Mua Crypto
Thanh toán bằng
USD
USD
Mua & Bán
Hot
Hỗ trợ Visa, MasterCard, SEPA...
P2P tiền (P2P)
0 Fees
Giao dịch linh hoạt, không phí
Thẻ Gate
Thanh toán tiền điện tử trên khắp thế giới
Thị trường
Giao dịch
Cơ bản
Nâng cao
Futures
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
tag
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Square
Trung tâm
Khám phá giá trị của tiền điện tử
Live
moments live
Livestream phân tích thịtrường mỗi ngày
Chat
Giao Lưu Với Các Nhà Giao Dịch Khác
Tin nhanh
Tin tức tiền điện tử mớinhất
flower_head
Thêm
Khuyến mãi
AI
Khác
TradFi
Phần thưởng

Phân tích sự kiện tấn công x402bridge: Khóa riêng bị rò rỉ khiến hơn 200 người dùng bị thiệt hại, quyền hạn vượt mức lộ ra nguy cơ.

MarketWhisper
USDC news
ETH-2,23%

Công ty an ninh Web3 GoPlus Security báo cáo rằng, giao thức đa lớp mới ra mắt x402bridge đã gặp phải lỗ hổng an ninh, dẫn đến việc hơn 200 người dùng mất USDC, tổng cộng khoảng 17.693 USD. Các công ty điều tra trên chuỗi và an ninh SlowMist đều xác nhận rằng, lỗ hổng này có khả năng do rò rỉ khóa riêng của quản trị viên, khiến kẻ tấn công có được quyền quản lý đặc biệt của hợp đồng. GoPlus Security khẩn cấp khuyên tất cả người dùng có ví trên giao thức này nên hủy bỏ quyền hạn đang diễn ra càng sớm càng tốt, và nhắc nhở người dùng không bao giờ cấp quyền hạn vô hạn cho hợp đồng. Sự kiện này đã phơi bày rủi ro an ninh tiềm ẩn trong cơ chế x402, trong đó việc lưu trữ khóa riêng trên máy chủ có thể dẫn đến rò rỉ quyền hạn quản trị.

Giao thức mới x402bridge bị tấn công: Ủy quyền quá mức phơi bày rủi ro an ninh khóa riêng

Giao thức x402bridge đã gặp phải một cuộc tấn công an ninh chỉ vài ngày sau khi ra mắt trên chuỗi, dẫn đến tổn thất tài chính của người dùng. Cơ chế của giao thức yêu cầu người dùng phải được ủy quyền bởi hợp đồng Owner trước khi đúc USDC. Trong sự kiện này, chính việc ủy quyền quá mức đã dẫn đến việc hơn 200 người dùng bị chuyển giao stablecoin còn lại.

Kẻ tấn công lợi dụng khóa riêng bị rò rỉ để đánh cắp USDC của người dùng

Theo quan sát của GoPlus Security, quy trình tấn công rõ ràng chỉ ra việc lạm dụng quyền hạn:

  • Chuyển nhượng quyền: Địa chỉ người tạo (0xed1A bắt đầu ) đã chuyển giao quyền sở hữu cho địa chỉ 0x2b8F, cấp cho người sau quyền quản lý đặc biệt do đội ngũ x402bridge nắm giữ, bao gồm khả năng chỉnh sửa các cài đặt quan trọng và chuyển nhượng tài sản.
  • Thực hiện chức năng độc hại: Sau khi giành quyền kiểm soát, địa chỉ chủ sở hữu mới ngay lập tức thực hiện một chức năng có tên là “transferUserToken”, cho phép địa chỉ này rút số USD Coins còn lại từ tất cả các ví đã được ủy quyền cho hợp đồng trước đó.
  • Thiệt hại và chuyển nhượng tài chính: Địa chỉ 0x2b8F đã đánh cắp tổng cộng khoảng 17,693 USD của USDC từ người dùng, sau đó đổi số tiền bị đánh cắp thành Ethereum và chuyển qua nhiều giao dịch cross-chain đến mạng Arbitrum.

