บริษัทความปลอดภัย Web3 GoPlus Security รายงานว่า โปรโตคอลข้ามชั้น x402bridge ที่เพิ่งเปิดตัวประสบปัญหาช่องโหว่ด้านความปลอดภัย ส่งผลให้ผู้ใช้กว่า 200 รายสูญเสีย USDC รวมเป็นเงินประมาณ 17,693 ดอลลาร์ สายการสืบสวนและบริษัทความปลอดภัย SlowMist ยืนยันว่าช่องโหว่นี้น่าจะเกิดจากการรั่วไหลของรหัสส่วนตัวของผู้ดูแลระบบ ทำให้ผู้โจมตีได้รับสิทธิ์การจัดการพิเศษของสัญญา GoPlus Security ขอแนะนำอย่างเร่งด่วนให้ผู้ใช้ที่มี กระเป๋า ในโปรโตคอลนี้ยกเลิกการอนุญาตที่กำลังดำเนินการโดยเร็วที่สุด และเตือนผู้ใช้ว่าอย่าให้สิทธิ์ไม่จำกัดแก่สัญญาเหตุการณ์นี้เปิดเผยถึงความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นจากการเก็บรหัสส่วนตัวของผู้ดูแลระบบใน x402 mechanism.
โปรโตคอลใหม่ x402bridge ถูกโจมตี: การอนุญาตเกินขอบเขตเปิดเผยรหัสส่วนตัวที่มีความเสี่ยงต่อความปลอดภัย
x402bridge โปรโตคอลในช่วงไม่กี่วันหลังจากที่อัปโหลดบนเชน ได้ประสบกับการโจมตีด้านความปลอดภัยครั้งหนึ่ง ทำให้เกิดการสูญเสียเงินทุนของผู้ใช้ กลไกของโปรโตคอลนี้กำหนดให้ผู้ใช้ต้องได้รับการอนุญาตจากสัญญา Owner ก่อนที่จะสร้าง USDC ในเหตุการณ์ครั้งนี้ การอนุญาตเกินความจำเป็นนี้ทำให้มีการโอนเหรียญเสถียรภาพที่เหลืออยู่ของผู้ใช้มากกว่า 200 คน
ผู้โจมตีใช้รหัสส่วนตัวที่รั่วไหลไปขโมย USDC ของผู้ใช้
ตามการสังเกตของ GoPlus Security กระบวนการโจมตีชี้ไปที่การใช้สิทธิ์ในทางที่ผิดอย่างชัดเจน:
- การถ่ายโอนสิทธิ์: ที่อยู่ผู้สร้าง (0xed1A เริ่มต้นด้วย ) ได้ถ่ายโอนความเป็นเจ้าของให้กับที่อยู่ 0x2b8F โดยมอบสิทธิ์การจัดการพิเศษที่ถือโดยทีม x402bridge รวมถึงความสามารถในการแก้ไขการตั้งค่าที่สำคัญและการโอนสินทรัพย์.
- การดำเนินการฟังก์ชันที่เป็นอันตราย: หลังจากได้รับการควบคุม เจ้าของที่อยู่ใหม่ได้ดำเนินการฟังก์ชันที่ชื่อว่า “transferUserToken” ทันที ซึ่งทำให้ที่อยู่นั้นสามารถถอนเหรียญ USD ที่เหลือจากกระเป๋าทั้งหมดที่ได้รับการอนุญาตก่อนหน้านี้ให้กับสัญญา.
- การสูญเสียและการโอนเงิน: ที่อยู่ 0x2b8F ขโมย USDC มูลค่าประมาณ 17,693 USD จากผู้ใช้ หลังจากนั้นจึงแลกเปลี่ยนเงินที่ได้เป็น Ethereum และโอนผ่านการทำธุรกรรมข้ามเครือข่ายหลายครั้งไปยังเครือข่าย Arbitrum.
