Otorisasi Mencurigakan Terkait 402bridge
GoPlus telah mendeteksi adanya otorisasi yang mencurigakan terkait dengan 402bridge, yang menyebabkan lebih dari 200 pengguna kehilangan USDC akibat otorisasi berlebihan yang dilakukan oleh protokol tersebut. Pada 28 Oktober, akun media sosial GoPlus Security di Tiongkok memperingatkan pengguna tentang dugaan pelanggaran keamanan yang melibatkan protokol lintas lapisan x402, yaitu x402bridge. Peretasan ini terjadi hanya beberapa hari setelah protokol diluncurkan di blockchain.
Detail Pelanggaran
Sebelum mencetak USDC, tindakan tersebut harus terlebih dahulu diotorisasi oleh kontrak Pemilik. Dalam kasus ini, otorisasi berlebihan menyebabkan lebih dari 200 pengguna kehilangan sisa stablecoin mereka dalam serangkaian transfer. GoPlus (GPS) mencatat bahwa pencipta kontrak yang dimulai dengan 0xed1A melakukan transfer kepemilikan ke alamat 0x2b8F, memberikan alamat baru tersebut hak administratif khusus yang sebelumnya dipegang oleh tim x402bridge, seperti kemampuan untuk memodifikasi pengaturan kunci dan memindahkan aset.
Tak lama setelah mendapatkan kendali, alamat pemilik baru menjalankan fungsi yang disebut “transferUserToken”. Fungsi ini memungkinkan alamat tersebut untuk menguras semua sisa USD Coin dari dompet yang sebelumnya telah memberikan otorisasi kepada kontrak. Secara total, alamat 0x2b8F menguras sekitar $17,693 dalam bentuk USDC dari pengguna sebelum menukar dana yang dicuri menjadi ETH. ETH yang baru dikonversi kemudian ditransfer ke Arbitrum melalui beberapa transaksi lintas rantai.
Rekomendasi untuk Pengguna
Sebagai akibat dari pelanggaran ini, GoPlus Security merekomendasikan pengguna yang memiliki dompet di protokol untuk segera membatalkan semua otorisasi yang sedang berlangsung. Perusahaan keamanan tersebut juga mengingatkan pengguna untuk memeriksa apakah alamat yang diotorisasi adalah alamat resmi proyek sebelum menyetujui transfer apa pun. Selain itu, pengguna didorong untuk hanya memberikan otorisasi sesuai kebutuhan dan tidak pernah memberikan otorisasi tanpa batas kepada kontrak. Secara keseluruhan, mereka disarankan untuk secara teratur memeriksa otorisasi dan mencabut yang tidak perlu.
Peningkatan Penggunaan Protokol x402
Peretasan ini terjadi hanya beberapa hari setelah transaksi x402 mulai mengalami lonjakan penggunaan. Pada 27 Oktober, nilai pasar token x402 melampaui $800 juta untuk pertama kalinya. Sementara itu, protokol x402 Coinbase mencatat 500.000 transaksi dalam satu minggu, menunjukkan peningkatan 10.780% dibandingkan bulan sebelumnya. Protokol x402 memungkinkan baik manusia maupun agen AI untuk melakukan transaksi menggunakan kode status HTTP 402 Payment Required, yang memungkinkan pembayaran instan dan terprogram untuk API dan konten digital. Ini berarti bahwa mereka dapat melakukan pembayaran stablecoin instan melalui HTTP.
Penyelidikan dan Tindakan Selanjutnya
Penyidik on-chain dan perusahaan keamanan blockchain seperti SlowMist telah menyimpulkan bahwa pelanggaran ini kemungkinan besar disebabkan oleh kebocoran kunci pribadi. Namun, mereka tidak menutup kemungkinan adanya keterlibatan orang dalam. Akibat pelanggaran ini, proyek telah menghentikan semua aktivitas dan situs webnya kini tidak dapat diakses. Akun resmi untuk 402bridge sejak itu telah membahas eksploitasi tersebut, mengonfirmasi bahwa itu memang disebabkan oleh kebocoran kunci pribadi yang mengakibatkan lebih dari selusin dompet uji tim dan dompet utama di protokol terkompromi dalam prosesnya. Tim saat ini sedang menyelidiki insiden tersebut dan telah melaporkannya kepada pihak berwenang.
“Kami telah segera melaporkan insiden ini kepada pihak berwenang dan akan terus memberi informasi kepada komunitas dengan pembaruan tepat waktu seiring berjalannya penyelidikan,” kata 402bridge.
Dalam sebuah pos terpisah yang dibagikan sebelumnya, protokol menjelaskan bagaimana mekanisme x402 bekerja. Ini mengharuskan pengguna untuk menandatangani atau menyetujui transaksi melalui antarmuka web. Otorisasi kemudian dikirim ke server backend yang mengekstrak dana dan mencetak token. “Ketika kami bergabung dengan x402scan.com, kami perlu menyimpan kunci pribadi di server untuk memanggil metode kontrak,” kata protokol. “Langkah ini dapat mengekspos hak administratif karena kunci pribadi admin terhubung ke internet pada tahap ini, yang berpotensi menyebabkan kebocoran izin,” lanjut tim. Akibatnya, jika kunci pribadi dicuri oleh peretas, maka mereka dapat mengambil alih semua hak administratif dan mengalihkan dana pengguna ke kontrak peretas.
