การละเมิดความปลอดภัยของ GoPlus และ 402bridge
GoPlus ได้ตรวจพบการอนุญาตที่ ผิดปกติ ที่เกี่ยวข้องกับ 402bridge ส่งผลให้ผู้ใช้มากกว่า 200 คน สูญเสีย USDC จากการอนุญาตที่มากเกินไปที่ทำโดยโปรโตคอล เมื่อวันที่ 28 ตุลาคม บัญชีโซเชียลมีเดียของ GoPlus Security ในจีนได้แจ้งเตือนผู้ใช้เกี่ยวกับการละเมิดความปลอดภัยที่สงสัยซึ่งเกี่ยวข้องกับโปรโตคอลข้ามชั้น x402 และ x402bridge.
รายละเอียดการแฮ็ก
การแฮ็กเกิดขึ้นเพียงไม่กี่วันหลังจากที่โปรโตคอลถูกเปิดตัวบนเชน ก่อนที่จะสร้าง USDC (USDC) การกระทำต้องได้รับการอนุญาตจากสัญญาเจ้าของก่อน ในกรณีนี้ การอนุญาตที่มากเกินไปทำให้ผู้ใช้มากกว่า 200 คน สูญเสียเหรียญเสถียรที่เหลืออยู่ในชุดการโอน.
GoPlus (GPS) ได้ชี้ให้เห็นว่าผู้สร้างสัญญาที่เริ่มต้นด้วย 0xed1A ได้ทำการโอนความเป็นเจ้าของไปยังที่อยู่ 0x2b8F ซึ่งมอบสิทธิพิเศษในการบริหารจัดการให้กับที่อยู่ใหม่ที่ถือโดยทีม x402bridge เช่น ความสามารถในการปรับเปลี่ยนการตั้งค่าที่สำคัญและย้ายสินทรัพย์.
“หลังจากที่ได้ควบคุมแล้ว ที่อยู่เจ้าของใหม่ได้ดำเนินการฟังก์ชันที่เรียกว่า “transferUserToken” ฟังก์ชันนี้อนุญาตให้ที่อยู่ดังกล่าวดึงเหรียญ USD ที่เหลืออยู่จากกระเป๋าเงินที่เคยอนุญาตให้กับสัญญา.”
โดยรวมแล้ว ที่อยู่ 0x2b8F ได้ดึง USDC มูลค่าประมาณ $17,693 จากผู้ใช้ก่อนที่จะแลกเปลี่ยนเงินที่ถูกขโมยเป็น ETH. ETH ที่ถูกแปลงใหม่ถูกโอนต่อไปยัง Arbitrum ผ่านการทำธุรกรรมข้ามเชนหลายรายการ.
คำแนะนำจาก GoPlus Security
เนื่องจากการละเมิดนี้ GoPlus Security แนะนำให้ผู้ใช้ที่ถือกระเป๋าเงินในโปรโตคอลยกเลิกการอนุญาตที่กำลังดำเนินการโดยเร็วที่สุด บริษัทความปลอดภัยยังเตือนผู้ใช้ให้ตรวจสอบว่าที่อยู่ที่ได้รับอนุญาตเป็นที่อยู่ทางการของโครงการก่อนที่จะอนุมัติการโอนใด ๆ.
นอกจากนี้ ผู้ใช้ยังได้รับการสนับสนุนให้อนุญาตเฉพาะจำนวนที่จำเป็นและไม่ให้การอนุญาตไม่จำกัดแก่สัญญา โดยรวมแล้วพวกเขาถูกกระตุ้นให้ตรวจสอบการอนุญาตเป็นประจำและเพิกถอนการอนุญาตที่ไม่จำเป็น.
การเติบโตของโปรโตคอล x402
การแฮ็กเกิดขึ้นเพียงไม่กี่วันหลังจากที่การทำธุรกรรม x402 เริ่มเห็นการเติบโตอย่างรวดเร็ว เมื่อวันที่ 27 ตุลาคม มูลค่าตลาดของโทเค็น x402 เกิน $800 ล้าน เป็นครั้งแรก.
ในขณะเดียวกัน โปรโตคอล x402 ของ Coinbase บันทึกการทำธุรกรรม 500,000 รายการ ในหนึ่งสัปดาห์ ซึ่งแสดงถึงการเพิ่มขึ้น 10,780% เมื่อเปรียบเทียบกับเดือนก่อนหน้า.
การวิเคราะห์การละเมิด
นักสืบเชนและบริษัทความปลอดภัยบล็อกเชนเช่น SlowMist ได้สรุปว่าการละเมิดนี้น่าจะเกิดจากการ รั่วไหลของกุญแจส่วนตัว. อย่างไรก็ตาม พวกเขาไม่ได้ตัดความเป็นไปได้ของการมีส่วนร่วมจากภายใน.
เนื่องจากการละเมิดนี้ โครงการได้หยุดกิจกรรมทั้งหมดและเว็บไซต์ของตนขณะนี้ไม่ออนไลน์. บัญชีทางการของ 402bridge ได้กล่าวถึงการโจมตีนี้ ยืนยันว่ามันเกิดจากการรั่วไหลของกุญแจส่วนตัวซึ่งทำให้กระเป๋าเงินทดสอบของทีมและกระเป๋าเงินหลักในโปรโตคอลถูกบุกรุกในกระบวนการ.
“เราได้รายงานเหตุการณ์นี้ไปยังหน่วยงานบังคับใช้กฎหมายอย่างรวดเร็วและจะคอยอัปเดตชุมชนด้วยข้อมูลที่ทันเวลาเมื่อการสอบสวนดำเนินไป.”
โปรโตคอลได้อธิบายว่ากลไก x402 ทำงานอย่างไร โดยต้องการให้ผู้ใช้ลงชื่อหรืออนุมัติธุรกรรมผ่านส่วนติดต่อเว็บ. การอนุญาตจะถูกส่งไปยังเซิร์ฟเวอร์ด้านหลังที่ดึงเงินและสร้างโทเค็น.
“เมื่อเราลงทะเบียนที่ x402scan.com เราจำเป็นต้องเก็บกุญแจส่วนตัวไว้ในเซิร์ฟเวอร์เพื่อเรียกใช้วิธีการของสัญญา.”
ทีมงานกล่าวต่อไปว่า หากกุญแจส่วนตัวถูกขโมยโดยแฮ็กเกอร์ พวกเขาจะสามารถเข้าควบคุมสิทธิพิเศษของผู้ดูแลระบบทั้งหมดและโอนเงินของผู้ใช้ไปยังสัญญาของแฮ็กเกอร์.
