Comprar Cripto
Pagar com
USD
USD
Comprar e vender
Hot
Visa, MasterCard, SEPA e mais
P2P
0 Fees
Negociação flexível e sem taxas
Cartão Gate
Use criptomoedas para pagar pelo mundo
Mercados
Negociar
Básico
Avançado
Futuros
Futuros
Aceda a centenas de contratos perpétuos
TradFi
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Earn
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Pre-IPOs
tag
Desbloquear acesso completo a IPO de ações globais
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Square
Square
Descubra valor em cripto
Em direto
moments live
Análise de mercado cripto em tempo real
Conversar
Converse com os operadores cripto
Notícias
O que está a acontecer na criptografia
flower_head
Mais
Promoções
AI
Outros
TradFi
WCTC S8
Recompensas

Análise do incidente de ataque x402bridge: Chave privada vazada causa danos a mais de 200 usuários, autorização excessiva expõe riscos.

MarketWhisper
USDC news
ETH-1,15%

A empresa de segurança Web3 GoPlus Security relatou que o novo protocolo de camada cruzada x402bridge sofreu uma vulnerabilidade de segurança, resultando na perda de mais de 200 usuários de USDC, totalizando cerca de 17.693 dólares. Detetives na cadeia e a empresa de segurança SlowMist confirmaram que a vulnerabilidade provavelmente foi causada pela divulgação da chave privada do administrador, permitindo que os atacantes obtivessem permissões especiais de gerenciamento do contrato. A GoPlus Security recomendou urgentemente que todos os usuários com carteiras nesse protocolo cancelassem as autorizações em andamento e lembrou os usuários a nunca concederem autorizações ilimitadas ao contrato. Este incidente expôs os riscos de segurança potenciais no mecanismo x402, onde a chave privada armazenada no servidor pode levar à divulgação das permissões do administrador.

Novo protocolo x402bridge atacado: autorização excessiva expõe vulnerabilidades de segurança da chave privada

O protocolo x402bridge, alguns dias após ser lançado na cadeia, sofreu um ataque de segurança, resultando em perdas financeiras para os usuários. O mecanismo deste protocolo exige que os usuários sejam autorizados pelo contrato Owner antes de poderem cunhar USDC. Neste evento, foi essa autorização excessiva que levou à transferência de stablecoins remanescentes de mais de 200 usuários.

O atacante utilizou a chave privada vazada para roubar USDC dos usuários

De acordo com a observação da GoPlus Security, o fluxo de ataque aponta claramente para o abuso de permissões:

  • Transferência de permissões: O endereço do criador (0xed1A começou ) transferiu a propriedade para o endereço 0x2b8F, concedendo a este último permissões de gestão especiais detidas pela equipe x402bridge, incluindo a capacidade de modificar configurações críticas e transferir ativos.
  • Execução de funcionalidades maliciosas: Após obter o controle, o novo endereço do proprietário executou imediatamente uma função chamada “transferUserToken”, permitindo que esse endereço retirasse os USD Coins restantes de todas as carteiras anteriormente autorizadas a esse contrato.
  • Perda e transferência de fundos: O endereço 0x2b8F roubou um total de aproximadamente 17,693 USD em USDC dos usuários, e em seguida trocou o dinheiro roubado por Ethereum, transferindo-o para a rede Arbitrum através de várias transações cross-chain.

Fonte da vulnerabilidade: Risco de armazenamento da chave privada no mecanismo x402

A equipe do x402bridge respondeu ao incidente de vulnerabilidade, confirmando que o ataque foi causado por uma Chave privada vazada, resultando no roubo de vários testes de equipes e Carteiras principais. O projeto suspendeu todas as atividades e fechou o site, e já reportou às autoridades.

  • Risco do processo de autorização: O protocolo anteriormente explicou o funcionamento do seu mecanismo x402: os usuários assinam ou aprovam transações através da interface da web, as informações de autorização são enviadas para o servidor backend, que posteriormente retira os fundos e cunha os tokens.
  • Risco de exposição da chave privada: A equipe admitiu: “Quando lançamos no x402scan.com, precisamos armazenar a chave privada no servidor para chamar os métodos do contrato.” Este passo pode levar à exposição da chave privada do administrador durante a fase de conexão à Internet, resultando em vazamento de permissões. Uma vez que a chave privada é roubada, os hackers podem assumir todas as permissões do administrador e redistribuir os fundos dos usuários.

Nos dias que antecederam o ataque, o uso do x402 teve um aumento repentino. No dia 27 de outubro, a capitalização de mercado do token x402 ultrapassou pela primeira vez os 800 milhões de dólares, e o volume de transações do protocolo x402 nas principais CEX atingiu 500 mil transações em uma semana, com um crescimento de 10,780% em relação ao período anterior.

Sugestões de segurança: GoPlus apela aos usuários para revogar a autorização imediatamente

Dada a gravidade da fuga de informações, a GoPlus Security recomenda urgentemente que os usuários que possuem Carteiras neste protocolo cancelem imediatamente quaisquer autorizações em andamento. A empresa de segurança também alerta todos os usuários:

  1. Verifique o endereço: Antes de aprovar qualquer transferência, verifique se o endereço autorizado é o endereço oficial do projeto.
  2. Limitar o montante autorizado: apenas autorizar o montante necessário, nunca conceder autorização ilimitada ao contrato.
  3. Verificação regular: Verifique regularmente e revogue autorizações desnecessárias.

