Comprar Cripto
Pagar com
USD
USD
Comprar e vender
Hot
Visa, Mastercard, SEPA e mais
P2P
0 Fees
Negociação flexível e sem taxas
Cartão Gate
Use criptomoedas para pagar pelo mundo
Mercados
Negociar
Básico
Avançado
Futuros
Futuros
Aceda a centenas de contratos perpétuos
TradFi
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Earn
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Pre-IPOs
Desbloquear acesso completo a IPO de ações globais
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Square
Square
Descubra valor em cripto
Em direto
moments live
Análise de mercado cripto em tempo real
Conversar
Converse com os operadores cripto
Notícias
O que está a acontecer na criptografia
flower_head
Mais
Promoções
AI
Outros
TradFi
WCTC S8
Recompensas

Análise do incidente de ataque x402bridge: Chave privada vazada causa danos a mais de 200 usuários, autorização excessiva expõe riscos.

MarketWhisper
USDC news
USDC0,01%
ETH-0,11%

A empresa de segurança Web3 GoPlus Security relatou que o novo protocolo de camada cruzada x402bridge sofreu uma vulnerabilidade de segurança, resultando na perda de mais de 200 usuários de USDC, totalizando cerca de 17.693 dólares. Detetives na cadeia e a empresa de segurança SlowMist confirmaram que a vulnerabilidade provavelmente foi causada pela divulgação da chave privada do administrador, permitindo que os atacantes obtivessem permissões especiais de gerenciamento do contrato. A GoPlus Security recomendou urgentemente que todos os usuários com carteiras nesse protocolo cancelassem as autorizações em andamento e lembrou os usuários a nunca concederem autorizações ilimitadas ao contrato. Este incidente expôs os riscos de segurança potenciais no mecanismo x402, onde a chave privada armazenada no servidor pode levar à divulgação das permissões do administrador.

Novo protocolo x402bridge atacado: autorização excessiva expõe vulnerabilidades de segurança da chave privada

O protocolo x402bridge, alguns dias após ser lançado na cadeia, sofreu um ataque de segurança, resultando em perdas financeiras para os usuários. O mecanismo deste protocolo exige que os usuários sejam autorizados pelo contrato Owner antes de poderem cunhar USDC. Neste evento, foi essa autorização excessiva que levou à transferência de stablecoins remanescentes de mais de 200 usuários.

O atacante utilizou a chave privada vazada para roubar USDC dos usuários

De acordo com a observação da GoPlus Security, o fluxo de ataque aponta claramente para o abuso de permissões:

  • Transferência de permissões: O endereço do criador (0xed1A começou ) transferiu a propriedade para o endereço 0x2b8F, concedendo a este último permissões de gestão especiais detidas pela equipe x402bridge, incluindo a capacidade de modificar configurações críticas e transferir ativos.
  • Execução de funcionalidades maliciosas: Após obter o controle, o novo endereço do proprietário executou imediatamente uma função chamada “transferUserToken”, permitindo que esse endereço retirasse os USD Coins restantes de todas as carteiras anteriormente autorizadas a esse contrato.
  • Perda e transferência de fundos: O endereço 0x2b8F roubou um total de aproximadamente 17,693 USD em USDC dos usuários, e em seguida trocou o dinheiro roubado por Ethereum, transferindo-o para a rede Arbitrum através de várias transações cross-chain.

Fonte da vulnerabilidade: Risco de armazenamento da chave privada no mecanismo x402

A equipe do x402bridge respondeu ao incidente de vulnerabilidade, confirmando que o ataque foi causado por uma Chave privada vazada, resultando no roubo de vários testes de equipes e Carteiras principais. O projeto suspendeu todas as atividades e fechou o site, e já reportou às autoridades.

  • Risco do processo de autorização: O protocolo anteriormente explicou o funcionamento do seu mecanismo x402: os usuários assinam ou aprovam transações através da interface da web, as informações de autorização são enviadas para o servidor backend, que posteriormente retira os fundos e cunha os tokens.
  • Risco de exposição da chave privada: A equipe admitiu: “Quando lançamos no x402scan.com, precisamos armazenar a chave privada no servidor para chamar os métodos do contrato.” Este passo pode levar à exposição da chave privada do administrador durante a fase de conexão à Internet, resultando em vazamento de permissões. Uma vez que a chave privada é roubada, os hackers podem assumir todas as permissões do administrador e redistribuir os fundos dos usuários.

Nos dias que antecederam o ataque, o uso do x402 teve um aumento repentino. No dia 27 de outubro, a capitalização de mercado do token x402 ultrapassou pela primeira vez os 800 milhões de dólares, e o volume de transações do protocolo x402 nas principais CEX atingiu 500 mil transações em uma semana, com um crescimento de 10,780% em relação ao período anterior.

Sugestões de segurança: GoPlus apela aos usuários para revogar a autorização imediatamente

Dada a gravidade da fuga de informações, a GoPlus Security recomenda urgentemente que os usuários que possuem Carteiras neste protocolo cancelem imediatamente quaisquer autorizações em andamento. A empresa de segurança também alerta todos os usuários:

  1. Verifique o endereço: Antes de aprovar qualquer transferência, verifique se o endereço autorizado é o endereço oficial do projeto.
  2. Limitar o montante autorizado: apenas autorizar o montante necessário, nunca conceder autorização ilimitada ao contrato.
  3. Verificação regular: Verifique regularmente e revogue autorizações desnecessárias.

