Хакерская атака на 402bridge: Похищение более 17 000 USDC и уязвимости кроссчейн-мостов

27 октября хакер, остающийся неизвестным, осуществил атаку на кроссчейн-мост 402bridge, похитив токены в эквиваленте 17 693 USDC. В результате утечки приватного ключа были взломаны более десяти тестовых и основных кошельков команды проекта.

По информации специалистов по безопасности из GoPlus, инцидент произошел из-за «чрезмерной авторизации» перед выпуском монет. Злоумышленник изменил владельца скомпрометированного смарт-контракта и с использованием метода transferUserToken перевел избыточные USDC на счета более 200 пользователей, а затем похитил стейблкоины, превратив их в 4,2 ETH и переведя в сеть Arbitrum.

Эксперты рекомендовали всем затронутым пользователям отозвать авторизацию в смарт-контракте 0xed1AFc4DCfb39b9ab9d67f3f7f7d02803cEA9FC5.

В 402bridge объяснили, что механизм x402 требует от пользователей подписывать или одобрять транзакции через веб-интерфейс, которые затем направляются на внутренний сервер. На этом сервере производится извлечение средств и выпуск монет.

«При подключении к сайту необходимо сохранять приватный ключ на сервере для вызовов методов контракта. Это может привести к раскрытию прав администратора, так как в этот момент ключ находится в сети. В случае утечки хакер может получить доступ к этим правам и перенаправить средства пользователей», — разъяснила команда пострадавшего проекта.

Разработчики уведомили правоохранительные органы о произошедшем и осуществляют внутреннее расследование.

По мнению экспертов компании SlowMist, за взломом может стоять кто-то из окружения организации.

Эта атака стала первым публичным случаем кражи средств, связанной с использованием протокола x402, который предназначен для онлайн-платежей и транзакций со стейблкоинами. Он также поддерживает возможность ИИ-агентов выполнять автономные сделки.

Coinbase анонсировала проект в мае. Это решение основано на протоколе HyperText Transfer Protocol (HTTP), который используется для обмена данными между веб-браузерами и серверами.

За последний месяц активность в сети x402 увеличилась более чем в десять раз.

Два дня до инцидента с 402bridge криптоисследователь Габриэль Шапиро и соучредитель Solana Анатолий Яковенко обсуждали безопасность решений второго уровня.

Шапиро утверждал, что решения L2 не обязательно должны быть децентрализованными, поскольку их защищает сама блокчейн-система Ethereum: пользователи могут требовать включения транзакций в блоки, и риски централизованного управления компенсируются механизмами L1.

Яковенко, в свою очередь, заметил, что уязвимость современных L2 заключается в зависимости от мультиподписей, которые имеют возможность изменять контракты мостов без уведомления пользователей и распоряжаться средствами напрямую. Он противопоставил этому валидаторов в Solana, которые не могут вмешиваться в состояние сети.

Шапиро добавил, что современные мультиподписи, такие как в ZKsync, подкреплены юридическими и управленческими гарантиями, а не только кодом. Но Яковенко утверждал, что правовые структуры не устраняют технический риск централизованного контроля.

В завершение спора соучредитель Solana отметил, что решения L2 не наследуют безопасность Ethereum и сохраняют уязвимости кроссчейн-мостов, таких как Wormhole.

Шапиро же считает, что L2 представляет собой отдельный уровень компромиссов доверия, который, по его мнению, будет становиться более надежным с развитием ZK-доказательств.

Напомним, по мнению специалистов Global Ledger, главной проблемой криптоиндустрии является скорость вывода средств преступниками после взломов. Основным инструментом, используемым хакерами для отмывания денег, являются кроссчейн-мосты.