Comprar Cripto
Pagar com
USD
USD
Comprar e vender
Hot
Visa, Mastercard, SEPA e mais
P2P
0 Fees
Negociação flexível e sem taxas
Cartão Gate
Use criptomoedas para pagar pelo mundo
Mercados
Negociar
Básico
Avançado
Futuros
Futuros
Aceda a centenas de contratos perpétuos
TradFi
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Earn
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Pre-IPOs
Desbloquear acesso completo a IPO de ações globais
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Square
Square
Descubra valor em cripto
Em direto
moments live
Análise de mercado cripto em tempo real
Conversar
Converse com os operadores cripto
Notícias
O que está a acontecer na criptografia
flower_head
Mais
Promoções
AI
Outros
TradFi
WCTC S8
Recompensas

Análise do incidente de ataque x402bridge: Chave privada vazada causa danos a mais de 200 usuários, autorização excessiva expõe riscos.

MarketWhisper
USDC news
USDC-0,02%
ETH0,34%

A empresa de segurança Web3 GoPlus Security relatou que o novo protocolo de camada cruzada x402bridge sofreu uma vulnerabilidade de segurança, resultando na perda de mais de 200 usuários de USDC, totalizando cerca de 17.693 dólares. Detetives na cadeia e a empresa de segurança SlowMist confirmaram que a vulnerabilidade provavelmente foi causada pela divulgação da chave privada do administrador, permitindo que os atacantes obtivessem permissões especiais de gerenciamento do contrato. A GoPlus Security recomendou urgentemente que todos os usuários com carteiras nesse protocolo cancelassem as autorizações em andamento e lembrou os usuários a nunca concederem autorizações ilimitadas ao contrato. Este incidente expôs os riscos de segurança potenciais no mecanismo x402, onde a chave privada armazenada no servidor pode levar à divulgação das permissões do administrador.

Novo protocolo x402bridge atacado: autorização excessiva expõe vulnerabilidades de segurança da chave privada

O protocolo x402bridge, alguns dias após ser lançado na cadeia, sofreu um ataque de segurança, resultando em perdas financeiras para os usuários. O mecanismo deste protocolo exige que os usuários sejam autorizados pelo contrato Owner antes de poderem cunhar USDC. Neste evento, foi essa autorização excessiva que levou à transferência de stablecoins remanescentes de mais de 200 usuários.

O atacante utilizou a chave privada vazada para roubar USDC dos usuários

De acordo com a observação da GoPlus Security, o fluxo de ataque aponta claramente para o abuso de permissões:

  • Transferência de permissões: O endereço do criador (0xed1A começou ) transferiu a propriedade para o endereço 0x2b8F, concedendo a este último permissões de gestão especiais detidas pela equipe x402bridge, incluindo a capacidade de modificar configurações críticas e transferir ativos.
  • Execução de funcionalidades maliciosas: Após obter o controle, o novo endereço do proprietário executou imediatamente uma função chamada “transferUserToken”, permitindo que esse endereço retirasse os USD Coins restantes de todas as carteiras anteriormente autorizadas a esse contrato.
  • Perda e transferência de fundos: O endereço 0x2b8F roubou um total de aproximadamente 17,693 USD em USDC dos usuários, e em seguida trocou o dinheiro roubado por Ethereum, transferindo-o para a rede Arbitrum através de várias transações cross-chain.

Fonte da vulnerabilidade: Risco de armazenamento da chave privada no mecanismo x402

A equipe do x402bridge respondeu ao incidente de vulnerabilidade, confirmando que o ataque foi causado por uma Chave privada vazada, resultando no roubo de vários testes de equipes e Carteiras principais. O projeto suspendeu todas as atividades e fechou o site, e já reportou às autoridades.

  • Risco do processo de autorização: O protocolo anteriormente explicou o funcionamento do seu mecanismo x402: os usuários assinam ou aprovam transações através da interface da web, as informações de autorização são enviadas para o servidor backend, que posteriormente retira os fundos e cunha os tokens.
  • Risco de exposição da chave privada: A equipe admitiu: “Quando lançamos no x402scan.com, precisamos armazenar a chave privada no servidor para chamar os métodos do contrato.” Este passo pode levar à exposição da chave privada do administrador durante a fase de conexão à Internet, resultando em vazamento de permissões. Uma vez que a chave privada é roubada, os hackers podem assumir todas as permissões do administrador e redistribuir os fundos dos usuários.

Nos dias que antecederam o ataque, o uso do x402 teve um aumento repentino. No dia 27 de outubro, a capitalização de mercado do token x402 ultrapassou pela primeira vez os 800 milhões de dólares, e o volume de transações do protocolo x402 nas principais CEX atingiu 500 mil transações em uma semana, com um crescimento de 10,780% em relação ao período anterior.

Sugestões de segurança: GoPlus apela aos usuários para revogar a autorização imediatamente

Dada a gravidade da fuga de informações, a GoPlus Security recomenda urgentemente que os usuários que possuem Carteiras neste protocolo cancelem imediatamente quaisquer autorizações em andamento. A empresa de segurança também alerta todos os usuários:

  1. Verifique o endereço: Antes de aprovar qualquer transferência, verifique se o endereço autorizado é o endereço oficial do projeto.
  2. Limitar o montante autorizado: apenas autorizar o montante necessário, nunca conceder autorização ilimitada ao contrato.
  3. Verificação regular: Verifique regularmente e revogue autorizações desnecessárias.

