27 жовтня невідомий хакер атакував кроссчейн-мост 402bridge і викрав токени на суму 17693 USDC. Через витік приватного ключа було скомпрометовано понад десяток тестових та основних гаманців команди.
За словами експертів з безпеки GoPlus, причиною інциденту стала “надмірна авторизація” перед випуском монет. Зловмисник змінив власника скомпрометованого смарт-контракту та за допомогою методу transferUserToken перевів надлишкові USDC на рахунки понад 200 користувачів. Після цього викрав стейблкоїни, конвертував їх у 4,2 ETH і перевів у мережу Arbitrum.
Експерти рекомендували всім задіяним користувачам скасувати авторизацію у смарт-контракті 0xed1AFc4DCfb39b9ab9d97f3f7f7d02803cEA9FC5.
Як пояснили в 402bridge, механізм вирішення x402 вимагає від користувачів підписувати або схвалювати транзакції через веб-інтерфейс, який потім відправляється на внутрішній сервер. Після цього на ньому відбувається вилучення коштів та випуск монет.
При підключенні до сайту нам необхідно зберегти приватний ключ на сервері для виклику методів контракту. Цей крок може розкрити права адміністратора, оскільки на цьому етапі його ключ підключено до Інтернету. Якщо витік станеться, хакер зможе заволодіти цими правами та перенаправити кошти користувача для проведення атаки», – пояснила команда потерпілого проекту.
Розробники повідомили правоохоронців про інцидент та проводять внутрішнє розслідування.
За припущенням експертів SlowMist, за зломом міг стояти хтось із інсайдерів.
Атака стала першим публічним випадком розкрадання коштів, пов'язаних із обслуговуванням протоколу x402. Останній є інструментом для онлайн-платежів, призначеним для транзакцій зі стейблкоінами. Він також дозволяє ІІ-агентам здійснювати автономні угоди.
Coinbase представила проект у травні. Рішення базується на протоколі HyperText Transfer Protocol (HTTP), який використовується для обміну даними між веб-браузерами та серверами.
За місяць ончейн-активність у x402 зросла більш ніж у 10 разів.
За два дні до інциденту з 402bridge криптодослідник Габріель Шапіро та співзасновник Solana Анатолій Яковенко посперечалися про безпеку рішень другого рівня.
Перший заявив, що L2 повинні бути децентралізованими, оскільки їх захищає сам блокчейн Ethereum : користувачі можуть змусити включати транзакції у блоки, а ризики централізованого управління компенсуються механізмами L1.
За словами Яковенка, вразливість нинішніх L2 залежить від мультипідписів, які можуть змінювати контракти мостів без повідомлення користувачів і безпосередньо розпоряджатися коштами. Він протиставив цьому валідаторів у Solana, які не мають можливості втручатися у стан мережі.
Шапіро зазначив, що сучасні мультипідписи, наприклад у ZKsync, підкріплені юридичними та управлінськими гарантіями, а не лише кодом. Проте з погляду Яковенка правові конструкції не усувають технічного ризику централізованого контролю.
У фіналі треду співзасновник Solana заявив, що L2 не успадковують безпеку Ethereum, а повторюють уразливості кроссчейн-мостів на зразок Wormhole.
Шапіро ж бачить у L2 окремий рівень компромісів довіри, який, за його словами, стане надійнішим із розвитком ZK-доказів.
Нагадаємо, на думку експертів Global Ledger, головною проблемою криптоіндустрії стала швидкість виведення коштів зловмисниками після зламування. Основним інструментом хакерів для відмивання грошей стали кроссчейн-мости.
Источник: cryptocurrency.tech
