أفادت شركة GoPlus Security للأمن في Web3 أن بروتوكول x402bridge الجديد الذي تم إطلاقه تعرض لثغرة أمنية، مما أدى إلى خسارة أكثر من 200 مستخدم لمبلغ USDC، بإجمالي حوالي 17,693 دولار. وقد أكدت كل من شركة SlowMist التي تعمل في الأمن والتحقيقات داخل السلسلة أن الثغرة ناتجة على الأرجح عن تسرب المفتاح الخاص للمدير، مما منح المهاجمين صلاحيات إدارة خاصة بالعقد. وقد أوصت GoPlus Security بشكل عاجل جميع المستخدمين الذين يمتلكون المحفظة على هذا البروتوكول بإلغاء التفويضات الجارية في أسرع وقت ممكن، وذكّرت المستخدمين بعدم منح عقودهم تفويضًا غير محدود أبدًا. تكشف هذه الحادثة عن المخاطر الأمنية المحتملة في آلية x402، حيث يمكن أن يؤدي تخزين المفتاح الخاص على الخادم إلى تسرب صلاحيات الإدارة.
بروتوكول x402bridge تعرض لهجوم: التفويض المفرط يكشف عن مخاطر أمن المفتاح الخاص
بعد أيام من إطلاق بروتوكول x402bridge داخل السلسلة، تعرض لهجوم أمني أدى إلى خسارة أموال المستخدمين. يتطلب آلية هذا البروتوكول من المستخدمين الحصول على تفويض من عقد Owner قبل سك USDC. في هذه الحادثة، كانت هذه التفويضات الزائدة هي التي أدت إلى تحويل ما تبقى من عملات الاستقرار لأكثر من 200 مستخدم.
المهاجمون يستغلون تسرب المفتاح الخاص لسرقة مستخدم USDC
وفقًا لملاحظات GoPlus Security، تشير عملية الهجوم بوضوح إلى إساءة استخدام الصلاحيات:
- نقل الصلاحيات: عنوان المنشئ (0xed1A يبدأ بـ ) نقل الملكية إلى العنوان 0x2b8F، ومنح الأخير صلاحيات إدارة خاصة تحتفظ بها فريق x402bridge، بما في ذلك القدرة على تعديل الإعدادات الأساسية ونقل الأصول.
- تنفيذ وظيفة خبيثة: بعد الحصول على السيطرة، قام عنوان المالك الجديد بتنفيذ وظيفة تسمى “transferUserToken” على الفور، مما مكن هذا العنوان من استخراج ما تبقى من عملات الدولار الأمريكي من جميع المحافظ التي تم تفويضها مسبقًا لهذا العقد.
- خسارة الأموال والتحويل: العنوان 0x2b8F سرق إجمالاً من المستخدمين ما قيمته حوالي 17,693 دولار من USDC، ثم قام بتحويل الأموال المسروقة إلى إيثيريوم، وانتقل عبر عدة معاملات عبر السلاسل إلى شبكة Arbitrum.
مصدر الثغرة: مخاطر تخزين المفتاح الخاص في آلية x402
فريق x402bridge قد رد على حادثة الثغرة هذه، مؤكدًا أن الهجوم كان نتيجة تسرب المفتاح الخاص، مما أدى إلى سرقة عشرات الفرق والمحافظ الرئيسية. وقد أوقف المشروع جميع الأنشطة وأغلق الموقع، وقد تم الإبلاغ عن ذلك إلى السلطات القانونية.
- مخاطر عملية التفويض: لقد أوضح البروتوكول سابقًا كيفية عمل آلية x402 الخاصة به: يقوم المستخدم بتوقيع أو الموافقة على المعاملات من خلال واجهة الويب، ثم يتم إرسال معلومات التفويض إلى الخادم الخلفي، حيث يقوم الخادم بعد ذلك بسحب الأموال وصك الرموز.