Nguồn gốc lỗ hổng: Rủi ro lưu trữ khóa riêng trong cơ chế x402

Đội ngũ x402bridge đã phản hồi về sự cố lỗi này, xác nhận rằng cuộc tấn công là do Khóa riêng bị rò rỉ, dẫn đến việc hàng chục đội ngũ thử nghiệm và Ví tiền chính bị đánh cắp. Dự án đã tạm dừng tất cả các hoạt động và đóng cửa trang web, và đã báo cáo cho cơ quan thực thi pháp luật.

  • Rủi ro quy trình ủy quyền: Giao thức trước đây đã giải thích nguyên lý hoạt động của cơ chế x402: Người dùng thông qua giao diện web ký hoặc phê duyệt giao dịch, thông tin ủy quyền được gửi đến máy chủ phía sau, máy chủ sau đó rút tiền và đúc token.
  • Rủi ro lộ khóa riêng: Đội ngũ thừa nhận: “Khi chúng tôi lên sóng tại x402scan.com, chúng tôi cần lưu trữ khóa riêng trên máy chủ để gọi phương thức hợp đồng.” Bước này có thể dẫn đến việc lộ khóa riêng của quản trị viên trong giai đoạn kết nối internet, từ đó gây ra rò rỉ quyền hạn. Một khi khóa riêng bị đánh cắp, hacker có thể tiếp quản tất cả quyền quản trị viên và phân bổ lại vốn của người dùng.

Vài ngày trước khi cuộc tấn công xảy ra, khối lượng giao dịch của x402 đã tăng vọt, vào ngày 27 tháng 10, giá trị thị trường của token x402 lần đầu tiên vượt mốc 800 triệu USD, khối lượng giao dịch của giao thức x402 trên các sàn CEX chính trong một tuần đạt 500.000 giao dịch, tăng 10.780% so với tuần trước.

Gợi ý an toàn: GoPlus kêu gọi người dùng ngay lập tức hủy quyền

Xem xét mức độ nghiêm trọng của vụ rò rỉ này, GoPlus Security khẩn cấp khuyên những người dùng có ví tiền trên giao thức này ngay lập tức hủy bỏ bất kỳ quyền hạn nào đang diễn ra. Công ty an ninh cũng nhắc nhở tất cả người dùng:

  1. Kiểm tra địa chỉ: Trước khi phê duyệt bất kỳ chuyển nhượng nào, hãy kiểm tra xem địa chỉ được ủy quyền có phải là địa chỉ chính thức của dự án hay không.
  2. Hạn chế số tiền ủy quyền: Chỉ ủy quyền số tiền cần thiết, tuyệt đối không cấp quyền ủy quyền vô hạn cho hợp đồng.
  3. Kiểm tra định kỳ: Kiểm tra định kỳ và hủy bỏ các quyền truy cập không cần thiết.

Kết luận

Sự kiện x402bridge bị tấn công do rò rỉ khóa riêng đã một lần nữa gióng lên hồi chuông cảnh báo về những rủi ro mà các thành phần tập trung (như máy chủ lưu trữ khóa riêng) mang lại trong lĩnh vực Web3. Mặc dù giao thức x402 nhằm mục đích sử dụng mã trạng thái HTTP 402 Payment Required để thực hiện thanh toán stablecoin ngay lập tức và có thể lập trình, nhưng các lỗ hổng an ninh trong cơ chế thực hiện của nó cần phải được sửa chữa ngay lập tức. Đối với người dùng, cuộc tấn công lần này là một bài học đắt giá, nhắc nhở chúng ta rằng khi tương tác với bất kỳ giao thức blockchain nào, chúng ta phải luôn duy trì cảnh giác và quản lý quyền truy cập ví một cách cẩn thận.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo Tuyên bố miễn trừ trách nhiệm.

Bài viết liên quan

Circle phát hành thêm 1Bỷ USDC trong 24 giờ

USDC newsDòng vốnDữ liệu trên chuỗi

Tin tức Cổng (Gate): Circle(@circle) đã phát hành thêm 10.25Bỷ USDC trong 24 giờ qua. Theo Lookonchain, Circle(@circle) đã phát hành thêm 250 triệu USDC cách đây 4 giờ. Trong suốt tháng qua, Circle đã phát hành tổng cộng 1Bỷ USDC trên Solana.

