บริษัทความปลอดภัย Web3 GoPlus Security รายงานว่า โปรโตคอลข้ามชั้น x402bridge ที่เพิ่งเปิดตัวประสบปัญหาช่องโหว่ด้านความปลอดภัย ส่งผลให้ผู้ใช้กว่า 200 รายสูญเสีย USDC รวมเป็นเงินประมาณ 17,693 ดอลลาร์ สายการสืบสวนและบริษัทความปลอดภัย SlowMist ยืนยันว่าช่องโหว่นี้น่าจะเกิดจากการรั่วไหลของรหัสส่วนตัวของผู้ดูแลระบบ ทำให้ผู้โจมตีได้รับสิทธิ์การจัดการพิเศษของสัญญา GoPlus Security ขอแนะนำอย่างเร่งด่วนให้ผู้ใช้ที่มี กระเป๋า ในโปรโตคอลนี้ยกเลิกการอนุญาตที่กำลังดำเนินการโดยเร็วที่สุด และเตือนผู้ใช้ว่าอย่าให้สิทธิ์ไม่จำกัดแก่สัญญาเหตุการณ์นี้เปิดเผยถึงความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นจากการเก็บรหัสส่วนตัวของผู้ดูแลระบบใน x402 mechanism.
โปรโตคอลใหม่ x402bridge ถูกโจมตี: การอนุญาตเกินขอบเขตเปิดเผยรหัสส่วนตัวที่มีความเสี่ยงต่อความปลอดภัย
x402bridge โปรโตคอลในช่วงไม่กี่วันหลังจากที่อัปโหลดบนเชน ได้ประสบกับการโจมตีด้านความปลอดภัยครั้งหนึ่ง ทำให้เกิดการสูญเสียเงินทุนของผู้ใช้ กลไกของโปรโตคอลนี้กำหนดให้ผู้ใช้ต้องได้รับการอนุญาตจากสัญญา Owner ก่อนที่จะสร้าง USDC ในเหตุการณ์ครั้งนี้ การอนุญาตเกินความจำเป็นนี้ทำให้มีการโอนเหรียญเสถียรภาพที่เหลืออยู่ของผู้ใช้มากกว่า 200 คน
ผู้โจมตีใช้รหัสส่วนตัวที่รั่วไหลไปขโมย USDC ของผู้ใช้
ตามการสังเกตของ GoPlus Security กระบวนการโจมตีชี้ไปที่การใช้สิทธิ์ในทางที่ผิดอย่างชัดเจน:
- การถ่ายโอนสิทธิ์: ที่อยู่ผู้สร้าง (0xed1A เริ่มต้นด้วย ) ได้ถ่ายโอนความเป็นเจ้าของให้กับที่อยู่ 0x2b8F โดยมอบสิทธิ์การจัดการพิเศษที่ถือโดยทีม x402bridge รวมถึงความสามารถในการแก้ไขการตั้งค่าที่สำคัญและการโอนสินทรัพย์.
- การดำเนินการฟังก์ชันที่เป็นอันตราย: หลังจากได้รับการควบคุม เจ้าของที่อยู่ใหม่ได้ดำเนินการฟังก์ชันที่ชื่อว่า “transferUserToken” ทันที ซึ่งทำให้ที่อยู่นั้นสามารถถอนเหรียญ USD ที่เหลือจากกระเป๋าทั้งหมดที่ได้รับการอนุญาตก่อนหน้านี้ให้กับสัญญา.
- การสูญเสียและการโอนเงิน: ที่อยู่ 0x2b8F ขโมย USDC มูลค่าประมาณ 17,693 USD จากผู้ใช้ หลังจากนั้นจึงแลกเปลี่ยนเงินที่ได้เป็น Ethereum และโอนผ่านการทำธุรกรรมข้ามเครือข่ายหลายครั้งไปยังเครือข่าย Arbitrum.
รากฐานของช่องโหว่: ความเสี่ยงในการเก็บรหัสส่วนตัวในกลไก x402
ทีม x402bridge ได้ตอบสนองต่อเหตุการณ์ช่องโหว่นี้ โดยยืนยันว่าการโจมตีเกิดจากการรั่วไหลของรหัสส่วนตัว ทำให้ทีมงานหลายสิบคนทดสอบและกระเป๋าหลักถูกขโมย โครงการนี้ได้ระงับกิจกรรมทั้งหมดและปิดเว็บไซต์ และได้แจ้งหน่วยงานบังคับใช้กฎหมายแล้ว.
- ความเสี่ยงของกระบวนการอนุญาต: โปรโตคอลได้อธิบายกลไก x402 ของตนก่อนหน้านี้: ผู้ใช้เซ็นชื่อหรือตกลงธุรกรรมผ่านทางหน้าเว็บ ข้อมูลการอนุญาตจะถูกส่งไปยังเซิร์ฟเวอร์ด้านหลัง เซิร์ฟเวอร์จะถอนเงินและสร้างโทเค็นต่อไป.
- รหัสส่วนตัวที่เปิดเผยความเสี่ยง: ทีมงานยอมรับว่า: “เมื่อเราขึ้นระบบที่ x402scan.com เราจำเป็นต้องจัดเก็บรหัสส่วนตัวบนเซิร์ฟเวอร์เพื่อเรียกใช้วิธีการของสัญญา.” ขั้นตอนนี้อาจทำให้รหัสส่วนตัวของผู้ดูแลระบบถูกเปิดเผยในระหว่างการเชื่อมต่อกับอินเทอร์เน็ต ส่งผลให้เกิดการรั่วไหลของสิทธิ์ หากรหัสส่วนตัวถูกขโมย แฮ็กเกอร์สามารถเข้าควบคุมสิทธิ์ผู้ดูแลทั้งหมดและแจกจ่ายเงินทุนของผู้ใช้ใหม่ได้.
