暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、Mastercard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
WCTC S8
報酬

x402bridge攻撃の分析:秘密鍵の漏洩により200人以上のユーザーが被害を受け、過剰認証の隠れた危険性が露呈

MarketWhisper
USDC news
USDC-0.01%
ETH2.42%

Web3 セキュリティ企業 GoPlus Security は、新しくリリースされたクロスレイヤープロトコル x402bridge がセキュリティの脆弱性に直面し、200人以上のユーザーが USDC を失い、合計約 17,693 米ドルに達したと報告しています。オンチェーンの探偵およびセキュリティ企業 SlowMist は、この脆弱性が最も可能性の高いもので管理者の秘密鍵の漏洩によって引き起こされたものであり、攻撃者が契約の特別な管理権限を取得したことを確認しています。GoPlus Security は、当該プロトコル上にウォレットを持つすべてのユーザーに対し、進行中の承認をできるだけ早くキャンセルするよう緊急に推奨し、ユーザーには契約に無制限の権限を与えないよう警告しています。この事件は、x402 メカニズムにおいて、サーバーに保存された秘密鍵が管理者権限の漏洩を引き起こす可能性のあるセキュリティリスクを暴露しました。

新プロトコル x402bridge が攻撃を受ける:過剰な権限付与が秘密鍵のセキュリティリスクを露呈

x402bridge プロトコルは、オンチェーンに上がって数日後に安全攻撃に遭い、ユーザーの資金が損失しました。このプロトコルのメカニズムでは、ユーザーが USDC をミントする前に、必ず Owner コントラクトによって権限付与を受ける必要があります。今回の事件では、まさにこの過剰な権限付与が原因で、200 人以上のユーザーの残高のステーブルコインが移転されました。

攻撃者が漏洩した秘密鍵を利用してユーザーの USDC を盗む

GoPlus Security の観察によると、攻撃プロセスは明確に 権限の濫用 を指し示しています。

  • 権限移転: 作成者アドレス (0xed1A 先頭) は全ての権利をアドレス 0x2b8F に移転し、後者に x402bridge チームが保有する特別な管理権限、重要な設定の変更や資産の移転能力を付与しました。
  • 悪意の機能を実行:権限を取得した後、新しい所有者のアドレスは「transferUserToken」という機能を直ちに実行し、そのアドレスは以前にこの契約に対して承認されたすべてのウォレットから残りの USD Coins を引き出すことができる。
  • 資金の損失と移転:アドレス 0x2b8F はユーザーから約 17,693 USD の USDC を盗み、その後、盗まれた資金をイーサリアムに交換し、複数回のクロスチェーン取引を通じて Arbitrum ネットワークに移転しました。

脆弱性の根源:x402 メカニズムにおける秘密鍵の保管リスク

x402bridge チームはこの脆弱性事件に対して対応を行い、攻撃が秘密鍵の漏洩によって引き起こされたことを確認しました。その結果、十数のチームのテストおよび主要なウォレットが盗用されました。このプロジェクトはすべての活動を停止し、ウェブサイトを閉鎖し、法執行機関に報告しました。

  • 認可プロセスのリスク: プロトコルは以前にその x402 メカニズムの動作原理を説明しました:ユーザーはウェブページインターフェイスを通じて取引に署名または承認し、認可情報がバックエンドサーバーに送信され、サーバーはその後資金を引き出し、トークンを鋳造します。
  • 秘密鍵の露出リスク:チームは「x402scan.comに上线する際、サーバー上に秘密鍵を保存する必要があり、これにより契約メソッドを呼び出すことができます。」と認めています。このステップは、インターネットに接続されている段階で管理者の秘密鍵が露出する可能性があり、権限の漏洩を引き起こす可能性があります。一旦秘密鍵が盗まれると、ハッカーはすべての管理者権限を掌握し、ユーザー資金を再配分することができます。

攻撃が発生する数日前、x402取引の使用量が急増し、10月27日にx402トークンの時価総額が初めて8億ドルを突破しました。主流のCEXのx402プロトコルの取引量は1週間で50万件に達し、前月比で10,780%の増加を記録しました。

セキュリティ提案:GoPlusはユーザーに即座に権限を取り消すよう呼びかけています

今回の漏洩の深刻さを考慮して、GoPlus Security はこのプロトコル上にウォレットを持つユーザーに対し、直ちに進行中の承認をキャンセルすることを緊急に推奨します。セキュリティ会社はすべてのユーザーに対しても警告しています:

  1. アドレスの確認: いかなる転送を承認する前に、承認されたアドレスがプロジェクトの公式アドレスであることを確認してください。
  2. 限制された承認額:必要な金額のみを承認し、契約に対して無制限の承認を与えないでください。
  3. 定期チェック:定期的にチェックし、不必要な権限を取り消してください。