GateNews2giờ trước

Giám đốc điều hành của Circle lên kế hoạch thăm Hàn Quốc vào tuần tới để gặp các ngân hàng và sàn giao dịch, thúc đẩy việc áp dụng USDC

USDC newsQuan hệ đối tác và Hệ sinh thái

Giám đốc điều hành Circle, Jeremy Allaire, dự kiến sẽ đến thăm Hàn Quốc vào tháng 4, để làm việc với nhiều lãnh đạo ngân hàng và sàn giao dịch nhằm thảo luận về việc ứng dụng USDC, hợp tác thanh toán quốc tế và kế hoạch stablecoin bằng won Hàn, qua đó thúc đẩy việc sử dụng USDC trên thị trường Hàn Quốc.

GateNews6giờ trước

Circle tăng tốc đúc (mint) 3.25Bỷ USDC, phá kỷ lục hàng tuần của Solana

solana newsUSDC newsSự kiện TokenDữ liệu trên chuỗi

Vào đầu tháng 4, Circle đã đúc 3.25Bỷ đô la USDC trên blockchain Solana, thiết lập kỷ lục phát hành theo tuần lớn nhất kể từ năm 2026, cho thấy nhu cầu gia tăng hoạt động DeFi và dòng vốn tổ chức chảy vào. USDC, như một phương tiện thanh khoản, hỗ trợ giao dịch và cho vay trong hệ sinh thái Solana, và lượng đúc tiền khổng lồ của nó cũng cho thấy vị trí quan trọng của Solana trong thanh toán bằng stablecoin. Phân tích cho rằng, dòng vốn chảy vào sẽ ảnh hưởng đến lực tác động lên thị trường.

MarketWhisper14giờ trước

Nhiều tổ chức tài chính Hàn Quốc đang thử nghiệm thanh toán stablecoin thông qua người dùng nước ngoài, đồng thời lên kế hoạch sẵn hạ tầng từ trước.

USDC newsQuan hệ đối tác và Hệ sinh tháiĐịa chính trị

Do việc Quốc hội Hàn Quốc hoãn việc ban hành 《Luật cơ bản về tài sản kỹ thuật số》, nhiều tổ chức tài chính tại Hàn Quốc đã triển khai dịch vụ thanh toán stablecoin cho người dùng nước ngoài, xây dựng hạ tầng. Theo các phân tích trong ngành, các dịch vụ như vậy giống như “sân thử nghiệm pháp lý (regulatory sandbox)”, giúp doanh nghiệp kiểm chứng mô hình kinh doanh.

GateNews14giờ trước

Circle Redeems $550M USDC trên Solana trong 12 giờ, Phát hành $10.19B trong tháng vừa qua

solana newsUSDC newsDòng vốnDữ liệu trên chuỗi

Tin nhắn Gate News: Circle đã chuộc lại 550 triệu USDC trên Solana trong vòng 12 giờ. Trong 30 ngày qua, Circle đã phát hành 10,19 tỷ USDC trên blockchain Solana.

GateNews15giờ trước

Nâng cấp lớn của Polymarket: ngừng sử dụng USDC.e, giới thiệu token thế chấp gốc

USDC newsDự đoán thị trườngTiến độ dự án

Nền tảng dự đoán Polymarket sẽ tiến hành tái thiết toàn diện, ra mắt mã thông báo thế chấp mới “Polymarket USD”, thay thế cho USDC.e hiện có, nhằm nâng cao khả năng kiểm soát đối với lớp thanh toán và đáp ứng yêu cầu quy định. Việc nâng cấp sẽ ảnh hưởng đến quy trình giao dịch của người dùng; người dùng phổ thông có thể tự động hoàn tất việc chuyển đổi, trong khi người dùng nâng cao cần thao tác thủ công. Động thái này nhằm tăng cường quản lý đối với thao túng thị trường và thúc đẩy quá trình chuyển đổi tuân thủ quy định.

MarketWhisper16giờ trước
Bình luận
0/400
Không có bình luận