A empresa de segurança Web3 GoPlus Security relatou que o novo protocolo de camada cruzada x402bridge sofreu uma vulnerabilidade de segurança, resultando na perda de mais de 200 usuários de USDC, totalizando cerca de 17.693 dólares. Detetives na cadeia e a empresa de segurança SlowMist confirmaram que a vulnerabilidade provavelmente foi causada pela divulgação da chave privada do administrador, permitindo que os atacantes obtivessem permissões especiais de gerenciamento do contrato. A GoPlus Security recomendou urgentemente que todos os usuários com carteiras nesse protocolo cancelassem as autorizações em andamento e lembrou os usuários a nunca concederem autorizações ilimitadas ao contrato. Este incidente expôs os riscos de segurança potenciais no mecanismo x402, onde a chave privada armazenada no servidor pode levar à divulgação das permissões do administrador.
Novo protocolo x402bridge atacado: autorização excessiva expõe vulnerabilidades de segurança da chave privada
O protocolo x402bridge, alguns dias após ser lançado na cadeia, sofreu um ataque de segurança, resultando em perdas financeiras para os usuários. O mecanismo deste protocolo exige que os usuários sejam autorizados pelo contrato Owner antes de poderem cunhar USDC. Neste evento, foi essa autorização excessiva que levou à transferência de stablecoins remanescentes de mais de 200 usuários.
O atacante utilizou a chave privada vazada para roubar USDC dos usuários
De acordo com a observação da GoPlus Security, o fluxo de ataque aponta claramente para o abuso de permissões:
- Transferência de permissões: O endereço do criador (0xed1A começou ) transferiu a propriedade para o endereço 0x2b8F, concedendo a este último permissões de gestão especiais detidas pela equipe x402bridge, incluindo a capacidade de modificar configurações críticas e transferir ativos.
- Execução de funcionalidades maliciosas: Após obter o controle, o novo endereço do proprietário executou imediatamente uma função chamada “transferUserToken”, permitindo que esse endereço retirasse os USD Coins restantes de todas as carteiras anteriormente autorizadas a esse contrato.
- Perda e transferência de fundos: O endereço 0x2b8F roubou um total de aproximadamente 17,693 USD em USDC dos usuários, e em seguida trocou o dinheiro roubado por Ethereum, transferindo-o para a rede Arbitrum através de várias transações cross-chain.
Fonte da vulnerabilidade: Risco de armazenamento da chave privada no mecanismo x402
A equipe do x402bridge respondeu ao incidente de vulnerabilidade, confirmando que o ataque foi causado por uma Chave privada vazada, resultando no roubo de vários testes de equipes e Carteiras principais. O projeto suspendeu todas as atividades e fechou o site, e já reportou às autoridades.
- Risco do processo de autorização: O protocolo anteriormente explicou o funcionamento do seu mecanismo x402: os usuários assinam ou aprovam transações através da interface da web, as informações de autorização são enviadas para o servidor backend, que posteriormente retira os fundos e cunha os tokens.
- Risco de exposição da chave privada: A equipe admitiu: “Quando lançamos no x402scan.com, precisamos armazenar a chave privada no servidor para chamar os métodos do contrato.” Este passo pode levar à exposição da chave privada do administrador durante a fase de conexão à Internet, resultando em vazamento de permissões. Uma vez que a chave privada é roubada, os hackers podem assumir todas as permissões do administrador e redistribuir os fundos dos usuários.
Nos dias que antecederam o ataque, o uso do x402 teve um aumento repentino. No dia 27 de outubro, a capitalização de mercado do token x402 ultrapassou pela primeira vez os 800 milhões de dólares, e o volume de transações do protocolo x402 nas principais CEX atingiu 500 mil transações em uma semana, com um crescimento de 10,780% em relação ao período anterior.
Sugestões de segurança: GoPlus apela aos usuários para revogar a autorização imediatamente
Dada a gravidade da fuga de informações, a GoPlus Security recomenda urgentemente que os usuários que possuem Carteiras neste protocolo cancelem imediatamente quaisquer autorizações em andamento. A empresa de segurança também alerta todos os usuários:
- Verifique o endereço: Antes de aprovar qualquer transferência, verifique se o endereço autorizado é o endereço oficial do projeto.
- Limitar o montante autorizado: apenas autorizar o montante necessário, nunca conceder autorização ilimitada ao contrato.