Conclusão

O incidente de ataque de vazamento de chave privada ao x402bridge soou mais uma vez o alarme sobre os riscos que componentes centralizados (como servidores que armazenam chaves privadas) trazem para o espaço Web3. Embora o protocolo x402 tenha como objetivo utilizar o código de status HTTP 402 Payment Required para realizar pagamentos de stablecoins instantâneos e programáveis, as vulnerabilidades de segurança em seu mecanismo de implementação precisam ser corrigidas imediatamente. Para os usuários, este ataque foi uma lição cara, lembrando-nos que, ao interagir com qualquer protocolo de blockchain, devemos sempre manter a vigilância e gerenciar com cautela a autorização da carteira.

Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a Isenção de responsabilidade.

Related Articles

A Circle expande o acesso ao OSL ao USDC à medida que cresce a procura transfronteiriça na Ásia

USDC newsParcerias e ecossistema

O acesso institucional à liquidez em dólar digital está a crescer à medida que aumenta a procura de liquidações transfronteiriças e os stablecoins ganham um papel mais relevante na infraestrutura do mercado. A OSL Group e a Circle estão a expandir a utilização do USDC em toda a Ásia, em negociação, pagamentos e liquidações. Principais conclusões: A OSL Group expandiu o USDC acc

Coinpedia1h atrás

Pornhub altera pagamentos aos criadores de USDT para USDC para maior fiabilidade

USDC newsParcerias e ecossistema

A Pornhub trocou os pagamentos aos criadores de USDT para USDC, citando fiabilidade e conformidade com a MiCA; as ligações antigas USDT-PayPal e as parcerias baseadas em TronLink foram removidas. Resumo: A Pornhub substituiu os pagamentos em USDT por USDC para os criadores, argumentando que o USDC é mais fiável e em conformidade com a MiCA. A mudança põe termo às ligações PayPal-USDT e à infraestrutura de pagamentos baseada em TronLink, e essas parcerias foram removidas da página de pagamentos aos criadores.

GateNews2h atrás

A Circle Propõe uma Reestruturação de Emergência das Tarifas para a Carteira de USDC Congelada da Aave

ethereum newsUSDC newsProgresso do projeto

Resumo: A Circle propõe uma remodelação de emergência do Aave V3 para o USDC, elevando o Slope 2 para ~40% para restaurar uma utilização saudável (target ~85%), com a taxa máxima a subir para ~48%, defendendo que os mutuários ignoram as taxas; também sugere pausar o oráculo de risco do USDC. Resumo: A Circle instou a uma remodelação de emergência da piscina de USDC do Aave V3 depois de quatro dias com liquidez ociosa perto de 6% e uma utilização de 99,87%, na sequência do exploit da KelpDAO. O plano elevaria imediatamente o Slope 2 para depósitos em USDC de cerca de 10% para 40%, seguido de ratificação por governação de um alvo de 50% no espaço de uma semana. O objetivo é atrair oferta e restaurar uma utilização equilibrada, com uma mudança para uma taxa máxima de oferta mais elevada (cerca de 48%) na utilização total. A Liao argumenta que os mutuários atuais usam o empréstimo em USDC como mecanismo de bypass da fila e não são sensíveis às taxas atuais, tornando essenciais incentivos centrados na oferta. A proposta também recomenda pausar o USDC Risk Oracle devido ao fraco desempenho no passado. A posição da Circle é notável porque um emitente de stablecoin está, na prática, a dizer que o mercado do seu ativo no Aave está avariado.

CryptoFrontier5h atrás

O Tesouro do USDC Cunha 200M de USDC na Ethereum, no valor de ~199,9M$

ethereum newsUSDC newsDados on-chain

Resumo: O Tesouro do USDC cunhou 200M de USDC na Ethereum às 22:00 UTC; valia cerca de 199,9M$, segundo a Whale Alert. Resumo alargado: Uma atualização da Gate News refere que o Tesouro do USDC cunhou 200 milhões de USDC na rede Ethereum às 22:00 UTC, com a Whale Alert a corroborar a cunhagem. A nova oferta é avaliada em aproximadamente 199,9 milhões de dólares, ilustrando um aumento substancial na emissão de USDC.

GateNews12h atrás

A RedotPay Integra Sui e USDC-Sui, Expandindo os Pagamentos para 100+ Países

USDC newsParcerias e ecossistema

A RedotPay suporta agora o SUI e o USDC-Sui na rede Sui, permitindo pagamentos globais mais rápidos para 130M de comerciantes e 7M de clientes, com transacções transfronteiriças escaláveis que fazem a ponte entre cripto e comércio. Resumo: A RedotPay adicionou suporte para SUI e USDC-Sui na rede Sui, permitindo um processamento de pagamentos sem fricções e pagamentos globais em todo o seu ecossistema. Atendendo mais de 130 milhões de comerciantes em mais de 100 países e cerca de 7 milhões de clientes, a plataforma tem como objectivo oferecer pagamentos transfronteiriços mais rápidos e mais escaláveis, bem como um acesso financeiro mais amplo habilitado por blockchain. Ao integrar SUI e USDC-Sui, a RedotPay pretende simplificar o envio e o recebimento de pagamentos a nível mundial, assegurando simultaneamente transacções seguras e eficientes que fazem a ponte entre activos digitais e o comércio do mundo real.

GateNews19h atrás

Baleia deposita $2M USDC na Hyperliquid e compra 50.080 HYPE a 39,94 $ de preço médio

USDC news

Mensagem do Gate News, 22 de abril — De acordo com a Onchain Lens, uma baleia depositou 2 milhões de USDC na Hyperliquid e comprou 50.080 HYPE a um preço médio de 39,94 $ por token.

GateNews21h atrás
Comentar
0/400
Nenhum comentário