- مخاطر تعرض المفتاح الخاص: اعترف الفريق قائلاً: “عندما نطلق على x402scan.com، نحتاج إلى تخزين المفتاح الخاص على الخادم لاستدعاء طرق العقد.” قد تؤدي هذه الخطوة إلى تعرض المفتاح الخاص للمديرين خلال مرحلة الاتصال بالإنترنت، مما يؤدي إلى تسرب الصلاحيات. بمجرد سرقة المفتاح الخاص، يمكن للقراصنة السيطرة على جميع صلاحيات المدير وإعادة توزيع أموال المستخدمين.
قبل عدة أيام من حدوث هذا الهجوم، شهد استخدام x402 زيادة كبيرة، في 27 أكتوبر، تجاوزت القيمة السوقية لرمز x402 لأول مرة 800 مليون دولار، وبلغ حجم تداول بروتوكول x402 في CEX الرئيسي 500,000 صفقة خلال أسبوع، بزيادة قدرها 10,780%.
نصائح الأمان: تدعو GoPlus المستخدمين إلى إلغاء التفويض على الفور
نظرًا لخطورة هذا التسريب، توصي GoPlus Security بشكل عاجل جميع المستخدمين الذين يمتلكون المحفظة على هذا البروتوكول بإلغاء أي تفويضات جارية على الفور. كما تذكر الشركة الأمنية جميع المستخدمين:
- التحقق من العنوان: قبل الموافقة على أي تحويل، تحقق مما إذا كان العنوان المصرح به هو العنوان الرسمي للمشروع.
- مبلغ التفويض المحدود: فقط قم بتفويض المبلغ الضروري، ولا تمنح العقد تفويضًا غير محدود.
- الفحص الدوري: تحقق دوريًا وقم بإلغاء التفويضات غير الضرورية.
الخاتمة
تعرض x402bridge لحدث تسرب المفتاح الخاص، مما يقرع جرس الإنذار مرة أخرى في مجال Web3 بشأن المخاطر التي تسببها المكونات المركزية (مثل خوادم تخزين المفتاح الخاص). على الرغم من أن بروتوكول x402 يهدف إلى استخدام حالة HTTP 402 Payment Required لتحقيق مدفوعات مستقرة فورية وقابلة للبرمجة، إلا أن الثغرات الأمنية في آلية التنفيذ يجب إصلاحها على الفور. بالنسبة للمستخدمين، كانت هذه الهجمة درسًا مكلفًا، تذكرنا بضرورة الحفاظ على اليقظة وإدارة تفويضات المحفظة بحذر عند التفاعل مع أي بروتوكول بلوكتشين.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
انخفاض تداول USDC بمقدار 700M خلال الأيام السبعة الماضية، ويصل إجمالي المعروض إلى 78B
بوابة الأخبار، 26 أبريل — خلال الأيام السبعة الماضية وحتى 23 أبريل، أصدرت شركة Circle ما يقارب 5.1 مليار USDC بينما قامت بإسترداد حوالي 5.8 مليار USDC، مما أدى إلى انخفاض صافي قدره 700 مليون USDC في التداول.
