Web3 安全公司 GoPlus Security 報告稱,新推出的跨層協議 x402bridge 遭受安全漏洞,導致超過 200 名用戶 損失了 USDC,總計約 17,693 美元。鏈上偵探和安全公司 SlowMist 均確認,該漏洞最可能由管理員私鑰泄露所致,使攻擊者獲得了合約的特殊管理權限。GoPlus Security 緊急建議所有在該協議上擁有錢包的用戶盡快取消正在進行的授權,並提醒用戶永遠不要向合約授予無限授權。此次事件暴露了 x402 機制中,服務器存儲的私鑰可能導致管理員權限泄露的潛在安全風險。
新協議 x402bridge 遭攻擊:超額授權暴露私鑰安全隱患
x402bridge 協議在上線鏈上幾天後,就遭遇了一次安全攻擊,導致用戶資金損失。該協議的機制要求用戶在鑄造 USDC 前,必須先由 Owner 合約進行授權。在本次事件中,正是這種超額授權導致了超過 200 名用戶剩餘的穩定幣被轉移。
攻擊者利用泄露私鑰竊取用戶 USDC
根據 GoPlus Security 的觀察,攻擊流程清晰地指向了 權限濫用:
- 權限轉移: 創建者地址 (0xed1A 開頭) 將所有權轉移給了地址 0x2b8F,授予了後者由 x402bridge 團隊持有的特殊 管理權限,包括修改關鍵設置和轉移資產的能力。
- 執行惡意功能: 在獲得控制權後,新所有者地址立即執行了一個名爲 “transferUserToken” 的功能,使得該地址能夠從所有此前授權給該合約的錢包中,提取剩餘的 USD Coins。
- 資金損失與轉移: 地址 0x2b8F 總共從用戶處竊取了價值約 17,693 美元 的 USDC,隨後將贓款兌換成以太坊,並通過多次跨鏈交易轉移到 Arbitrum 網路。
漏洞根源:x402 機制中的私鑰存儲風險
x402bridge 團隊已對此次漏洞事件進行了回應,確認攻擊是由於 私鑰泄露 導致的,使得十幾個團隊測試和主要錢包被盜用。該項目已暫停所有活動並關閉網站,並已向執法部門報告。
- 授權流程風險: 協議此前曾解釋其 x402 機制 的工作原理:用戶通過網頁界面籤名或批準交易,授權信息被發送到 後端服務器,服務器隨後提取資金並鑄造代幣。
- 私鑰暴露風險: 團隊坦言:“當我們在 x402scan. com 上線時,我們需要在 服務器上存儲私鑰才能調用合約方法。”這一步驟可能導致 管理員私鑰 在連接互聯網的階段暴露,從而引發權限泄露。一旦私鑰被盜,黑客即可接管所有管理員權限並重新分配用戶資金。
在本次攻擊發生前幾天,x402 交易的使用量曾出現激增,10 月 27 日,x402 代幣的市值首次突破 8 億美元,主流CEX 的 x402 協議在一周內的交易量達到 50 萬筆,環比增長 10,780%。
安全建議:GoPlus 呼籲用戶立即取消授權
鑑於此次泄露的嚴重性,GoPlus Security 緊急建議在該協議上擁有錢包的用戶立即取消任何正在進行的授權。安全公司同時提醒所有用戶:
- 核對地址: 在批準任何轉移之前,檢查授權地址是否爲項目的 官方地址。
- 限制授權金額: 僅授權 必要的金額,切勿向合約授予 無限授權。
- 定期檢查: 定期檢查並 撤銷不必要的授權。
結語
x402bridge 遭受私鑰泄露攻擊的事件,再次敲響了 Web3 領域關於中心化組件(如服務器存儲私鑰)帶來風險的警鍾。盡管 x402 協議旨在利用 HTTP 402 Payment Required 狀態碼實現即時、可編程的 穩定幣 支付,但其實現機制中的 安全漏洞 必須得到立即修復。對於用戶而言,這次攻擊是一次昂貴的教訓,提醒我們在與任何區塊鏈協議交互時,必須時刻保持 警惕,謹慎管理錢包授權。
