteiras nesse protocolo cancelassem as autorizações em andamento e lembrou os usuários a nunca concederem autorizações ilimitadas ao contrato. Este incidente expôs os riscos de segurança potenciais no mecanismo x402, onde a chave privada armazenada no servidor pode levar à divulgação das permissões do administrador.
Novo protocolo x402bridge atacado: autorização excessiva expõe vulnerabilidades de segurança da chave privada
O protocolo x402bridge, alguns dias após ser lançado na cadeia, sofreu um ataque de segurança, resultando em perdas financeiras para os usuários. O mecanismo deste protocolo exige que os usuários sejam autorizados pelo contrato Owner antes de poderem cunhar USDC. Neste evento, foi essa autorização excessiva que levou à transferência de stablecoins remanescentes de mais de 200 usuários.
O atacante utilizou a chave privada vazada para roubar USDC dos usuários
De acordo com a observação da GoPlus Security, o fluxo de ataque aponta claramente para o abuso de permissões:
- Transferência de permissões: O endereço do criador (0xed1A começou ) transferiu a propriedade para o endereço 0x2b8F, concedendo a este último permissões de gestão especiais detidas pela equipe x402bridge, incluindo a capacidade de modificar configurações críticas e transferir ativos.
- Execução de funcionalidades maliciosas: Após obter o controle, o novo endereço do proprietário executou imediatamente uma função chamada “transferUserToken”, permitindo que esse endereço retirasse os USD Coins restantes de todas as carteiras anteriormente autorizadas a esse contrato.
- Perda e transferência de fundos: O endereço 0x2b8F roubou um total de aproximadamente 17,693 USD em USDC dos usuários, e em seguida trocou o dinheiro roubado por Ethereum, transferindo-o para a rede Arbitrum através de várias transações cross-chain.
Fonte da vulnerabilidade: Risco de armazenamento da chave privada no mecanismo x402
A equipe do x402bridge respondeu ao incidente de vulnerabilidade, confirmando que o ataque foi causado por uma Chave privada vazada, resultando no roubo de vários testes de equipes e Carteiras principais. O projeto suspendeu todas as atividades e fechou o site, e já reportou às autoridades.
- Risco do processo de autorização: O protocolo anteriormente explicou o funcionamento do seu mecanismo x402: os usuários assinam ou aprovam transações através da interface da web, as informações de autorização são enviadas para o servidor backend, que posteriormente retira os fundos e cunha os tokens.
- Risco de exposição da chave privada: A equipe admitiu: “Quando lançamos no x402scan.com, precisamos armazenar a chave privada no servidor para chamar os métodos do contrato.” Este passo pode levar à exposição da chave privada do administrador durante a fase de conexão à Internet, resultando em vazamento de permissões. Uma vez que a chave privada é roubada, os hackers podem assumir todas as permissões do administrador e redistribuir os fundos dos usuários.
Nos dias que antecederam o ataque, o uso do x402 teve um aumento repentino. No dia 27 de outubro, a capitalização de mercado do token x402 ultrapassou pela primeira vez os 800 milhões de dólares, e o volume de transações do protocolo x402 nas principais CEX atingiu 500 mil transações em uma semana, com um crescimento de 10,780% em relação ao período anterior.
Sugestões de segurança: GoPlus apela aos usuários para revogar a autorização imediatamente
Dada a gravidade da fuga de informações, a GoPlus Security recomenda urgentemente que os usuários que possuem Carteiras neste protocolo cancelem imediatamente quaisquer autorizações em andamento. A empresa de segurança também alerta todos os usuários:
- Verifique o endereço: Antes de aprovar qualquer transferência, verifique se o endereço autorizado é o endereço oficial do projeto.
- Limitar o montante autorizado: apenas autorizar o montante necessário, nunca conceder autorização ilimitada ao contrato.
- Verificação regular: Verifique regularmente e revogue autorizações desnecessárias.
