402桥遭黑客攻击导致超200名用户USDC被盗

GoPlus检测到与402bridge相关的异常授权行为，导致超过200名用户因协议过度授权而损失USDC。

• x402bridge协议因管理员私钥泄露遭到入侵，攻击者从200余名用户处窃取约17,693美元的USDC。
• 此次攻击暴露出x402机制的漏洞——该机制依赖服务器存储的私钥为链上地址赋予管理员权限，可能导致交易分配与授权失控。

10月28日，Web3安全公司GoPlus Security中文社交媒体账号警告用户，跨层协议x402bridge疑似存在安全漏洞。该协议上线仅数日便遭遇攻击。

在铸造USDC前，操作需先获得Owner合约授权。本次事件中，过度授权导致200多名用户在一系列转账中损失账户内剩余稳定币。

GoPlus（GPS）指出，以0xed1A开头的合约创建者将所有权转移至0x2b8F地址，使该地址获得x402bridge团队特有的管理权限（如修改关键设置、转移资产等）。

取得控制权后，新所有者地址立即执行名为"transferUserToken"的函数，该函数可清空所有曾授权给该合约的钱包内剩余USDC。

0x2b8F地址共计从用户处转移价值约17,693美元的USDC，随后将被盗资金兑换为ETH，并通过多次跨链交易转移至Arbitrum网络。

针对此次漏洞，GoPlus Security建议协议用户立即取消所有现存授权，并提醒用户在批准转账前核验授权地址是否为项目官方地址。

此外，用户应仅授权必要金额，切勿对合约开放无限授权。安全团队强调需定期检查并撤销非必要授权。

此次攻击发生在x402交易量激增之际。10月27日，x402代币市值首次突破8亿美元。同期Coinbase的x402协议单周交易量达50万笔，较上月暴涨10,780%。

x402协议通过HTTP 402"需要付款"状态码，实现人类与AI代理对API及数字内容的即时程序化支付。这意味着用户可通过HTTP进行稳定币即时支付。

402bridge遭攻击原因何在？

链上分析师及SlowMist等安全公司认为，漏洞很可能源于私钥泄露，但未排除内部作案可能。目前项目已暂停所有活动，官网处于离线状态。

402bridge官方账号确认漏洞系私钥泄露所致，导致协议上十余个团队测试钱包与主钱包遭到入侵。团队表示正在配合当局调查。

"我们已第一时间向执法部门报案，并将随着调查进展及时向社区同步最新情况。"402bridge声明称。

在早前发布的说明中，协议解释x402机制要求用户通过网页界面签署交易授权，随后后端服务器根据授权提取资金并铸造代币。

"接入x402scan.com时，我们需要在服务器存储私钥以调用合约方法。"协议方表示，"此阶段管理员私钥联网可能导致权限泄露。"

这意味着若黑客窃取私钥，即可接管所有管理员权限，并将用户资金重定向至黑客合约。