รากฐานของช่องโหว่: ความเสี่ยงในการเก็บรหัสส่วนตัวในกลไก x402
ทีม x402bridge ได้ตอบสนองต่อเหตุการณ์ช่องโหว่นี้ โดยยืนยันว่าการโจมตีเกิดจากการรั่วไหลของรหัสส่วนตัว ทำให้ทีมงานหลายสิบคนทดสอบและกระเป๋าหลักถูกขโมย โครงการนี้ได้ระงับกิจกรรมทั้งหมดและปิดเว็บไซต์ และได้แจ้งหน่วยงานบังคับใช้กฎหมายแล้ว.
- ความเสี่ยงของกระบวนการอนุญาต: โปรโตคอลได้อธิบายกลไก x402 ของตนก่อนหน้านี้: ผู้ใช้เซ็นชื่อหรือตกลงธุรกรรมผ่านทางหน้าเว็บ ข้อมูลการอนุญาตจะถูกส่งไปยังเซิร์ฟเวอร์ด้านหลัง เซิร์ฟเวอร์จะถอนเงินและสร้างโทเค็นต่อไป.
- รหัสส่วนตัวที่เปิดเผยความเสี่ยง: ทีมงานยอมรับว่า: “เมื่อเราขึ้นระบบที่ x402scan.com เราจำเป็นต้องจัดเก็บรหัสส่วนตัวบนเซิร์ฟเวอร์เพื่อเรียกใช้วิธีการของสัญญา.” ขั้นตอนนี้อาจทำให้รหัสส่วนตัวของผู้ดูแลระบบถูกเปิดเผยในระหว่างการเชื่อมต่อกับอินเทอร์เน็ต ส่งผลให้เกิดการรั่วไหลของสิทธิ์ หากรหัสส่วนตัวถูกขโมย แฮ็กเกอร์สามารถเข้าควบคุมสิทธิ์ผู้ดูแลทั้งหมดและแจกจ่ายเงินทุนของผู้ใช้ใหม่ได้.
ในไม่กี่วันก่อนที่การโจมตีนี้จะเกิดขึ้น ปริมาณการใช้ x402 มีการเพิ่มขึ้นอย่างมาก เมื่อวันที่ 27 ตุลาคม มูลค่าตลาดของโทเค็น x402 ขึ้นทะลุ 800 ล้านดอลลาร์เป็นครั้งแรก และปริมาณการซื้อขายของโปรโตคอล x402 บน CEX หลักในหนึ่งสัปดาห์มีจำนวนถึง 500,000 รายการ เพิ่มขึ้น 10,780% เมื่อเปรียบเทียบกับปีก่อนหน้า.
คำแนะนำด้านความปลอดภัย: GoPlus ขอให้ผู้ใช้เพิกถอนการอนุญาตทันที
เนื่องจากความรุนแรงของการรั่วไหลครั้งนี้ GoPlus Security จึงขอแนะนำให้ผู้ใช้ที่มี กระเป๋า บน โปรโตคอล นี้ยกเลิกการอนุญาตที่กำลังดำเนินการอยู่ทันที บริษัทความปลอดภัยยังเตือนผู้ใช้ทุกคนว่า:
- ตรวจสอบที่อยู่: ก่อนอนุมัติการโอนใด ๆ ให้ตรวจสอบว่าที่อยู่ที่ได้รับอนุญาตเป็นที่อยู่ทางการของโครงการหรือไม่.
- จำกัดจำนวนเงินที่ได้รับอนุญาต: อนุญาตเฉพาะจำนวนเงินที่จำเป็น อย่าอนุญาตให้สัญญาเข้าถึงจำนวนเงินไม่จำกัด.
- ตรวจสอบเป็นประจำ: ตรวจสอบเป็นประจำและเพิกถอนสิทธิ์ที่ไม่จำเป็นออกไป.
