x402bridge攻擊事件分析：私鑰泄露致超200用戶受損，超額授權暴露隱患

Web3 安全公司 GoPlus Security 報告稱，新推出的跨層協議 x402bridge 遭受安全漏洞，導致超過 200 名用戶 損失了 USDC，總計約 17,693 美元。鏈上偵探和安全公司 SlowMist 均確認，該漏洞最可能由管理員私鑰泄露所致，使攻擊者獲得了合約的特殊管理權限。GoPlus Security 緊急建議所有在該協議上擁有錢包的用戶盡快取消正在進行的授權，並提醒用戶永遠不要向合約授予無限授權。此次事件暴露了 x402 機制中，服務器存儲的私鑰可能導致管理員權限泄露的潛在安全風險。

新協議 x402bridge 遭攻擊：超額授權暴露私鑰安全隱患

x402bridge 協議在上線鏈上幾天後，就遭遇了一次安全攻擊，導致用戶資金損失。該協議的機制要求用戶在鑄造 USDC 前，必須先由 Owner 合約進行授權。在本次事件中，正是這種超額授權導致了超過 200 名用戶剩餘的穩定幣被轉移。

攻擊者利用泄露私鑰竊取用戶 USDC

根據 GoPlus Security 的觀察，攻擊流程清晰地指向了 權限濫用：

• 權限轉移： 創建者地址 (0xed1A 開頭) 將所有權轉移給了地址 0x2b8F，授予了後者由 x402bridge 團隊持有的特殊 管理權限，包括修改關鍵設置和轉移資產的能力。
• 執行惡意功能： 在獲得控制權後，新所有者地址立即執行了一個名爲 “transferUserToken” 的功能，使得該地址能夠從所有此前授權給該合約的錢包中，提取剩餘的 USD Coins。
• 資金損失與轉移： 地址 0x2b8F 總共從用戶處竊取了價值約 17,693 美元 的 USDC，隨後將贓款兌換成以太坊，並通過多次跨鏈交易轉移到 Arbitrum 網路。

漏洞根源：x402 機制中的私鑰存儲風險

x402bridge 團隊已對此次漏洞事件進行了回應，確認攻擊是由於 私鑰泄露 導致的，使得十幾個團隊測試和主要錢包被盜用。該項目已暫停所有活動並關閉網站，並已向執法部門報告。

• 授權流程風險： 協議此前曾解釋其 x402 機制 的工作原理：用戶通過網頁界面籤名或批準交易，授權信息被發送到 後端服務器，服務器隨後提取資金並鑄造代幣。
• 私鑰暴露風險： 團隊坦言：“當我們在 x402scan. com 上線時，我們需要在 服務器上存儲私鑰才能調用合約方法。”這一步驟可能導致 管理員私鑰 在連接互聯網的階段暴露，從而引發權限泄露。一旦私鑰被盜，黑客即可接管所有管理員權限並重新分配用戶資金。

在本次攻擊發生前幾天，x402 交易的使用量曾出現激增，10 月 27 日，x402 代幣的市值首次突破 8 億美元，主流CEX 的 x402 協議在一周內的交易量達到 50 萬筆，環比增長 10,780%。

安全建議：GoPlus 呼籲用戶立即取消授權

鑑於此次泄露的嚴重性，GoPlus Security 緊急建議在該協議上擁有錢包的用戶立即取消任何正在進行的授權。安全公司同時提醒所有用戶：

1. 核對地址： 在批準任何轉移之前，檢查授權地址是否爲項目的 官方地址。
2. 限制授權金額： 僅授權 必要的金額，切勿向合約授予 無限授權。
3. 定期檢查： 定期檢查並 撤銷不必要的授權。

結語

x402bridge 遭受私鑰泄露攻擊的事件，再次敲響了 Web3 領域關於中心化組件（如服務器存儲私鑰）帶來風險的警鍾。盡管 x402 協議旨在利用 HTTP 402 Payment Required 狀態碼實現即時、可編程的 穩定幣 支付，但其實現機制中的 安全漏洞 必須得到立即修復。對於用戶而言，這次攻擊是一次昂貴的教訓，提醒我們在與任何區塊鏈協議交互時，必須時刻保持 警惕，謹慎管理錢包授權。