Conclusão

O incidente de ataque de vazamento de chave privada ao x402bridge soou mais uma vez o alarme sobre os riscos que componentes centralizados (como servidores que armazenam chaves privadas) trazem para o espaço Web3. Embora o protocolo x402 tenha como objetivo utilizar o código de status HTTP 402 Payment Required para realizar pagamentos de stablecoins instantâneos e programáveis, as vulnerabilidades de segurança em seu mecanismo de implementação precisam ser corrigidas imediatamente. Para os usuários, este ataque foi uma lição cara, lembrando-nos que, ao interagir com qualquer protocolo de blockchain, devemos sempre manter a vigilância e gerenciar com cautela a autorização da carteira.

Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a Isenção de responsabilidade.

Related Articles

Circle emite 250M de USDC na Solana

solana newsUSDC newsEventos de tokens

Mensagem de Gate News, 16 de abril — De acordo com a Whale Alert, a Circle cunhou 250 milhões de USDC na blockchain Solana.

GateNews4h atrás

CEO da Circle: a stablecoin renminbi tem um enorme potencial de oportunidade de negócio, e estamos otimistas com Hong Kong como um centro de pagamentos transfronteiriços

USDC newsEventos de tokensParcerias e ecossistema

O CEO da Circle, Jeremy Allaire, afirmou que o yuan stablecoin enfrenta uma grande oportunidade de negócio, prevendo que a China venha a lançar produtos relacionados nos próximos três a cinco anos e que isso poderá alterar a sua atitude face à regulamentação dos activos digitais. À medida que a procura por USDC aumenta, a potencialidade dos pagamentos transfronteiriços de Hong Kong tem também recebido mais atenção, e a Circle acompanha de perto as mudanças nas políticas de regulação dos EUA.

ChainNewsAbmedia9h atrás

Um Whal deposita 3.500 ETH na Aave V3, contrai 8M USDC e compra de volta 3.386 ETH

ethereum newsUSDC news

Uma baleia depositou 3.500 ETH no valor de 8,26 milhões de dólares na Aave V3, contraiu um empréstimo de 8 milhões de USDC e, em seguida, comprou 3.386 ETH e voltou a depositá-lo, estando agora a deter 6.886 ETH avaliados em cerca de 16,22 milhões de dólares.

GateNews11h atrás

A Circle Lança um Mecanismo de Liquidação de USDC Transfronteiriça Suportando Pagamentos em Lote

USDC newsProgresso do projeto

A Circle lançou um novo mecanismo de pagamentos USDC cross-chain para liquidações de alta frequência, utilizando o Cross-Chain Transfer Protocol para pré-financiar transferências e permitir liquidações em lote, minimizando assim a sobrecarga operacional e reduzindo operações de queima.

GateNews17h atrás

Era das stablecoins! O fundador da Circle, Jeremy Allaire, entra para os 100 mais influentes do mundo em 2026

USDC newsProgresso do projetoParcerias e ecossistemaAções

Num contexto em que a supervisão global da criptografia e da regulamentação financeira se vai expandindo gradualmente, o fundador da Circle, Jeremy Allaire, foi eleito como uma das «Time» 100 Personalidades Mais Influentes de 2026, simbolizando uma importância crescente das stablecoins. A Circle evoluiu de pagamentos digitais para um ecossistema de stablecoins centrado no USDC e planeia tornar-se parte da infraestrutura financeira global. Esta mudança faz com que o seu modelo de negócio se aproxime mais dos fundos de mercado de moeda digital, prevendo a potencial rentabilidade e crescimento futuros das stablecoins.

ChainNewsAbmedia04-15 17:25

Criticado por congelar demasiado devagar USDC! O CEO da Circle: temos de esperar necessariamente uma ordem do tribunal para congelar, recusamo-nos a congelar por iniciativa própria

USDC newsRegulamento e PolíticaAções de execução

Circle CEO Jeremy Allaire afirma que, a menos que receba uma ordem do tribunal ou uma exigência das autoridades de aplicação da lei, a empresa não irá congelar proactivamente endereços de carteiras. Mesmo perante a polémica de lavagem de dinheiro envolvendo hackers e as críticas da comunidade, a Circle mantém-se firme no compromisso de operar com base no Estado de direito. Jeremy Allaire define a linha vermelha da aplicação da lei da Circle ----------------------------- No meio das mudanças rápidas no mercado global de criptomoedas, o CEO da empresa de stablecoins Circle, Jeremy Allaire, numa conferência de imprensa em Seul, na Coreia do Sul, apresentou uma posição clara sobre o tema mais sensível ao mercado: o “congelamento de ativos”. Ele salientou que, embora a Circle tenha meios técnicos para congelar endereços de carteiras específicos, a menos que receba uma ordem judicial ou uma instrução formal das autoridades de aplicação da lei, a empresa não

CryptoCity04-15 12:03
Comentar
0/400
Nenhum comentário