Analyse des x402bridge-Angriffs: Private Key-Leck führt zu Schäden bei über 200 Nutzern, übermäßige Autorisierung offenbart Risiken.

Das Web3-Sicherheitsunternehmen GoPlus Security berichtet, dass das neu eingeführte Cross-Layer-Protokoll x402bridge von einer Sicherheitsanfälligkeit betroffen ist, die dazu führte, dass über 200 Benutzer USDC im Gesamtwert von etwa 17.693 USD verloren haben. Sowohl der On-Chain-Ermittler als auch das Sicherheitsunternehmen SlowMist haben bestätigt, dass die Sicherheitsanfälligkeit höchstwahrscheinlich durch die Offenlegung des Private Keys des Administrators verursacht wurde, wodurch Angreifer spezielle Verwaltungsrechte für den Vertrag erlangten. GoPlus Security empfiehlt dringend allen Benutzern, die ein Wallet im Rahmen dieses Protokolls besitzen, ihre laufenden Berechtigungen so schnell wie möglich zu widerrufen, und erinnert die Benutzer daran, niemals unbefristete Berechtigungen an Verträge zu gewähren. Dieser Vorfall hat die potenziellen Sicherheitsrisiken aufgezeigt, die durch die Speicherung des Private Keys auf dem Server im x402-Mechanismus entstehen können, was zu einer Offenlegung der Administrationsrechte führen könnte.

Neuer Protokoll x402bridge angegriffen: Übermäßige Berechtigungen legen Sicherheitsrisiken für Private Keys offen

Das x402bridge Protokoll wurde einige Tage nach dem Start on-chain einem Sicherheitsangriff ausgesetzt, der zu einem Verlust von Benutzerfonds führte. Der Mechanismus des Protokolls verlangt, dass die Benutzer vor der Prägung von USDC zuerst eine Genehmigung durch den Owner-Vertrag erhalten müssen. Bei diesem Vorfall war es genau diese übermäßige Genehmigung, die dazu führte, dass über 200 Benutzer verbleibende Stablecoins transferiert wurden.

Angreifer nutzen den Leck der Private Keys, um Benutzer USDC zu stehlen.

Laut den Beobachtungen von GoPlus Security weist der Angriffsprozess eindeutig auf Missbrauch von Berechtigungen hin:

• Berechtigungsübertragung: Die Erstelleradresse (0xed1A hat mit der Adresse ) das Eigentum an die Adresse 0x2b8F übertragen und dem Letzteren spezielle Verwaltungsrechte gewährt, die vom x402bridge-Team gehalten werden, einschließlich der Fähigkeit, wichtige Einstellungen zu ändern und Vermögenswerte zu übertragen.
• Ausführen bösartiger Funktionen: Nachdem die Kontrolle erlangt wurde, führte die neue Besitzeradresse sofort eine Funktion namens “transferUserToken” aus, die es dieser Adresse ermöglichte, die verbleibenden USD Coins aus allen zuvor an den Vertrag autorisierten Wallets abzuziehen.
• Vermögensverlust und Übertragung: Die Adresse 0x2b8F hat insgesamt USDC im Wert von etwa 17.693 USD von Benutzern gestohlen, die dann in Ethereum umgewandelt und durch mehrere Cross-Chain-Transaktionen ins Arbitrum-Netzwerk transferiert wurden.

Schwachstellenursprung: Risiko der Speicherung von privaten Schlüsseln im x402-Mechanismus

Das x402bridge-Team hat auf diesen Sicherheitsvorfall reagiert und bestätigt, dass der Angriff durch einen Private Key Leak verursacht wurde, was dazu führte, dass mehrere Teams getestet und Haupt-Wallets missbraucht wurden. Das Projekt hat alle Aktivitäten eingestellt und die Webseite geschlossen und die Strafverfolgungsbehörden informiert.

• Risiko des Autorisierungsprozesses: Das Protokoll hat zuvor die Funktionsweise seines x402-Mechanismus erklärt: Nutzer signieren oder genehmigen Transaktionen über die Weboberfläche, die Autorisierungsinformationen werden an den Backend-Server gesendet, der dann die Gelder abhebt und Token prägt.
• Risiko der Offenlegung des Private Keys: Das Team gibt zu: “Wenn wir auf x402scan.com live gehen, müssen wir den Private Key auf dem Server speichern, um die Vertragsmethoden aufzurufen.” Dieser Schritt kann dazu führen, dass der Administrator Private Key in der Phase, in der er mit dem Internet verbunden ist, offengelegt wird, was zu einer Berechtigungsleckage führen kann. Sobald der Private Key gestohlen wird, kann der Hacker alle Administratorrechte übernehmen und die Gelder der Benutzer neu verteilen.

Tage vor dem Angriff kam es zu einem sprunghaften Anstieg der Nutzung des x402 Handels. Am 27. Oktober überschritt die Marktkapitalisierung des x402 Tokens erstmals 800 Millionen US-Dollar, und das Handelsvolumen des x402 Protokolls an großen CEX erreichte innerhalb einer Woche 500.000 Transaktionen, was einem Anstieg von 10.780 % im Vergleich zum Vormonat entspricht.

Sicherheitshinweis: GoPlus fordert Nutzer auf, die Autorisierung sofort zu widerrufen

Angesichts der Schwere des aktuellen Datenlecks empfiehlt GoPlus Security dringend, dass alle Benutzer, die über Wallets in diesem Protokoll verfügen, sofort alle laufenden Berechtigungen widerrufen. Das Sicherheitsunternehmen erinnert alle Benutzer daran:

1. Adresse überprüfen: Überprüfen Sie die autorisierte Adresse, bevor Sie eine Übertragung genehmigen, ob sie die offizielle Adresse des Projekts ist.
2. Begrenzte Genehmigungssumme: Nur die erforderliche Summe genehmigen, und niemals unbegrenzte Genehmigungen an den Vertrag erteilen.
3. Regelmäßige Überprüfung: Regelmäßige Überprüfungen und Rücknahme unnötiger Genehmigungen.

Fazit

Der Vorfall, bei dem x402bridge Opfer eines Angriffs auf den Private Key wurde, hat erneut die Warnung in der Web3-Welt hinsichtlich der Risiken zentralisierter Komponenten (wie Server, die Private Keys speichern) laut werden lassen. Obwohl das x402 Protokoll darauf abzielt, den HTTP 402 Payment Required Statuscode für sofortige, programmierbare Stablecoin-Zahlungen zu nutzen, müssen die Sicherheitsanfälligkeiten in seinem Implementierungsmechanismus sofort behoben werden. Für die Benutzer ist dieser Angriff eine teure Lektion, die uns daran erinnert, dass wir beim Umgang mit jedem Blockchain-Protokoll stets wachsam sein und die Wallet-Autorisierungen sorgfältig verwalten müssen.