สรุป
เหตุการณ์การถูกโจมตีด้วยการรั่วไหลของรหัสส่วนตัวของ x402bridge ได้ส่งเสียงเตือนอีกครั้งเกี่ยวกับความเสี่ยงที่เกิดจากองค์ประกอบที่รวมศูนย์ (เช่น เซิร์ฟเวอร์ที่เก็บรหัสส่วนตัว) ในพื้นที่ Web3 แม้ว่าพโรโตคอล x402 จะมุ่งหวังที่จะใช้รหัสสถานะ HTTP 402 Payment Required เพื่อดำเนินการชำระเงินที่ทันทีและโปรแกรมได้ แต่ช่องโหว่ด้านความปลอดภัยในกลไกการดำเนินการของมันต้องได้รับการแก้ไขอย่างเร่งด่วน สำหรับผู้ใช้ การโจมตีครั้งนี้เป็นบทเรียนที่มีค่าเตือนเราให้ต้องระมัดระวังอยู่เสมอเมื่อมีปฏิสัมพันธ์กับโปรโตคอลบล็อกเชนใด ๆ และจัดการการอนุญาตกระเป๋าอย่างระมัดระวัง.
btc.bar.articles
Circle Partners OSL เพื่อขยายการเข้าถึง USDC ในทุกตลาด
OSL ผสานรวม USDC สำหรับการแปลง 1:1 คู่เทรด และการใช้มาร์จิ้นแบบรวมข้ามตลาดคริปโตและฟอเร็กซ์
หุ้นส่วนเสริมสภาพสินทรัพย์โทเคไนซ์ เช่น USYC โดยเชื่อมโยงผลิตภัณฑ์การเงินแบบดั้งเดิมเข้ากับเครื่องมือสภาพคล่องบนบล็อกเชน
Circle เปิดตัวการเชื่อม USDC แบบเนทีฟ ช่วยให้สามารถเชื่อมต่อได้อย่างปลอดภัย c
CryptoFrontNews10 ชั่วโมง ที่แล้ว
RedotPay เพิ่ม SUI และ USDC-Sui สำหรับการชำระเงินทั่วโลก
RedotPay เพิ่ม SUI และ USDC-Sui ทำให้ผู้ใช้ 7M สามารถทำธุรกรรมทั่วโลกได้กับร้านค้า 130M ในกว่า 100 ประเทศ
การรองรับ USDC โดยกำเนิดบน Sui ช่วยเพิ่มประสิทธิภาพ ลดการพึ่งพาโทเค็นที่ถูกบริดจ์ และทำให้การชำระเงินเกือบจะทันที
การรวมระบบทำให้การชำระเงินบนบล็อกเชนเชื่อมโยงกับ
CryptoFrontNews12 ชั่วโมง ที่แล้ว
Circle, ขยายการเข้าถึง OSL สำหรับ USDC ขณะที่ความต้องการข้ามพรมแดนในเอเชียเติบโตขึ้น
การเข้าถึงสภาพคล่องดิจิทัลดอลลาร์ของสถาบันกำลังเติบโต เนื่องจากความต้องการการชำระข้ามพรมแดนเพิ่มขึ้น และเหรียญเสถียรกำลังมีบทบาทที่มากขึ้นในโครงสร้างพื้นฐานของตลาด OSL Group และ Circle กำลังขยายการใช้ USDC สำหรับการเทรด การชำระเงิน และการชำระบัญชีทั่วเอเชีย
สิ่งที่ควรจับตา:
OSL Group ขยายการเข้าถึง USDC acc
Coinpedia20 ชั่วโมง ที่แล้ว
การชำระบัญชีของ CHIP แตะ 1.2 ล้านดอลลาร์ใน 1 ชั่วโมง ขณะที่เทรดเดอร์ neoyokio.eth เปิดสถานะ Long มูลค่า 2.2 ล้านดอลลาร์
