أفادت شركة GoPlus Security للأمن في Web3 أن بروتوكول x402bridge الجديد الذي تم إطلاقه تعرض لثغرة أمنية، مما أدى إلى خسارة أكثر من 200 مستخدم لمبلغ USDC، بإجمالي حوالي 17,693 دولار. وقد أكدت كل من شركة SlowMist التي تعمل في الأمن والتحقيقات داخل السلسلة أن الثغرة ناتجة على الأرجح عن تسرب المفتاح الخاص للمدير، مما منح المهاجمين صلاحيات إدارة خاصة بالعقد. وقد أوصت GoPlus Security بشكل عاجل جميع المستخدمين الذين يمتلكون المحفظة على هذا البروتوكول بإلغاء التفويضات الجارية في أسرع وقت ممكن، وذكّرت المستخدمين بعدم منح عقودهم تفويضًا غير محدود أبدًا. تكشف هذه الحادثة عن المخاطر الأمنية المحتملة في آلية x402، حيث يمكن أن يؤدي تخزين المفتاح الخاص على الخادم إلى تسرب صلاحيات الإدارة.
بروتوكول x402bridge تعرض لهجوم: التفويض المفرط يكشف عن مخاطر أمن المفتاح الخاص
بعد أيام من إطلاق بروتوكول x402bridge داخل السلسلة، تعرض لهجوم أمني أدى إلى خسارة أموال المستخدمين. يتطلب آلية هذا البروتوكول من المستخدمين الحصول على تفويض من عقد Owner قبل سك USDC. في هذه الحادثة، كانت هذه التفويضات الزائدة هي التي أدت إلى تحويل ما تبقى من عملات الاستقرار لأكثر من 200 مستخدم.
المهاجمون يستغلون تسرب المفتاح الخاص لسرقة مستخدم USDC
وفقًا لملاحظات GoPlus Security، تشير عملية الهجوم بوضوح إلى إساءة استخدام الصلاحيات:
- نقل الصلاحيات: عنوان المنشئ (0xed1A يبدأ بـ ) نقل الملكية إلى العنوان 0x2b8F، ومنح الأخير صلاحيات إدارة خاصة تحتفظ بها فريق x402bridge، بما في ذلك القدرة على تعديل الإعدادات الأساسية ونقل الأصول.
- تنفيذ وظيفة خبيثة: بعد الحصول على السيطرة، قام عنوان المالك الجديد بتنفيذ وظيفة تسمى “transferUserToken” على الفور، مما مكن هذا العنوان من استخراج ما تبقى من عملات الدولار الأمريكي من جميع المحافظ التي تم تفويضها مسبقًا لهذا العقد.
- خسارة الأموال والتحويل: العنوان 0x2b8F سرق إجمالاً من المستخدمين ما قيمته حوالي 17,693 دولار من USDC، ثم قام بتحويل الأموال المسروقة إلى إيثيريوم، وانتقل عبر عدة معاملات عبر السلاسل إلى شبكة Arbitrum.
مصدر الثغرة: مخاطر تخزين المفتاح الخاص في آلية x402
فريق x402bridge قد رد على حادثة الثغرة هذه، مؤكدًا أن الهجوم كان نتيجة تسرب المفتاح الخاص، مما أدى إلى سرقة عشرات الفرق والمحافظ الرئيسية. وقد أوقف المشروع جميع الأنشطة وأغلق الموقع، وقد تم الإبلاغ عن ذلك إلى السلطات القانونية.
- مخاطر عملية التفويض: لقد أوضح البروتوكول سابقًا كيفية عمل آلية x402 الخاصة به: يقوم المستخدم بتوقيع أو الموافقة على المعاملات من خلال واجهة الويب، ثم يتم إرسال معلومات التفويض إلى الخادم الخلفي، حيث يقوم الخادم بعد ذلك بسحب الأموال وصك الرموز.
- مخاطر تعرض المفتاح الخاص: اعترف الفريق قائلاً: “عندما نطلق على x402scan.com، نحتاج إلى تخزين المفتاح الخاص على الخادم لاستدعاء طرق العقد.” قد تؤدي هذه الخطوة إلى تعرض المفتاح الخاص للمديرين خلال مرحلة الاتصال بالإنترنت، مما يؤدي إلى تسرب الصلاحيات. بمجرد سرقة المفتاح الخاص، يمكن للقراصنة السيطرة على جميع صلاحيات المدير وإعادة توزيع أموال المستخدمين.
قبل عدة أيام من حدوث هذا الهجوم، شهد استخدام x402 زيادة كبيرة، في 27 أكتوبر، تجاوزت القيمة السوقية لرمز x402 لأول مرة 800 مليون دولار، وبلغ حجم تداول بروتوكول x402 في CEX الرئيسي 500,000 صفقة خلال أسبوع، بزيادة قدرها 10,780%.
نصائح الأمان: تدعو GoPlus المستخدمين إلى إلغاء التفويض على الفور
نظرًا لخطورة هذا التسريب، توصي GoPlus Security بشكل عاجل جميع المستخدمين الذين يمتلكون المحفظة على هذا البروتوكول بإلغاء أي تفويضات جارية على الفور. كما تذكر الشركة الأمنية جميع المستخدمين:
- التحقق من العنوان: قبل الموافقة على أي تحويل، تحقق مما إذا كان العنوان المصرح به هو العنوان الرسمي للمشروع.
