Web3 安全公司 GoPlus Security 報告稱,新推出的跨層協議 x402bridge 遭受安全漏洞,導致超過 200 名用戶 損失了 USDC,總計約 17,693 美元。鏈上偵探和安全公司 SlowMist 均確認,該漏洞最可能由管理員私鑰泄露所致,使攻擊者獲得了合約的特殊管理權限。GoPlus Security 緊急建議所有在該協議上擁有錢包的用戶盡快取消正在進行的授權,並提醒用戶永遠不要向合約授予無限授權。此次事件暴露了 x402 機制中,服務器存儲的私鑰可能導致管理員權限泄露的潛在安全風險。
新協議 x402bridge 遭攻擊:超額授權暴露私鑰安全隱患
x402bridge 協議在上線鏈上幾天後,就遭遇了一次安全攻擊,導致用戶資金損失。該協議的機制要求用戶在鑄造 USDC 前,必須先由 Owner 合約進行授權。在本次事件中,正是這種超額授權導致了超過 200 名用戶剩餘的穩定幣被轉移。
攻擊者利用泄露私鑰竊取用戶 USDC
根據 GoPlus Security 的觀察,攻擊流程清晰地指向了 權限濫用:
- 權限轉移: 創建者地址 (0xed1A 開頭) 將所有權轉移給了地址 0x2b8F,授予了後者由 x402bridge 團隊持有的特殊 管理權限,包括修改關鍵設置和轉移資產的能力。
- 執行惡意功能: 在獲得控制權後,新所有者地址立即執行了一個名爲 “transferUserToken” 的功能,使得該地址能夠從所有此前授權給該合約的錢包中,提取剩餘的 USD Coins。
- 資金損失與轉移: 地址 0x2b8F 總共從用戶處竊取了價值約 17,693 美元 的 USDC,隨後將贓款兌換成以太坊,並通過多次跨鏈交易轉移到 Arbitrum 網路。
漏洞根源:x402 機制中的私鑰存儲風險
x402bridge 團隊已對此次漏洞事件進行了回應,確認攻擊是由於 私鑰泄露 導致的,使得十幾個團隊測試和主要錢包被盜用。該項目已暫停所有活動並關閉網站,並已向執法部門報告。
- 授權流程風險: 協議此前曾解釋其 x402 機制 的工作原理:用戶通過網頁界面籤名或批準交易,授權信息被發送到 後端服務器,服務器隨後提取資金並鑄造代幣。
- 私鑰暴露風險: 團隊坦言:“當我們在 x402scan. com 上線時,我們需要在 服務器上存儲私鑰才能調用合約方法。”這一步驟可能導致 管理員私鑰 在連接互聯網的階段暴露,從而引發權限泄露。一旦私鑰被盜,黑客即可接管所有管理員權限並重新分配用戶資金。
在本次攻擊發生前幾天,x402 交易的使用量曾出現激增,10 月 27 日,x402 代幣的市值首次突破 8 億美元,主流CEX 的 x402 協議在一周內的交易量達到 50 萬筆,環比增長 10,780%。
安全建議:GoPlus 呼籲用戶立即取消授權
鑑於此次泄露的嚴重性,GoPlus Security 緊急建議在該協議上擁有錢包的用戶立即取消任何正在進行的授權。安全公司同時提醒所有用戶:
- 核對地址: 在批準任何轉移之前,檢查授權地址是否爲項目的 官方地址。
- 限制授權金額: 僅授權 必要的金額,切勿向合約授予 無限授權。
- 定期檢查: 定期檢查並 撤銷不必要的授權。
結語
x402bridge 遭受私鑰泄露攻擊的事件,再次敲響了 Web3 領域關於中心化組件(如服務器存儲私鑰)帶來風險的警鍾。盡管 x402 協議旨在利用 HTTP 402 Payment Required 狀態碼實現即時、可編程的 穩定幣 支付,但其實現機制中的 安全漏洞 必須得到立即修復。對於用戶而言,這次攻擊是一次昂貴的教訓,提醒我們在與任何區塊鏈協議交互時,必須時刻保持 警惕,謹慎管理錢包授權。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
USDC Overtook USDT in Adjusted YTD Volume, Says Mizuho
Analysts at Mizuho say a shift in stablecoin usage is underway, with a Circle-issued dollar-pegged token appearing to surpass its main rival in on-chain transaction volume for the first time since 2019. In a Friday research note, the bank highlighted year-to-date adjusted volumes of about $2.2
Crypto Breaking1小時前
Circle Introduces AI Skills for USDC, EURC Blockchain Tools
Circle Skills lets AI agents perform payments, wallet tasks, and smart contract actions using USDC and EURC.
Tool integrates with AI platforms like Cursor, Claude Code, and Codex to build stablecoin apps faster.
Circle tested AI agents with a $30K USDC hackathon that produced 204
CryptoFrontNews2小時前
Whale 0x3ed4 Returns with $1.75M USDC Deposit on Hyperliquid for 20x Oil Long Position
Gate News bot message, Whale address 0x3ed4 resumed trading after nearly two months of inactivity, depositing 1.75 million USDC into Hyperliquid to establish a long position on oil. In the past four hours, the whale opened a 20x leveraged long position on 113,080 xyz:CL valued at $11.52 million. The
GateNews7小時前
Trend Research 向某 CEX 转入 1.5047 亿枚 USDC
Gate News 消息,3 月 14 日,据 Onchain Lens 监测,Trend Research 向某 CEX 转入 1.5047 亿枚 USDC,并可能提取更多 ETH。
GateNews9小時前
新台幣穩定幣應用場景待釐清!兆豐金實測:大額跨境匯款「銀行仍佔優」
兆豐銀行進行穩定幣與傳統銀行跨境匯款的比較實測。結果顯示,穩定幣在小額匯款上速度快且成本較低,但當金額超過約7,000美元時,銀行的成本優勢明顯。穩定幣跨境匯款受到多國監管限制影響,實際應用場景仍需探討。董瑞斌強調傳統銀行在資金清算與合規管理上具有不可取代的基礎設施。
区块客10小時前