ข้อความข่าว Gate วันที่ 23 เมษายน——ตามข้อมูลการติดตามจาก Hyperinsight และ Coinglass, CHIP เป็นสินทรัพย์ที่มีการชำระบัญชีสูงสุดในช่วงชั่วโมงที่ผ่านมา ด้วยมูลค่าประมาณ 1.2 ล้านดอลลาร์ในสถานะที่ถูกชำระบัญชี ซึ่งส่วนใหญ่เป็นสถานะฝั่ง Long ในแพลตฟอร์ม Hyperliquid ที่อยู่เพียงที่อยู่เดียวถูกชำระบัญชีมาแล้วสองครั้งในช่วง
GateNews20 ชั่วโมง ที่แล้ว
Pornhub เปลี่ยนการจ่ายเงินให้ครีเอเตอร์จาก USDT เป็น USDC เพื่อความน่าเชื่อถือที่มากขึ้น
Pornhub ได้เปลี่ยนการจ่ายเงินให้ครีเอเตอร์จาก USDT เป็น USDC โดยอ้างถึงความน่าเชื่อถือและการปฏิบัติตาม MiCA; ลิงก์การชำระเงินแบบ USDT-PayPal เดิม และพาร์ทเนอร์ที่ใช้ TronLink ได้ถูกยกเลิกแล้ว
บทคัดย่อ: Pornhub ได้แทนที่การจ่ายเงินให้ครีเอเตอร์ด้วย USDC แทน USDT โดยให้เหตุผลว่า USDC มีความน่าเชื่อถือมากกว่าและเป็นไปตาม MiCA การเปลี่ยนครั้งนี้ยุติความเชื่อมโยง PayPal-USDT และโครงสร้างพื้นฐานการชำระเงินที่อิง TronLink และพาร์ทเนอร์เหล่านั้นถูกนำออกจากหน้าการชำระเงินสำหรับครีเอเตอร์
GateNews21 ชั่วโมง ที่แล้ว
Circle เสนอปรับโครงสร้างอัตราฉุกเฉินสำหรับพูล USDC ที่ถูกแช่แข็งของ Aave
สรุป: Circle เสนอการปรับโครงสร้าง Aave V3 สำหรับ USDC แบบฉุกเฉิน โดยยกระดับ Slope 2 ขึ้นไปที่ ~40% เพื่อฟื้นระดับการใช้งานที่ดี (เป้าหมาย ~85%) พร้อมอัตราสูงสุดเพิ่มเป็น ~48% โดยให้เหตุผลว่าผู้กู้มองข้ามอัตราดอกเบี้ย นอกจากนี้ยังแนะนำให้หยุดพัก USDC risk oracle ด้วย
บทคัดย่อ: Circle ได้เรียกร้องให้มีการปรับโครงสร้าง Aave V3 ของกลุ่มพูล USDC แบบฉุกเฉิน หลังจากผ่านไปสี่วันโดยมีสภาพคล่องว่างใกล้ 6% และอัตราการใช้งาน 99.87% ภายหลังการเอ็กซ์พลอยต์ของ KelpDAO แผนดังกล่าวจะยกระดับ Slope 2 สำหรับเงินฝาก USDC ทันทีจากราว 10% ไปที่ 40% ก่อน แล้วจึงให้มีการอนุมัติผ่านการกำกับดูแล (governance) เพื่อกำหนดเป้าหมาย 50% ภายในหนึ่งสัปดาห์ วัตถุประสงค์คือดึงดูดอุปทานและฟื้นสมดุลการใช้งาน โดยจะขยับไปสู่อัตราดอกเบี้ยอุปทานสูงสุดที่ ~48%(ที่การใช้งานครบเต็ม ) Liao ให้เหตุผลว่าผู้กู้รายปัจจุบันใช้การกู้ยืมด้วย USDC เป็นกลไกการเลี่ยงคิว และไม่ตอบสนองต่ออัตราปัจจุบัน ทำให้แรงจูงใจที่เน้นอุปทานมีความจำเป็น ข้อเสนอยังแนะนำให้หยุดพัก USDC Risk Oracle เนื่องจากผลงานที่ด้อยกว่าในอดีต ท่าทีของ Circle น่าสังเกตเพราะผู้ให้บริการเหรียญเสถียร (stablecoin issuer) กำลังบอกโดยพื้นฐานว่าสภาวะตลาดสำหรับสินทรัพย์ของมันบน Aave นั้น “พัง”
CryptoFrontier04-22 21:04
