Web3 セキュリティ企業 GoPlus Security は、新しくリリースされたクロスレイヤープロトコル x402bridge がセキュリティの脆弱性に直面し、200人以上のユーザーが USDC を失い、合計約 17,693 米ドルに達したと報告しています。オンチェーンの探偵およびセキュリティ企業 SlowMist は、この脆弱性が最も可能性の高いもので管理者の秘密鍵の漏洩によって引き起こされたものであり、攻撃者が契約の特別な管理権限を取得したことを確認しています。GoPlus Security は、当該プロトコル上にウォレットを持つすべてのユーザーに対し、進行中の承認をできるだけ早くキャンセルするよう緊急に推奨し、ユーザーには契約に無制限の権限を与えないよう警告しています。この事件は、x402 メカニズムにおいて、サーバーに保存された秘密鍵が管理者権限の漏洩を引き起こす可能性のあるセキュリティリスクを暴露しました。
新プロトコル x402bridge が攻撃を受ける:過剰な権限付与が秘密鍵のセキュリティリスクを露呈
x402bridge プロトコルは、オンチェーンに上がって数日後に安全攻撃に遭い、ユーザーの資金が損失しました。このプロトコルのメカニズムでは、ユーザーが USDC をミントする前に、必ず Owner コントラクトによって権限付与を受ける必要があります。今回の事件では、まさにこの過剰な権限付与が原因で、200 人以上のユーザーの残高のステーブルコインが移転されました。
攻撃者が漏洩した秘密鍵を利用してユーザーの USDC を盗む
GoPlus Security の観察によると、攻撃プロセスは明確に 権限の濫用 を指し示しています。
- 権限移転: 作成者アドレス (0xed1A 先頭) は全ての権利をアドレス 0x2b8F に移転し、後者に x402bridge チームが保有する特別な管理権限、重要な設定の変更や資産の移転能力を付与しました。
- 悪意の機能を実行:権限を取得した後、新しい所有者のアドレスは「transferUserToken」という機能を直ちに実行し、そのアドレスは以前にこの契約に対して承認されたすべてのウォレットから残りの USD Coins を引き出すことができる。
- 資金の損失と移転:アドレス 0x2b8F はユーザーから約 17,693 USD の USDC を盗み、その後、盗まれた資金をイーサリアムに交換し、複数回のクロスチェーン取引を通じて Arbitrum ネットワークに移転しました。
脆弱性の根源:x402 メカニズムにおける秘密鍵の保管リスク
x402bridge チームはこの脆弱性事件に対して対応を行い、攻撃が秘密鍵の漏洩によって引き起こされたことを確認しました。その結果、十数のチームのテストおよび主要なウォレットが盗用されました。このプロジェクトはすべての活動を停止し、ウェブサイトを閉鎖し、法執行機関に報告しました。
- 認可プロセスのリスク: プロトコルは以前にその x402 メカニズムの動作原理を説明しました:ユーザーはウェブページインターフェイスを通じて取引に署名または承認し、認可情報がバックエンドサーバーに送信され、サーバーはその後資金を引き出し、トークンを鋳造します。
- 秘密鍵の露出リスク:チームは「x402scan.comに上线する際、サーバー上に秘密鍵を保存する必要があり、これにより契約メソッドを呼び出すことができます。」と認めています。このステップは、インターネットに接続されている段階で管理者の秘密鍵が露出する可能性があり、権限の漏洩を引き起こす可能性があります。一旦秘密鍵が盗まれると、ハッカーはすべての管理者権限を掌握し、ユーザー資金を再配分することができます。
攻撃が発生する数日前、x402取引の使用量が急増し、10月27日にx402トークンの時価総額が初めて8億ドルを突破しました。主流のCEXのx402プロトコルの取引量は1週間で50万件に達し、前月比で10,780%の増加を記録しました。
セキュリティ提案:GoPlusはユーザーに即座に権限を取り消すよう呼びかけています
今回の漏洩の深刻さを考慮して、GoPlus Security はこのプロトコル上にウォレットを持つユーザーに対し、直ちに進行中の承認をキャンセルすることを緊急に推奨します。セキュリティ会社はすべてのユーザーに対しても警告しています:
- アドレスの確認: いかなる転送を承認する前に、承認されたアドレスがプロジェクトの公式アドレスであることを確認してください。
- 限制された承認額:必要な金額のみを承認し、契約に対して無制限の承認を与えないでください。
- 定期チェック:定期的にチェックし、不必要な権限を取り消してください。
まとめ
x402bridgeが秘密鍵漏洩攻撃を受けた事件は、Web3分野における中央集権コンポーネント(サーバーが秘密鍵を保存するなど)がもたらすリスクについて再度警鐘を鳴らしました。x402プロトコルはHTTP 402 Payment Requiredステータスコードを利用して即時かつプログラム可能なステーブルコイン支払いを実現することを目的としていますが、その実装メカニズムにおけるセキュリティホールは直ちに修正される必要があります。ユーザーにとって、今回の攻撃は高額な教訓であり、あらゆるブロックチェーンプロトコルと相互作用する際には常に警戒を怠らず、ウォレットの権限管理を慎重に行う必要があることを思い出させます。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