まとめ

x402bridgeが秘密鍵漏洩攻撃を受けた事件は、Web3分野における中央集権コンポーネント(サーバーが秘密鍵を保存するなど)がもたらすリスクについて再度警鐘を鳴らしました。x402プロトコルはHTTP 402 Payment Requiredステータスコードを利用して即時かつプログラム可能なステーブルコイン支払いを実現することを目的としていますが、その実装メカニズムにおけるセキュリティホールは直ちに修正される必要があります。ユーザーにとって、今回の攻撃は高額な教訓であり、あらゆるブロックチェーンプロトコルと相互作用する際には常に警戒を怠らず、ウォレットの権限管理を慎重に行う必要があることを思い出させます。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

関連記事

USDCの流通量が過去7日で700M減少、総供給は78Bに到達

USDC news資金フローオンチェーンデータ

Gate Newsメッセージ、4月26日 — 過去7日間(4月23日まで)にかけて、Circleは約51億USDCを発行する一方で、約58億USDCを償還し、その結果、流通量は純減で7億USDCとなりました。 USDACの総供給量は780億で、約78.2億ドルの裏付けに支えられています

GateNews11時間前

RookieXBT にリンクされたウォレットが 25,000 USDC で 189 万 SPIKE トークンを購入

USDC news資金フロー

ゲートニュースメッセージ。@RookieXBT に関連付けられたウォレットアドレスが取引を実行し、25,000 USDC を支払って 189 万 SPIKE トークンを取得しました。

GateNews21時間前

USDCの流通量は7日間で700M減の780B、準備金は782Bに

USDC news資金フローオンチェーンデータ

Gate Newsメッセージ、4月25日――4月23日までの7日間で、Circleは約51億USDCを発行する一方、約58億USDCを償還し、その結果、流通量はUSDCが7億減少しました。総USDC流通量は780億で、約782億の裏付けがあります。

GateNews04-25 11:05

OSL Group and Circle Partner to Expand USDC Access Across Trading and Payment Platforms

USDC newsパートナーシップ・エコシステム

Gate Newsのメッセージ、4月24日 — OSL Group (HKEX: 863)、グローバルなステーブルコインの決済・取引プラットフォームは、主要な金融プラットフォーム企業であるCircle (NYSE: CRCL)との提携を4月22日に発表し、OSLの決済・取引エコシステム全体でUSDCへのアクセスを拡大するとした。 OSLグローバルを通じて、OSLの国際取引プラットフォームでは、ユーザーは現在1:1ベースでUSDおよびUSDCの換算にアクセスできる。プラットフォームは、専用のUSDC取引ゾーンにおいて注文板機能を備えたPro Tradingを提供し、主要な取引ペアとしてBTC、ETH、SOL、USD、USDTの5つを取りそろえる。OSLは、対象となる顧客の資本効率と取引の柔軟性を高めるため、OSLグローバルにおいて統一された証拠金資産としてUSDCを統合した。決済事業は、準拠したデジタルドルの決済および支払いのユースケースを支えるためにUSDCを取り入れた。 OSLは、適用される規制要件に従い、トークン化されたマネー・マーケット・ファンドであるCircleのUSYCへのアクセスを支援する。OSL Groupの最高商務責任者(CCO)であるEugene Cheungは、「この提携は、活気あるステーブルコイン・エコシステムを構築し、ステーブルコイン、法定通貨、デジタル資産を結びつけてシームレスな価値交換を可能にするというOSL Groupの取り組みを裏付けるものです」と述べた。Circleの最高ビジネス責任者(CBO)であるKash Razzaghiは、「OSLを通じてUSDCの取引と決済へのアクセスを拡大することで、香港およびそれ以外でのデジタルドルの流動性を強化し、資本効率と長期的な市場成長を支えることになります」と付け加えた。

GateNews04-24 19:19

主要CEX、オーストラリアでMastercardネットワーク上に暗号資産決済カードを導入し、USDC決済を可能に

USDC newsパートナーシップ・エコシステム

Gate Newsメッセージ、4月24日 — 大手の集中型取引所がオーストラリアで暗号資産の決済カードをローンチし、MastercardおよびImmersveと提携して、Google PlayやApple Payを含むMastercard対応の加盟店で暗号資産を裏付けとした決済を可能にしています。このサービスはUSDCと37 USDCに対応しており、

GateNews04-24 18:42

Circle、2つの取引でSolana上にUSDC 5億枚を発行

solana newsUSDC newsオンチェーンデータ

Gate Newsのニュース、4月24日—ステーブルコイン発行企業のCircleが、オンチェーンデータによると、Solanaブロックチェーン上でUSDCを5億枚発行したばかりです。 発行は2つの別々の取引で完了しており、それぞれがUSDC2億5000万枚を含んでいました。

GateNews04-24 15:32
コメント
0/400
コメントなし