บริษัทความปลอดภัย Web3 GoPlus Security รายงานว่า โปรโตคอลข้ามชั้น x402bridge ที่เพิ่งเปิดตัวประสบปัญหาช่องโหว่ด้านความปลอดภัย ส่งผลให้ผู้ใช้กว่า 200 รายสูญเสีย USDC รวมเป็นเงินประมาณ 17,693 ดอลลาร์ สายการสืบสวนและบริษัทความปลอดภัย SlowMist ยืนยันว่าช่องโหว่นี้น่าจะเกิดจากการรั่วไหลของรหัสส่วนตัวของผู้ดูแลระบบ ทำให้ผู้โจมตีได้รับสิทธิ์การจัดการพิเศษของสัญญา GoPlus Security ขอแนะนำอย่างเร่งด่วนให้ผู้ใช้ที่มี กระเป๋า ในโปรโตคอลนี้ยกเลิกการอนุญาตที่กำลังดำเนินการโดยเร็วที่สุด และเตือนผู้ใช้ว่าอย่าให้สิทธิ์ไม่จำกัดแก่สัญญาเหตุการณ์นี้เปิดเผยถึงความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นจากการเก็บรหัสส่วนตัวของผู้ดูแลระบบใน x402 mechanism.
โปรโตคอลใหม่ x402bridge ถูกโจมตี: การอนุญาตเกินขอบเขตเปิดเผยรหัสส่วนตัวที่มีความเสี่ยงต่อความปลอดภัย
x402bridge โปรโตคอลในช่วงไม่กี่วันหลังจากที่อัปโหลดบนเชน ได้ประสบกับการโจมตีด้านความปลอดภัยครั้งหนึ่ง ทำให้เกิดการสูญเสียเงินทุนของผู้ใช้ กลไกของโปรโตคอลนี้กำหนดให้ผู้ใช้ต้องได้รับการอนุญาตจากสัญญา Owner ก่อนที่จะสร้าง USDC ในเหตุการณ์ครั้งนี้ การอนุญาตเกินความจำเป็นนี้ทำให้มีการโอนเหรียญเสถียรภาพที่เหลืออยู่ของผู้ใช้มากกว่า 200 คน
ผู้โจมตีใช้รหัสส่วนตัวที่รั่วไหลไปขโมย USDC ของผู้ใช้
ตามการสังเกตของ GoPlus Security กระบวนการโจมตีชี้ไปที่การใช้สิทธิ์ในทางที่ผิดอย่างชัดเจน:
- การถ่ายโอนสิทธิ์: ที่อยู่ผู้สร้าง (0xed1A เริ่มต้นด้วย ) ได้ถ่ายโอนความเป็นเจ้าของให้กับที่อยู่ 0x2b8F โดยมอบสิทธิ์การจัดการพิเศษที่ถือโดยทีม x402bridge รวมถึงความสามารถในการแก้ไขการตั้งค่าที่สำคัญและการโอนสินทรัพย์.
- การดำเนินการฟังก์ชันที่เป็นอันตราย: หลังจากได้รับการควบคุม เจ้าของที่อยู่ใหม่ได้ดำเนินการฟังก์ชันที่ชื่อว่า “transferUserToken” ทันที ซึ่งทำให้ที่อยู่นั้นสามารถถอนเหรียญ USD ที่เหลือจากกระเป๋าทั้งหมดที่ได้รับการอนุญาตก่อนหน้านี้ให้กับสัญญา.
- การสูญเสียและการโอนเงิน: ที่อยู่ 0x2b8F ขโมย USDC มูลค่าประมาณ 17,693 USD จากผู้ใช้ หลังจากนั้นจึงแลกเปลี่ยนเงินที่ได้เป็น Ethereum และโอนผ่านการทำธุรกรรมข้ามเครือข่ายหลายครั้งไปยังเครือข่าย Arbitrum.
รากฐานของช่องโหว่: ความเสี่ยงในการเก็บรหัสส่วนตัวในกลไก x402
ทีม x402bridge ได้ตอบสนองต่อเหตุการณ์ช่องโหว่นี้ โดยยืนยันว่าการโจมตีเกิดจากการรั่วไหลของรหัสส่วนตัว ทำให้ทีมงานหลายสิบคนทดสอบและกระเป๋าหลักถูกขโมย โครงการนี้ได้ระงับกิจกรรมทั้งหมดและปิดเว็บไซต์ และได้แจ้งหน่วยงานบังคับใช้กฎหมายแล้ว.
- ความเสี่ยงของกระบวนการอนุญาต: โปรโตคอลได้อธิบายกลไก x402 ของตนก่อนหน้านี้: ผู้ใช้เซ็นชื่อหรือตกลงธุรกรรมผ่านทางหน้าเว็บ ข้อมูลการอนุญาตจะถูกส่งไปยังเซิร์ฟเวอร์ด้านหลัง เซิร์ฟเวอร์จะถอนเงินและสร้างโทเค็นต่อไป.