Conclusão
O incidente de ataque de vazamento de chave privada ao x402bridge soou mais uma vez o alarme sobre os riscos que componentes centralizados (como servidores que armazenam chaves privadas) trazem para o espaço Web3. Embora o protocolo x402 tenha como objetivo utilizar o código de status HTTP 402 Payment Required para realizar pagamentos de stablecoins instantâneos e programáveis, as vulnerabilidades de segurança em seu mecanismo de implementação precisam ser corrigidas imediatamente. Para os usuários, este ataque foi uma lição cara, lembrando-nos que, ao interagir com qualquer protocolo de blockchain, devemos sempre manter a vigilância e gerenciar com cautela a autorização da carteira.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Análise completa da regulamentação das stablecoins no Japão: desde o cálculo e processamento de fundos até ao lançamento na JPYC, três vias de emissão em conformidade numa só vista
O Japão é um dos principais países económicos a nível global que estabeleceu o primeiro enquadramento jurídico completo para stablecoins. À medida que, em 2023, a revisão do 《資金決算法》(Lei revista de Liquidação de Fundos) entrou formalmente em vigor, a emissão de stablecoins denominadas em iene japonês saiu da zona cinzenta legal para um regime mais claro e, em 2025, deu entrada ao primeiro lançamento oficial de uma stablecoin de iene japonês em conformidade, a JPYC. Este artigo apresenta de forma completa o contexto de evolução da regulamentação japonesa de stablecoins, três vias de emissão em conformidade e os principais casos atualmente no mercado, para referência de instituições financeiras de Taiwan e do setor de criptomoedas.
Antecedentes legislativos das stablecoins no Japão: da queda do UST à consolidação das regras
Em maio de 2022, a stablecoin algorítmica TerraUSD (UST) colapsou, suscitando uma atenção elevada a nível mundial sobre a regulamentação de stablecoins. O Japão acelerou imediatamente o avanço legislativo e, ainda nesse ano, em junho, o Parlamento japonês aprovou formalmente uma proposta de lei sobre stablecoins, definindo de forma clara as stablecoins como tendo de estar vinculadas a moeda fiduciária e, além disso, e a sua relação seria inevitavelmente…
ChainNewsAbmedia38m atrás
ClearBank obtém aprovação MiCA para se tornar CASP, planeia lançar serviços de stablecoins EURC e USDC
ClearBank recebeu recentemente a aprovação da Autoridade Holandesa para os Mercados Financeiros, tornando-se um prestador de serviços de ativos cripto, e lançará serviços de stablecoins EURC e USDC, com o objetivo de melhorar a eficiência dos pagamentos transfronteiriços, bem como aprofundar a cooperação com um certo CEX, disponibilizando contas de poupança abrangidas por um programa de compensação de serviços financeiros.
GateNews6h atrás
A Circle publica um roteiro de infraestrutura de interoperabilidade entre cadeias, com o volume acumulado de transferências do CCTP a ultrapassar 110 mil milhões de dólares
A Circle publica um roteiro para a infraestrutura de interoperabilidade entre cadeias, e o CCTP, desde o seu lançamento em abril de 2023, já processou transferências de mais de 11 mil milhões de dólares em USDC, suportando 20 redes blockchain. No futuro, planeia expandir para outros ativos e lançar vários produtos inovadores para simplificar os fluxos de trabalho entre cadeias.
GateNews04-11 00:03
A Compass Point rebaixou a classificação da Circle para “vender”, com um preço-alvo reduzido para 77 dólares
O analista da Compass Point rebaixou a avaliação da Circle de “neutra” para “vender”, reduzindo o preço-alvo para 77 dólares. A razão é que o crescimento do USDC se deve principalmente a plataformas com margens baixas, o que afeta os lucros da empresa. Espera-se que os resultados do primeiro trimestre fiquem aquém do previsto, com o EBITDA a descer 19% em cadeia. Apesar disso, se o mercado de criptomoedas recuperar, ainda existe a possibilidade de uma melhoria das perspetivas da Circle.
GateNews04-10 16:06
A Circle, nos últimos 30 dias, cunhou um total de 10,5 mil milhões de USDC na Solana
Notícias do Gate, mensagem, 10 de abril: hoje, a Circle voltou a adicionar mais 250 milhões de USDC cunhados. Os dados mostram que, durante o último mês, a Circle já cunhou 10,5 mil milhões de USDC de forma cumulativa na Solana.
GateNews04-10 15:51
A Circle responde ao incidente de roubo do Drift Protocol: a congelação do USDC deve ser executada por via legal, apela ao acelerar da legislação sobre criptografia
O Diretor de Estratégia da Circle, Dante Disparte, respondeu ao incidente de roubo do Drift Protocol, salientando que o congelamento do USDC é uma medida executada ao abrigo da lei, apelando ao reforço da coordenação entre o direito e a tecnologia, e sugerindo que os protocolos DeFi devem inspirar-se nos mecanismos de proteção dos mercados tradicionais para promover a protecção dos direitos de propriedade e da privacidade financeira.
GateNews04-10 12:19