- Verificação regular: Verifique regularmente e revogue autorizações desnecessárias.
Conclusão
O incidente de ataque de vazamento de chave privada ao x402bridge soou mais uma vez o alarme sobre os riscos que componentes centralizados (como servidores que armazenam chaves privadas) trazem para o espaço Web3. Embora o protocolo x402 tenha como objetivo utilizar o código de status HTTP 402 Payment Required para realizar pagamentos de stablecoins instantâneos e programáveis, as vulnerabilidades de segurança em seu mecanismo de implementação precisam ser corrigidas imediatamente. Para os usuários, este ataque foi uma lição cara, lembrando-nos que, ao interagir com qualquer protocolo de blockchain, devemos sempre manter a vigilância e gerenciar com cautela a autorização da carteira.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Contornar as regras do regulador financeiro de Taiwan para comprar cripto com cartão pode ter futuro? Odin Din promove serviço de compra de cripto com cartão de débito dos EUA Wallet Pro
A OtdinTing lança os serviços OwlPay e Wallet Pro, focados em pagamentos internacionais B2B, combinando tecnologia de stablecoins com sistemas financeiros internacionais, demonstrando a sua transformação fintech. Através da colaboração com a MoneyGram, o Wallet Pro permite transferências internacionais de compra de stablecoins em dinheiro, operando no mercado dos EUA. O modelo offshore da empresa contorna a regulamentação rigorosa de Taiwan e, no âmbito do novo projecto de lei, desafia o panorama da concorrência; no futuro, irá influenciar as estratégias de conformidade dos operadores locais.
CryptoCity57m atrás
CEO da Circle: Por não ter congelado o incidente de pirataria do Drift, em que foram roubados USDC, devido a um “dilema moral”
O CEO da Circle, Jeremy Allaire, respondeu às críticas na conferência de imprensa sobre o facto de o USDC roubado não ter sido congelado, sublinhando que apenas irá congelar carteiras sob instruções de aplicação da lei. Além disso, afirmou que a Circle está a comunicar com os legisladores dos EUA, na esperança de criar um mecanismo de “porto seguro” para emissores de stablecoins.
GateNews2h atrás
A Circle assinou um MOU com a empresa-mãe da CEX sul-coreana Dunamu, para colaborar em áreas como stablecoins
A Circle assinou um memorando de entendimento de entendimento com a empresa de gestão de CEX da Coreia do Sul, a Dunamu. As duas partes irão colaborar para avançar no domínio das stablecoins e dos ativos digitais, melhorando em conjunto a capacidade de acesso à informação por parte dos intervenientes do mercado e promovendo a confiança e o desenvolvimento saudável do ecossistema de ativos digitais na Coreia do Sul.
GateNews5h atrás
Análise completa da regulamentação das stablecoins no Japão: desde o cálculo e processamento de fundos até ao lançamento na JPYC, três vias de emissão em conformidade numa só vista
O Japão é um dos principais países económicos a nível global que estabeleceu o primeiro enquadramento jurídico completo para stablecoins. À medida que, em 2023, a revisão do 《資金決算法》(Lei revista de Liquidação de Fundos) entrou formalmente em vigor, a emissão de stablecoins denominadas em iene japonês saiu da zona cinzenta legal para um regime mais claro e, em 2025, deu entrada ao primeiro lançamento oficial de uma stablecoin de iene japonês em conformidade, a JPYC. Este artigo apresenta de forma completa o contexto de evolução da regulamentação japonesa de stablecoins, três vias de emissão em conformidade e os principais casos atualmente no mercado, para referência de instituições financeiras de Taiwan e do setor de criptomoedas.
Antecedentes legislativos das stablecoins no Japão: da queda do UST à consolidação das regras
Em maio de 2022, a stablecoin algorítmica TerraUSD (UST) colapsou, suscitando uma atenção elevada a nível mundial sobre a regulamentação de stablecoins. O Japão acelerou imediatamente o avanço legislativo e, ainda nesse ano, em junho, o Parlamento japonês aprovou formalmente uma proposta de lei sobre stablecoins, definindo de forma clara as stablecoins como tendo de estar vinculadas a moeda fiduciária e, além disso, e a sua relação seria inevitavelmente…
ChainNewsAbmedia19h atrás