- รหัสส่วนตัวที่เปิดเผยความเสี่ยง: ทีมงานยอมรับว่า: “เมื่อเราขึ้นระบบที่ x402scan.com เราจำเป็นต้องจัดเก็บรหัสส่วนตัวบนเซิร์ฟเวอร์เพื่อเรียกใช้วิธีการของสัญญา.” ขั้นตอนนี้อาจทำให้รหัสส่วนตัวของผู้ดูแลระบบถูกเปิดเผยในระหว่างการเชื่อมต่อกับอินเทอร์เน็ต ส่งผลให้เกิดการรั่วไหลของสิทธิ์ หากรหัสส่วนตัวถูกขโมย แฮ็กเกอร์สามารถเข้าควบคุมสิทธิ์ผู้ดูแลทั้งหมดและแจกจ่ายเงินทุนของผู้ใช้ใหม่ได้.
ในไม่กี่วันก่อนที่การโจมตีนี้จะเกิดขึ้น ปริมาณการใช้ x402 มีการเพิ่มขึ้นอย่างมาก เมื่อวันที่ 27 ตุลาคม มูลค่าตลาดของโทเค็น x402 ขึ้นทะลุ 800 ล้านดอลลาร์เป็นครั้งแรก และปริมาณการซื้อขายของโปรโตคอล x402 บน CEX หลักในหนึ่งสัปดาห์มีจำนวนถึง 500,000 รายการ เพิ่มขึ้น 10,780% เมื่อเปรียบเทียบกับปีก่อนหน้า.
คำแนะนำด้านความปลอดภัย: GoPlus ขอให้ผู้ใช้เพิกถอนการอนุญาตทันที
เนื่องจากความรุนแรงของการรั่วไหลครั้งนี้ GoPlus Security จึงขอแนะนำให้ผู้ใช้ที่มี กระเป๋า บน โปรโตคอล นี้ยกเลิกการอนุญาตที่กำลังดำเนินการอยู่ทันที บริษัทความปลอดภัยยังเตือนผู้ใช้ทุกคนว่า:
- ตรวจสอบที่อยู่: ก่อนอนุมัติการโอนใด ๆ ให้ตรวจสอบว่าที่อยู่ที่ได้รับอนุญาตเป็นที่อยู่ทางการของโครงการหรือไม่.
- จำกัดจำนวนเงินที่ได้รับอนุญาต: อนุญาตเฉพาะจำนวนเงินที่จำเป็น อย่าอนุญาตให้สัญญาเข้าถึงจำนวนเงินไม่จำกัด.
- ตรวจสอบเป็นประจำ: ตรวจสอบเป็นประจำและเพิกถอนสิทธิ์ที่ไม่จำเป็นออกไป.
สรุป
เหตุการณ์การถูกโจมตีด้วยการรั่วไหลของรหัสส่วนตัวของ x402bridge ได้ส่งเสียงเตือนอีกครั้งเกี่ยวกับความเสี่ยงที่เกิดจากองค์ประกอบที่รวมศูนย์ (เช่น เซิร์ฟเวอร์ที่เก็บรหัสส่วนตัว) ในพื้นที่ Web3 แม้ว่าพโรโตคอล x402 จะมุ่งหวังที่จะใช้รหัสสถานะ HTTP 402 Payment Required เพื่อดำเนินการชำระเงินที่ทันทีและโปรแกรมได้ แต่ช่องโหว่ด้านความปลอดภัยในกลไกการดำเนินการของมันต้องได้รับการแก้ไขอย่างเร่งด่วน สำหรับผู้ใช้ การโจมตีครั้งนี้เป็นบทเรียนที่มีค่าเตือนเราให้ต้องระมัดระวังอยู่เสมอเมื่อมีปฏิสัมพันธ์กับโปรโตคอลบล็อกเชนใด ๆ และจัดการการอนุญาตกระเป๋าอย่างระมัดระวัง.