Conclusão

O incidente de ataque de vazamento de chave privada ao x402bridge soou mais uma vez o alarme sobre os riscos que componentes centralizados (como servidores que armazenam chaves privadas) trazem para o espaço Web3. Embora o protocolo x402 tenha como objetivo utilizar o código de status HTTP 402 Payment Required para realizar pagamentos de stablecoins instantâneos e programáveis, as vulnerabilidades de segurança em seu mecanismo de implementação precisam ser corrigidas imediatamente. Para os usuários, este ataque foi uma lição cara, lembrando-nos que, ao interagir com qualquer protocolo de blockchain, devemos sempre manter a vigilância e gerenciar com cautela a autorização da carteira.

Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a Isenção de responsabilidade.

Related Articles

OSL Group e Circle fazem parceria para expandir o acesso ao USDC nas plataformas de negociação e pagamento

USDC newsParcerias e ecossistema

Mensagem das Gate News, 24 de abril — OSL Group (HKEX: 863), uma plataforma global de pagamentos e negociação de stablecoins, anunciou uma parceria com a Circle (NYSE: CRCL), uma empresa líder de plataformas financeiras, a 22 de abril para expandir o acesso ao USDC por todo o ecossistema de pagamentos e negociação da OSL. Através da OSL Global, a

GateNews7h atrás

Grande CEX Lança Cartão de Pagamento Cripto na Rede Mastercard na Austrália, Habilitando Pagamentos em USDC

USDC newsParcerias e ecossistema

Mensagem da Gate News, 24 de abril — Uma das principais bolsas centralizadas lançou um cartão de pagamentos cripto na Austrália, em parceria com a Mastercard e a Immersve para permitir pagamentos suportados por cripto em comerciantes que aceitam Mastercard, incluindo Google Play e Apple Pay. O serviço suporta USDC e 37 pares de negociação USDC

GateNews8h atrás

A Circle emite 500M de USDC na Solana em duas transacções

solana newsUSDC newsDados on-chain

Mensagem do Gate News, 24 de Abril — A Circle, a entidade emissora da stablecoin, acabou de cunhar 500 milhões de USDC na blockchain Solana, de acordo com dados on-chain. A cunhagem foi concluída em duas transacções separadas, cada uma envolvendo 250 milhões de USDC.

GateNews11h atrás

Bermuda Bay ZK Permite Agricultura de Rendimento Privada em USDC via Integração com Morpho

USDC news

Mensagem de Gate News, 24 de abril — Bermuda Bay ZK apresentou uma solução de privacidade com conhecimento zero que incorpora funcionalidades de confidencialidade directamente na infra-estrutura da blockchain, incluindo carteiras, stablecoins, pools de liquidez e protocolos DeFi. Ao contrário das abordagens tradicionais que dependem de camadas de privacidade separadas

GateNews12h atrás

OSL Group faz parceria com a Circle para expandir o acesso ao USDC nas plataformas de trading e pagamentos

bitcoin newsethereum newssolana newsUSDC newsParcerias e ecossistemaAções

Mensagem de Gate News, 24 de abril — OSL Group (HKEX: 863), uma plataforma global de pagamentos e trading de stablecoins, anunciou uma parceria com uma afiliada da Circle Internet Group, Inc. (NYSE: CRCL) a 22 de abril para expandir o acesso ao USDC através das suas plataformas de pagamento e trading. Através da OSL Global, os utilizadores podem converter USD e USDC numa base 1:1 e aceder ao Pro Trading com uma função de orderbook numa zona de trading dedicada ao USDC com cinco pares principais: BTC, ETH, SOL, USD e USDT. A OSL também integrou o USDC como um ativo de margem unificado para melhorar a eficiência de capital e a flexibilidade de trading para clientes elegíveis, enquanto o seu negócio de pagamentos incorporou o USDC para apoiar casos de liquidação e pagamentos em dólares digitais em conformidade. Além disso, a OSL vai apoiar o acesso ao USYC da Circle, um fundo do mercado monetário tokenizado, sujeito a requisitos regulamentares e elegibilidade da plataforma. Eugene Cheung, Chief Commercial Officer do OSL Group, afirmou que a parceria sublinha o compromisso da empresa em construir um ecossistema de stablecoins e uma infra-estrutura de mercados financeiros da próxima geração. Kash Razzaghi, Chief Business Officer da Circle, referiu que a colaboração reflete o compromisso de ambas as empresas em construir infra-estruturas financeiras abertas que suportem a eficiência de capital e o crescimento do mercado.

GateNews14h atrás

A Circle Partners OSL para expandir o acesso ao USDC através dos mercados

USDC newsEventos de tokensParcerias e ecossistema

A OSL integra USDC para conversões 1:1, pares de negociação e utilização de margem unificada entre mercados cripto e fiat. A parceria adiciona ativos tokenizados como USYC, ligando produtos de finanças tradicionais a ferramentas de liquidez baseadas em blockchain. A Circle introduz a ponte nativa do USDC, permitindo um acesso seguro a

CryptoFrontNews04-23 11:12
Comentar
0/400
Nenhum comentário