Análisis del incidente de ataque de x402bridge: la filtración de la llave privada causó daños a más de 200 usuarios, la autorización excesiva expone riesgos.

La empresa de seguridad Web3 GoPlus Security informó que el nuevo protocolo de capa cruzada x402bridge sufrió una vulnerabilidad de seguridad, lo que resultó en pérdidas para más de 200 usuarios de USDC, totalizando aproximadamente 17,693 dólares. Los investigadores en cadena y la empresa de seguridad SlowMist confirmaron que la vulnerabilidad fue probablemente causada por la filtración de la llave privada del administrador, lo que permitió a los atacantes obtener permisos especiales de gestión del contrato. GoPlus Security ha aconsejado urgentemente a todos los usuarios con billeteras en este protocolo que cancelen las autorizaciones en curso lo antes posible y les recuerda que nunca deben otorgar autorizaciones ilimitadas a los contratos. Este incidente expone los riesgos de seguridad potenciales en el mecanismo x402, donde la llave privada almacenada en el servidor puede llevar a la filtración de permisos de administrador.

Nuevo protocolo x402bridge atacado: autorización excesiva expone vulnerabilidades de seguridad de la llave privada

El protocolo x402bridge sufrió un ataque de seguridad unos días después de su lanzamiento en la cadena, lo que provocó pérdidas de fondos para los usuarios. El mecanismo de este protocolo requiere que los usuarios obtengan autorización del contrato Owner antes de acuñar USDC. En este evento, fue esta autorización excesiva la que llevó a la transferencia de los stablecoins restantes de más de 200 usuarios.

El atacante utiliza una llave privada filtrada para robar USDC de los usuarios

Según la observación de GoPlus Security, el proceso de ataque apunta claramente al abuso de permisos:

• Transferencia de permisos: La dirección del creador (0xed1A con el inicio ) ha transferido la propiedad a la dirección 0x2b8F, otorgando a esta última permisos especiales de gestión, que son poseídos por el equipo de x402bridge, incluyendo la capacidad de modificar configuraciones clave y transferir activos.
• Ejecución de funciones maliciosas: Después de obtener el control, la nueva dirección del propietario ejecutó inmediatamente una función llamada “transferUserToken”, lo que permitió que dicha dirección extrajera los USD Coins restantes de todas las billeteras que habían sido autorizadas previamente a ese contrato.
• Pérdida y transferencia de fondos: La dirección 0x2b8F robó un total de aproximadamente 17,693 USD de USDC de los usuarios, luego cambió los fondos robados por Ethereum y los transfirió a la red Arbitrum a través de múltiples transacciones entre cadenas.

Origen de la vulnerabilidad: riesgo de almacenamiento de llaves privadas en el mecanismo x402

El equipo de x402bridge ha respondido a este incidente de vulnerabilidad, confirmando que el ataque fue causado por la filtración de la Llave privada, lo que resultó en el robo de varias billeteras y equipos de pruebas. El proyecto ha suspendido todas las actividades y cerrado el sitio web, y ha informado a las autoridades.

• Riesgo del proceso de autorización: El protocolo anteriormente explicó el funcionamiento de su mecanismo x402: los usuarios firman o aprueban transacciones a través de la interfaz web, la información de autorización se envía al servidor backend, que luego extrae los fondos y acuña tokens.
• Riesgo de exposición de la llave privada: El equipo admite: “Cuando lancemos en x402scan.com, necesitamos almacenar la llave privada en el servidor para poder llamar a los métodos del contrato.” Este paso puede llevar a que la llave privada del administrador se exponga en la fase de conexión a Internet, lo que podría causar una filtración de permisos. Una vez que la llave privada es robada, los hackers pueden tomar el control de todos los permisos del administrador y redistribuir los fondos de los usuarios.

Días antes de que ocurriera este ataque, el uso del token x402 había experimentado un aumento repentino. El 27 de octubre, la capitalización de mercado del token x402 superó por primera vez los 800 millones de dólares, y el volumen de transacciones del protocolo x402 en las principales CEX alcanzó las 500,000 transacciones en una semana, con un crecimiento interanual del 10,780%.

Sugerencias de seguridad: GoPlus insta a los usuarios a revocar la autorización de inmediato

Dada la gravedad de la filtración, GoPlus Security recomienda urgentemente a los usuarios que poseen Billetera en este protocolo que cancelen de inmediato cualquier autorización en curso. La empresa de seguridad también advierte a todos los usuarios:

1. Verificar la dirección: Antes de aprobar cualquier transferencia, verifique si la dirección autorizada es la dirección oficial del proyecto.
2. Monto de autorización restringido: solo autorice la cantidad necesaria, no otorgue autorización ilimitada al contrato.
3. Inspección regular: Inspeccione regularmente y revoque las autorizaciones innecesarias.

Conclusión

El incidente de x402bridge que sufrió un ataque de filtración de llaves privadas vuelve a sonar la alarma sobre los riesgos que conllevan los componentes centralizados (como el almacenamiento de llaves privadas en servidores) en el ámbito de Web3. Aunque el protocolo x402 tiene como objetivo utilizar el código de estado HTTP 402 Payment Required para implementar pagos instantáneos y programables en stablecoins, las vulnerabilidades de seguridad en su mecanismo de implementación deben ser reparadas de inmediato. Para los usuarios, este ataque es una lección costosa, que nos recuerda que al interactuar con cualquier protocolo de blockchain, debemos mantenernos siempre alerta y gestionar con cuidado la autorización de la billetera.