27 октября неизвестный хакер атаковал кроссчейн-мост 402bridge и похитил токены на сумму 17 693 USDC. Из-за утечки приватного ключа оказались скомпрометированы более десятка тестовых и основных кошельков команды.
По словам экспертов по безопасности GoPlus, причиной инцидента стала «чрезмерная авторизация» перед выпуском монет. Злоумышленник сменил владельца скомпрометированного смарт-контракта и с помощью метода transferUserToken перевел избыточные USDC на счета более 200 пользователей. После этого похитил стейблкоины , конвертировал их в 4,2 ETH и перевел в сеть Arbitrum.
Эксперты рекомендовали всем задействованным пользователям отменить авторизацию в смарт-контракте 0xed1AFc4DCfb39b9ab9d67f3f7f7d02803cEA9FC5.
Как пояснили в 402bridge, механизм решения x402 требует от пользователей подписывать или одобрять транзакции через веб-интерфейс, которые затем отправляются на внутренний сервер. После этого на нем происходит извлечение средств и выпуск монет.
«При подключении к сайту нам необходимо сохранить приватный ключ на сервере для вызова методов контракта. Этот шаг может раскрыть права администратора, поскольку на этом этапе его ключ подключен к интернету. Если утечка произойдет, хакер сможет завладеть этими правами и перенаправить средства пользователя для проведения атаки», — объяснила команда пострадавшего проекта.
Разработчики уведомили правоохранителей об инциденте и проводят внутреннее расследование.
По предположению экспертов SlowMist, за взломом мог стоять кто-то из инсайдеров.
Первая атака на экосистему x402
Атака стала первым публичным случаем хищения средств, связанным с сервисом протокола x402. Последний является инструментом для онлайн-платежей, предназначенным для транзакций со стейблкоинами. Он также позволяет ИИ-агентам совершать автономные сделки.
Coinbase представила проект в мае. Решение основано на протоколе HyperText Transfer Protocol (HTTP), который используется для обмена данными между веб-браузерами и серверами.
За месяц ончейн-активность в x402 выросла более чем в 10 раз .
Спор о безопасности L2-решений
За два дня до инцидента с 402bridge криптоисследователь Габриэль Шапиро и соучредитель Solana Анатолий Яковенко поспорили о безопасности решений второго уровня.
Первый заявил, что L2 не обязаны быть децентрализованными, так как их защищает сам блокчейн Ethereum : пользователи могут заставить включать транзакции в блоки, а риски централизованного управления компенсируются механизмами L1.
По словам Яковенко, уязвимость нынешних L2 заключается в зависимости от мультиподписей , которые могут изменять контракты мостов без уведомления пользователей и напрямую распоряжаться средствами. Он противопоставил этому валидаторов в Solana, не имеющих возможности вмешиваться в состояние сети.
Шапиро отметил, что современные мультиподписи, например в ZKsync , подкреплены юридическими и управленческими гарантиями, а не только кодом. Однако с точки зрения Яковенко правовые конструкции не устраняют технический риск централизованного контроля.
В финале треда соучредитель Solana заявил, что L2 не наследуют безопасность Ethereum, а повторяют уязвимости кроссчейн-мостов вроде Wormhole .
Шапиро же видит в L2 отдельный уровень компромиссов доверия, который, по его словам, станет надежнее с развитием ZK-доказательств .
Напомним, по мнению экспертов Global Ledger, главной проблемой криптоиндустрии стала скорость вывода средств злоумышленниками после взломов. Основным инструментом хакеров для отмывания денег стали кроссчейн-мосты.
Будь в курсе! Подписывайся на Телеграм.