btc.bar.articles
Balaji Srinivasan เรียกร้องให้พัฒนาเครื่องมือคริปโทสำหรับผู้ลี้ภัย สเตเบิลคอยน์อาจกลายเป็นวิธีแก้ปัญหาด้านการเงินสำหรับผู้อพยพทั่วโลก
Balaji Srinivasan อดีตซีโอเทคโนโลยีของ CEX呼吁กลุ่มอุตสาหกรรมคริปโตเคอร์เรนซีพัฒนาเครื่องมือการเงินที่ใช้เทคโนโลยีบล็อกเชนสำหรับผู้ลี้ภัยและบุคคลที่ไม่มีสัญชาติ เพื่อตอบสนองต่อช่องว่างด้านบริการที่เกิดจากการอพยพประชากร เขาชี้ให้เห็นว่าระบบการเงินดั้งเดิมล่มสลายบ่อยครั้งในช่วงเวลาที่มีความขัดแย้ง ในขณะที่บล็อกเชนมีความสามารถในการต้านทานการรบกวน อย่างไรก็ตาม แม้จะมีความต้องการอยู่ ผลิตภัณฑ์ที่เกี่ยวข้องสำหรับกลุ่มนี้ยังคงเป็นจำนวนน้อย สเตเบิลคอยน์มีบทบาทที่โดดเด่นขึ้นไปในการไหลของเงินทุน และในอนาคตจำเป็นต้องมีเครื่องมือการเงินคริปโตที่มุ่งเป้าไปยังกลุ่มผู้มีความเสี่ยงมากขึ้น
GateNews1 ชั่วโมง ที่แล้ว
วาฬใหญ่ฝากเงิน USDC 1.5 ล้าน枚ใหม่เข้า HyperLiquid เปิดตำแหน่งโพลโพ้บเรนต์น้ำมันดิบ 20 เท่า
Gate News ข่าวสาร วันที่ 16 มีนาคม ตามการติดตามของ Onchain Lens ที่อยู่วาฬขนาดใหญ่ "0xF78" ได้ฝากเงิน USDC 1.5 ล้านตามเข้า HyperLiquid อีกครั้ง โดยจำนวนเงินฝากสะสมถึง 7.1 ล้านดอลลาร์สหรัฐ และได้เปิดตำแหน่ง BRENTOIL (น้ำมันดิบเบรนต์) ขายขาดโดยใช้เลเวอเรจ 20 เท่า นอกจากนี้ วาฬตัวนี้กำลังถือครองตำแหน่ง CL (ฟิวเจอร์สน้ำมันดิบ) ขายขาดที่มูลค่า 8.8 ล้านดอลลาร์สหรัฐ โดยใช้เลเวอเรจ 20 เท่าเช่นกัน
GateNews2 ชั่วโมง ที่แล้ว
Delphi Digital: การมีหลักประกันเพียงพอของเหรียญคงที่ไม่ได้หมายความว่าจะหลีกเลี่ยงผลกระทบจากการถอนเงิน ความเสี่ยงได้ถูกโอนไปยังฝ่ายออกเหรียญแล้ว
Delphi Digital วิเคราะห์ชี้ให้เห็นว่า แม้ว่า stablecoin ของ Tether และ Circle ได้รับการค้ำประกันด้วยตั๋วเงินคลัง ระยะสั้น และสิ่งเทียบเท่าเงินสด แต่ก็ไม่ได้ปลอดภัยอย่างสมบูรณ์ และยังคงเผชิญกับความเสี่ยงจากการวิ่งแห่ง เหตุการณ์ USDC depegging ในช่วงต้นปี 2023 แสดงให้เห็นว่าความเสี่ยงของ stablecoin ได้ย้ายไปยังผู้ออกแบบแล้ว ซึ่งเน้นความเสี่ยงที่ซ่อนเร้นจากการกระจุกตัวของมัน
GateNews3 ชั่วโมง ที่แล้ว
USDC เหนือกว่า USDT ในปริมาณการทำธุรกรรมที่ปรับปรุง ได้นำในห้าตลาดประเทศ
สตেเบิลคอยน์ USDC ของ Circle ได้ทำลายสถิติ โดยเกินกว่า USDT ของ Tether ในปริมาณการทำธุรกรรมที่ปรับปรุงแล้วเป็นครั้งแรกนับตั้งแต่ปี 2019 โดยประมวลผลได้ประมาณ 2.2 ล้านล้านดอลลาร์ตั้งแต่ต้นปีจนถึงปัจจุบัน เมื่อเทียบกับ USDT ที่ 1.3 ล้านล้านดอลลาร์ ตามการวิจัยจากกลุ่ม Mizuho Financial Group เมื่อวันที่ 13 มีนาคม
CryptopulseElite4 ชั่วโมง ที่แล้ว
USDC ขึ้นแรงต้านกระแส: ปริมาณการซื้อขายแซงหน้า USDT เป็นครั้งแรก อัตราการถือครองใน 5 ประเทศครองอันดับ
กลุ่มวิจัยของ Mizuho Financial Group แสดงให้เห็นว่าในปี 2026 ปริมาณการซื้อขายที่ปรับปรุงแล้วของ USDC สูงถึง 2.2 ล้านล้านดอลลาร์ ซึ่งเป็นครั้งแรกที่เกิน USDT ที่ 1.3 ล้านล้านดอลลาร์ สิ่งนี้แสดงให้เห็นการเติบโตของ USDC ในตลาดสตেเบิลคอยน์ USDC มีประสิทธิภาพดีเยี่ยมในตลาดที่มีการควบคุม ในขณะที่ USDT ครองความเป็นใหญ่ในตลาดเกิดใหม่ ซึ่งสะท้อนให้เห็นการแบ่งส่วนทางภูมิศาสตร์ของตลาดสตेเบิลคอยน์ ปรากฏการณ์นี้เกี่ยวข้องอย่างใกล้ชิดกับกลยุทธ์การควบคุมที่แตกต่างกันของทั้งสองตัว
MarketWhisper6 ชั่วโมง ที่แล้ว
