Хакеры обокрали 402bridge: как утечка ключа привела к потере 17 000 USDC

27 октября был совершен кибератаку на кроссчейн-мост 402bridge, в результате которой неизвестный злоумышленник похитил токены на сумму 17 693 USDC. Огромное количество тестовых и основных кошельков команды стало уязвимым из-за утечки приватного ключа.

Эксперты безопасности из GoPlus утверждают, что причиной данного инцидента стала «избыточная авторизация» перед эмиссией монет. Хакер изменил владельца скомпрометированного смарт-контракта и, используя метод transferUserToken, перевел лишние USDC на счета более 200 пользователей. Затем он вывел стейблкоины, конвертировал их в 4,2 ETH и осуществил перевод в сеть Arbitrum.

Специалисты рекомендовали всем вовлечённым пользователям отменить авторизацию в смарт-контракте с адресом 0xed1AFc4DCfb39b9ab9d67f3f7f7d02803cEA9FC5.

В компании 402bridge пояснили, что механизм работы x402 требует подписания или одобрения транзакций пользователями через веб-интерфейс, после чего данные отправляются на внутренний сервер, где осуществляется извлечение средств и выпуск монет.

«При подключении к сайту необходимо сохранить приватный ключ на сервере для выполнения методов контракта. Это может создать риски раскрытия прав администратора, поскольку ключ на данном этапе становится доступным в интернете. В случае утечки злоумышленник может получить доступ к этим правам и перенаправить средства пользователя для совершения атаки», — объяснила команда пострадавшего проекта.

Разработчики уже сообщили в правоохранительные органы о происшествии и начали внутреннее расследование.

По мнению экспертов из SlowMist, за взломом может стоять кто-то из инсайдеров.

Эта атака стала первым широко известным случаем кражи средств, связанной с сервисом x402, предназначенным для онлайн-платежей с использованием стейблкоинов. Он также предоставляет возможность ИИ-агентам выполнять автономные сделки.

Coinbase представила этот проект в мае, используя протокол HyperText Transfer Protocol (HTTP) для обмена данными между веб-браузерами и серверами.

За месяц активность в сети x402 увеличилась более чем в 10 раз.

За два дня до инцидента с 402bridge криптоисследователь Габриэль Шапиро и соучредитель Solana Анатолий Яковенко обсуждали безопасность решений второго уровня.

Шапиро аргументировал, что L2 не обязательно должны быть децентрализованными, так как их защищает сам блокчейн Ethereum — пользователи имеют возможность заставлять включать транзакции в блоки, а риски централизации нивелируются механизмами L1.

Яковенко же указывал на уязвимость текущих L2, зависящих от мультиподписей, которые могут изменять контракты мостов без уведомления пользователей и распоряжаться средствами напрямую. В отличие от этого, в Solana валидаторы не имеют возможности вмешиваться в состояние сети.

Шапиро добавил, что современные мультиподписи, например, в ZKsync, поддерживаются юридическими и управленческими гарантиями, помимо кода. Однако Яковенко заметил, что правовые механизмы не устраняют технический риск централизации.

В конце обсуждения Яковенко высказал мысль, что L2 не унаследовали безопасность Ethereum, а повторяют уязвимости кроссчейн-мостов, таких как Wormhole.

Шапиро же считает, что L2 представляет собой отдельный уровень доверительных компромиссов, который со временем станет безопаснее благодаря развитию ZK-доказательств.

Напомним, эксперты Global Ledger указывают на то, что основной проблемой криптоиндустрии стала скорость выведения средств злоумышленниками после взломов. Кроссчейн-мосты стали основным инструментом для отмывания денег хакерами.