- مبلغ التفويض المحدود: فقط قم بتفويض المبلغ الضروري، ولا تمنح العقد تفويضًا غير محدود.
- الفحص الدوري: تحقق دوريًا وقم بإلغاء التفويضات غير الضرورية.
الخاتمة
تعرض x402bridge لحدث تسرب المفتاح الخاص، مما يقرع جرس الإنذار مرة أخرى في مجال Web3 بشأن المخاطر التي تسببها المكونات المركزية (مثل خوادم تخزين المفتاح الخاص). على الرغم من أن بروتوكول x402 يهدف إلى استخدام حالة HTTP 402 Payment Required لتحقيق مدفوعات مستقرة فورية وقابلة للبرمجة، إلا أن الثغرات الأمنية في آلية التنفيذ يجب إصلاحها على الفور. بالنسبة للمستخدمين، كانت هذه الهجمة درسًا مكلفًا، تذكرنا بضرورة الحفاظ على اليقظة وإدارة تفويضات المحفظة بحذر عند التفاعل مع أي بروتوكول بلوكتشين.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
Bermuda Bay ZK 通过 Morpho 集成在 USDC 上实现私密收益耕作
خبر من Gate,4 月 24 日——Bermuda Bay ZK 推出了一个零知识隐私解决方案,将机密性功能直接嵌入区块链基础设施中,包括钱包、稳定币、流动性池和 DeFi 协议。不同于依赖独立隐私层的传统做法,
GateNewsمنذ 9 د
OSL 集团携手 Circle 扩大全球交易与支付平台的 USDC 访问
Gate 新闻消息,4 月 24 日——OSL 集团 (HKEX: 863),一家全球稳定币支付与交易平台,宣布与 Circle Internet Group, Inc. 的一家附属公司达成合作。(NYSE: CRCL),于 4 月 22 日达成合作,以扩大全球范围内其支付与交易平台对 USDC 的访问。
通过 OSL Global,用户可以以 1:1 的比例将 USD 和 USDC 进行兑换,并可在专门的 USDC 交易区域使用具备订单簿功能的 Pro Trading 交易服务。该交易区域包含五个主要交易对:BTC、ETH、SOL、USD 和 USDT。OSL 还将 USDC 集成为统一保证金资产,以提升符合条件客户的资本效率与交易灵活性;同时,其支付业务已纳入 USDC,以支持合规的数字美元结算与支付使用场景。此外,OSL 将在满足监管要求与平台准入资格的前提下,支持访问 Circle 的 USYC——一种代币化的货币市场基金。
OSL 集团首席商务官 Eugene Cheung 表示,该合作强调了公司致力于打造稳定币生态系统以及下一代金融市场基础设施的承诺。Circle 首席业务官 Kash Razzaghi 指出,该合作体现了两家公司都致力于建设开放的金融通道,以支持资本效率与市场增长。
GateNewsمنذ 2 س
تقوم شركة Circle Partners بتوسيع وصول USDC عبر الأسواق في الولايات المتحدة
OSL يدمج USDC لإجراء تحويلات بنسبة 1:1، وأزواج تداول، واستخدام الهامش الموحد عبر أسواق العملات الرقمية والورقية.
تضيف الشراكة أصولاً مُرمّزة مثل USYC، لربط منتجات التمويل التقليدي بأدوات السيولة المعتمدة على البلوك تشين.
تقدم Circle جسر USDC الأصلي، مما يتيح تحويلات آمنة عبر
CryptoFrontNews04-23 11:12
RedotPay تضيف SUI و USDC-Sui للمدفوعات العالمية
تضيف RedotPay دعمي SUI و USDC-Sui، مما يتيح لـ 7 ملايين مستخدم إجراء معاملات عالميًا عبر 130 مليون تاجر في أكثر من 100 دولة.
يعمل دعم Native USDC على Sui على تحسين الكفاءة، وإزالة الاعتماد على الرموز الممدّدة (bridged) وتمكين التسوية الفورية تقريبًا.
تربط عمليات التكامل مدفوعات البلوكشين بـ
CryptoFrontNews04-23 09:17
توسّع Circle وOSL في الوصول إلى USDC مع تزايد الطلب عبر الحدود في آسيا
يزداد إتاحة الوصول المؤسسي إلى سيولة الدولار الرقمي مع ارتفاع الطلب على التسوية عبر الحدود وتزايد دور العملات المستقرة في البنية التحتية للأسواق. تعمل OSL Group وCircle على توسيع استخدام USDC عبر التداول والمدفوعات والتسوية في آسيا.
النتائج الرئيسية:
OSL Group وسّعت استخدام USDC بشكل
Coinpedia04-23 01:35
تصفية عمليات CHIP تصل إلى 1.2 مليون دولار خلال ساعة واحدة بينما يفتح المتداول neoyokio.eth مركزًا طويلًا بقيمة 2.2 مليون دولار
بوابة الأخبار، 23 أبريل — وفقًا لبيانات المراقبة من Hyperinsight وCoinglass، تصدّر CHIP جميع الأصول من حيث عمليات التصفية خلال الساعة الماضية بحوالي 1.2 مليون دولار في مراكز تمت تصفيتها، بشكل أساسي مراكز شراء طويلة. على منصة Hyperliquid، تمت تصفية عنوان واحد مرتين خلال آخر
GateNews04-23 01:32