サークル、アジアの越境需要が拡大する中でUSDCアクセスをOSLで拡大
デジタルドルの流動性に対する機関投資家のアクセスは、国境を越えた決済需要の高まりと、ステーブルコインが市場インフラでより大きな役割を担うにつれて拡大しています。OSL GroupとCircleは、アジアにおいて取引、決済、決済におけるUSDCの利用を拡大しています。
主なポイント:
OSL GroupはUSDCのアクセスを拡大しました
Coinpedia5時間前
CHIP の清算が1時間で $1.2M に到達、トレーダー neoyokio.eth が $2.2M のロングを開始
Gate News メッセージ、4月23日 — Hyperinsight および Coinglass のモニタリングデータによると、過去1時間の清算において CHIP が全アセットをリードし、主にロングポジションで約 $1.2 million の清算ポジションが発生しました。Hyperliquid プラットフォームでは、単一のアドレスが過去4時間で2回清算され、
GateNews5時間前
Pornhub、より高い信頼性のためにクリエイターへの支払いをUSDTからUSDCへ切り替え
Pornhubは、信頼性とMiCAへの準拠を理由に、クリエイターへの支払いをUSDTからUSDCに切り替えました。古いUSDT-PayPalの関連やTronLinkベースの提携は削除されています。
要約:Pornhubは、クリエイターへのUSDT支払いをUSDCに置き換えました。USDCのほうが信頼性が高く、MiCAに準拠していると主張しています。この動きにより、PayPal-USDTの関連とTronLinkベースの決済インフラが終了し、これらの提携はクリエイターの支払いページから削除されました。
GateNews6時間前
CircleはAaveの凍結されたUSDCプール向けに緊急のレート見直しを提案
要約:Circleは緊急のAave V3 USDC刷新を提案しており、健全な利用率を取り戻すためにSlope 2を~40%に引き上げて利用率目標(を約85%)へ戻す。最大金利は~48%に上昇し、借り手は金利を無視していると主張している。また、USDCリスクオラクルの停止も提案している。
概要:Circleは、KelpDAOのエクスプロイト後の4日間で、アイドル流動性がほぼ6%で利用率が99.87%に達したことを受けて、Aave V3のUSDCプールの緊急刷新を促した。計画では、USDC預金のSlope 2をただちに約10%から40%へ引き上げ、その後1週間以内にガバナンスによる50%目標の承認を行う。狙いは、供給を呼び込み、利用率のバランスを回復することにある。完全利用時には、より高い最大供給レート(約48%)へ移行する。Liaoは、現在の借り手がUSDCの借入をキューバイパスの仕組みとして使っており、現行の金利に鈍感だと論じている。そのため、供給重視のインセンティブが不可欠だという。提案はまた、過去の実績不振を理由にUSDCリスクオラクルの停止を推奨している。ステーブルコインの発行体が、Aave上での自社資産の市場が壊れていると言っている点で、Circleの立場は注目に値する。
CryptoFrontier9時間前
USDCトレジャリーがイーサリアムで2億USDCを鋳造、価値は約$199.9M
概要:USDCトレジャリーは22:00 UTCにイーサリアム上で2億USDCを鋳造。約$199.9M相当で、Whale Alertによると。
要約:Gate Newsの更新によれば、USDCトレジャリーは22:00 UTCにイーサリアム・ネットワーク上で2億USDCを鋳造し、Whale Alertが鋳造を裏付けた。新たな供給額はおよそ1億9,990万ドルと評価されており、USDC発行の大幅な増加を示している。
GateNews16時間前
RedotPayがSuiおよびUSDC-Suiを統合し、100カ国以上への決済を拡大
RedotPayは現在、Suiネットワーク上でSUIおよびUSDC-Suiに対応しており、暗号と商取引をつなぐスケーラブルな国境を越えた取引によって、1億3,000万人の加盟店と700万人の顧客向けに、より高速なグローバル決済を可能にします。
要旨:RedotPayは、Suiネットワーク上でSUIおよびUSDC-Suiのサポートを追加し、自社のエコシステム全体でシームレスな決済処理とグローバルな支払いを実現できるようにしました。100カ国以上の1億3,000万人超の加盟店、約700万人の顧客にサービスを提供する同プラットフォームは、より高速で、よりスケーラブルな国境を越えた決済と、ブロックチェーンによる金融アクセスの拡充を目指しています。SUIおよびUSDC-Suiを統合することで、RedotPayは、デジタル資産と現実世界の商取引を結び付けつつ、安全で効率的な取引を確保しながら、世界中への送受金をより簡単にすることを狙います。
GateNews23時間前