يمتد إجمالي المعروض من USDAC إلى 78 مليار، مدعومًا بحوالي $78.2 مليار
GateNewsمنذ 3 س
与 RookieXBT 相关联的钱包以 25,000 USDC 购买了 189 万枚 SPIKE 代币
Gate 新闻消息,与 @RookieXBT 关联的钱包地址已执行一笔交易,花费 25,000 USDC 以获取 189 万枚 SPIKE 代币。
GateNewsمنذ 14 س
انخفاض تداول USDC بمقدار 700M خلال 7 أيام إلى 78B؛ الاحتياطيات تبلغ 78.2B
بوابة الأخبار، 25 أبريل — خلال الأيام السبعة حتى 23 أبريل، أصدرت شركة سيركل (Circle) ما يقارب 5.1 مليار USDC بينما قامت بإعادة شراء ما يقارب 5.8 مليار، ما أدى إلى انخفاض صافي قدره 700 مليون USDC في التداول. يبلغ إجمالي تداول USDC 78 مليارًا، مدعومًا بحوالي 78.2 مليار في
GateNews04-25 11:05
OSL Group 与 Circle 达成合作伙伴关系,扩大全球 USDC 在交易与支付平台的访问
Gate 新闻消息,4 月 24 日 — OSL Group (HKEX: 863),一家全球稳定币支付与交易平台,宣布将于 4 月 22 日与 Circle (NYSE: CRCL)——领先的金融平台公司——达成合作,以扩大全球 USDC 在 OSL 的支付与交易生态系统中的覆盖。
通过 OSL Global,OSL的
GateNews04-24 19:19
إطلاق رئيسي من بورصة مركزية كبرى لبطاقة دفع كريبتو على شبكة Mastercard في أستراليا، بما يتيح مدفوعات USDC
رسالة أخبار Gate، 24 أبريل — أطلقت بورصة مركزية رائدة بطاقة دفع كريبتو في أستراليا، بالشراكة مع Mastercard وImmersve لتمكين المدفوعات المدعومة بالعملات المشفرة لدى التجار الذين يقبلون Mastercard، بما في ذلك Google Play وApple Pay. تدعم الخدمة USDC و37 زوج تداول USDC، حيث يتم تحويل الأصول الرقمية إلى عملة ورقية عند الدفع قبل تسوية Mastercard. يمكن للمستخدمين كسب ما يصل إلى 2% استرداد نقدي على المعاملات استنادًا إلى مستوى VIP الخاص بهم وحجم التداول. المنتج متاح حاليًا كنسخة افتراضية فقط، دون بطاقة فعلية أو إمكانية الوصول إلى أجهزة الصراف الآلي في هذه المرحلة.
تعكس هذه المبادرة التزام البورصة بتوظيف الكريبتو في العالم الحقيقي مع بنية تحتية تركز على الثقة. صرّح الرئيس التنفيذي بأن الشراكة تعزز قبول Mastercard بين مستخدمي أستراليا مع ضمان حماية المستخدمين ومعايير امتثال واضحة. يستند المنتج إلى تسجيل AUSTRAC DCE الخاص بالبورصة، ما يوضح الالتزام بابتكار مسؤول. وأشار المدير الإداري الأسترالي إلى أن المنفعة هي نقطة التحول لاعتماد الأصول الرقمية، وأن البطاقة تربط الأصول الرقمية بتجارة واقعية عبر تجربة مألوفة من Mastercard.
وصف Jerom Faury، الرئيس التنفيذي لشركة Immersve، التعاون بأنه خطوة كبيرة نحو التبني السائد للأصول الرقمية لعمليات الشراء اليومية، واصفًا إياه بأنه "مغير قواعد اللعبة". وشددت Christina Rau، النائبة الأولى لرئيس التسويق الرقمي في Mastercard، على أن الشراكة تعكس التزام الشركة بابتكار Web3 مسؤول وتمكين الإنفاق الآمن والمتوافق للأصول الرقمية على نطاق واسع.
Axis One Markets Pty Ltd مخوّلة بتقديم بعض الخدمات المالية نيابةً عن Immersve، في حين يتم إصدار البطاقة حصريًا بواسطة Immersve. يُنصح المستخدمون بمراجعة مستندات الإفصاح ذات الصلة بما في ذلك بيان الإفصاح عن المنتج ودليل الخدمات المالية وتحديد السوق المستهدف قبل استخدام الخدمة. تؤكد Immersve الالتزام بمعايير أستراليا لمكافحة غسل الأموال وتمويل الإرهاب.
GateNews04-24 18:42
Circle تصدر 500 مليون USDC على سولانا في معاملتين
بوابة الأخبار: رسالة، 24 أبريل — وفقًا لبيانات السلسلة على السلسلة، قامت شركة Circle، مُصدِر العملة المستقرة، للتو بإصدار 500 مليون USDC على بلوكتشين سولانا.
تم إتمام عملية الإصدار في معاملتين منفصلتين، تتضمن كل واحدة منهما 250 مليون USDC.
GateNews04-24 15:32