ในไม่กี่วันก่อนที่การโจมตีนี้จะเกิดขึ้น ปริมาณการใช้ x402 มีการเพิ่มขึ้นอย่างมาก เมื่อวันที่ 27 ตุลาคม มูลค่าตลาดของโทเค็น x402 ขึ้นทะลุ 800 ล้านดอลลาร์เป็นครั้งแรก และปริมาณการซื้อขายของโปรโตคอล x402 บน CEX หลักในหนึ่งสัปดาห์มีจำนวนถึง 500,000 รายการ เพิ่มขึ้น 10,780% เมื่อเปรียบเทียบกับปีก่อนหน้า.
คำแนะนำด้านความปลอดภัย: GoPlus ขอให้ผู้ใช้เพิกถอนการอนุญาตทันที
เนื่องจากความรุนแรงของการรั่วไหลครั้งนี้ GoPlus Security จึงขอแนะนำให้ผู้ใช้ที่มี กระเป๋า บน โปรโตคอล นี้ยกเลิกการอนุญาตที่กำลังดำเนินการอยู่ทันที บริษัทความปลอดภัยยังเตือนผู้ใช้ทุกคนว่า:
- ตรวจสอบที่อยู่: ก่อนอนุมัติการโอนใด ๆ ให้ตรวจสอบว่าที่อยู่ที่ได้รับอนุญาตเป็นที่อยู่ทางการของโครงการหรือไม่.
- จำกัดจำนวนเงินที่ได้รับอนุญาต: อนุญาตเฉพาะจำนวนเงินที่จำเป็น อย่าอนุญาตให้สัญญาเข้าถึงจำนวนเงินไม่จำกัด.
- ตรวจสอบเป็นประจำ: ตรวจสอบเป็นประจำและเพิกถอนสิทธิ์ที่ไม่จำเป็นออกไป.
สรุป
เหตุการณ์การถูกโจมตีด้วยการรั่วไหลของรหัสส่วนตัวของ x402bridge ได้ส่งเสียงเตือนอีกครั้งเกี่ยวกับความเสี่ยงที่เกิดจากองค์ประกอบที่รวมศูนย์ (เช่น เซิร์ฟเวอร์ที่เก็บรหัสส่วนตัว) ในพื้นที่ Web3 แม้ว่าพโรโตคอล x402 จะมุ่งหวังที่จะใช้รหัสสถานะ HTTP 402 Payment Required เพื่อดำเนินการชำระเงินที่ทันทีและโปรแกรมได้ แต่ช่องโหว่ด้านความปลอดภัยในกลไกการดำเนินการของมันต้องได้รับการแก้ไขอย่างเร่งด่วน สำหรับผู้ใช้ การโจมตีครั้งนี้เป็นบทเรียนที่มีค่าเตือนเราให้ต้องระมัดระวังอยู่เสมอเมื่อมีปฏิสัมพันธ์กับโปรโตคอลบล็อกเชนใด ๆ และจัดการการอนุญาตกระเป๋าอย่างระมัดระวัง.
btc.bar.articles
USDC實質交易量超越USDT,為成熟市場支付的好選擇
瑞穗證券報告顯示,穩定幣USDC今年的「經調整後交易量」已超越USDT,達到64%。USDC憑藉合規性在成熟市場中受青睞,特別在北美流通量遠高於USDT。USDC一年成長26%,而USDT略有下滑,顯示出市場對兩者使用的不同邏輯。隨著數位支付需求增長,USDC的實體支付功能可能進一步深化。
ChainNewsAbmedia1 ชั่วโมง ที่แล้ว
Nguồn cung USDC lập đỉnh mới 81 tỷ USD
The supply of USDC has reached a record high of $81 billion, indicating rising demand for stablecoins in the cryptocurrency market. This growth highlights USDC's increasing use in transactions, DeFi, and cross-border payments, as investors seek stable liquidity on the blockchain. The expansion also suggests an influx of new capital into the digital asset ecosystem, acting as a bridge between traditional finance and crypto markets. Analysts view this supply increase as a sign of improving market liquidity and potential buying power for cryptocurrencies.
TapChiBitcoin3 ชั่วโมง ที่แล้ว
USDC vượt USDT về khối lượng giao dịch thực tế trong năm nay: Mizuho
Analysts from Mizuho report that the transaction volume of USD Coin (USDC) has surpassed Tether (USDT) this year, reversing a long-term trend. USDC now holds about 64% of market share in adjusted transaction volume. Despite USDT being the largest stablecoin by market cap, USDC is increasingly used for everyday applications, especially in payments.
TapChiBitcoin4 ชั่วโมง ที่แล้ว
Polymarket 预测 USDT 年底市值达 2000 亿美元概率 79%,USDC 达 1000 亿美元概率 60%
Artemis数据显示,Polymarket预测到年底USDT市值将达2000亿美元概率为79%,USDC为1000亿美元概率为60%。USDT需上涨8%,USDC需上涨23%才能达到目标。2025年均对应36%和72%的增长。
GateNews6 ชั่วโมง ที่แล้ว
Circle 推出开源 AI 工具 Circle Skills,支持 USDC 等稳定币应用开发
Circle 于 3 月 14 日推出开源 AI 工具 Circle Skills,帮助开发者构建基于稳定币的应用,支持 USDC、EURC 等,并与多种 AI Agent 工具配合使用,对推动 Agentic Economy 发展具有重要意义。
GateNews8 ชั่วโมง ที่แล้ว
