บริษัทความปลอดภัย Web3 GoPlus Security รายงานว่า โปรโตคอลข้ามชั้น x402bridge ที่เพิ่งเปิดตัวประสบปัญหาช่องโหว่ด้านความปลอดภัย ส่งผลให้ผู้ใช้กว่า 200 รายสูญเสีย USDC รวมเป็นเงินประมาณ 17,693 ดอลลาร์ สายการสืบสวนและบริษัทความปลอดภัย SlowMist ยืนยันว่าช่องโหว่นี้น่าจะเกิดจากการรั่วไหลของรหัสส่วนตัวของผู้ดูแลระบบ ทำให้ผู้โจมตีได้รับสิทธิ์การจัดการพิเศษของสัญญา GoPlus Security ขอแนะนำอย่างเร่งด่วนให้ผู้ใช้ที่มี กระเป๋า ในโปรโตคอลนี้ยกเลิกการอนุญาตที่กำลังดำเนินการโดยเร็วที่สุด และเตือนผู้ใช้ว่าอย่าให้สิทธิ์ไม่จำกัดแก่สัญญาเหตุการณ์นี้เปิดเผยถึงความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นจากการเก็บรหัสส่วนตัวของผู้ดูแลระบบใน x402 mechanism.
โปรโตคอลใหม่ x402bridge ถูกโจมตี: การอนุญาตเกินขอบเขตเปิดเผยรหัสส่วนตัวที่มีความเสี่ยงต่อความปลอดภัย
x402bridge โปรโตคอลในช่วงไม่กี่วันหลังจากที่อัปโหลดบนเชน ได้ประสบกับการโจมตีด้านความปลอดภัยครั้งหนึ่ง ทำให้เกิดการสูญเสียเงินทุนของผู้ใช้ กลไกของโปรโตคอลนี้กำหนดให้ผู้ใช้ต้องได้รับการอนุญาตจากสัญญา Owner ก่อนที่จะสร้าง USDC ในเหตุการณ์ครั้งนี้ การอนุญาตเกินความจำเป็นนี้ทำให้มีการโอนเหรียญเสถียรภาพที่เหลืออยู่ของผู้ใช้มากกว่า 200 คน
ผู้โจมตีใช้รหัสส่วนตัวที่รั่วไหลไปขโมย USDC ของผู้ใช้
ตามการสังเกตของ GoPlus Security กระบวนการโจมตีชี้ไปที่การใช้สิทธิ์ในทางที่ผิดอย่างชัดเจน:
- การถ่ายโอนสิทธิ์: ที่อยู่ผู้สร้าง (0xed1A เริ่มต้นด้วย ) ได้ถ่ายโอนความเป็นเจ้าของให้กับที่อยู่ 0x2b8F โดยมอบสิทธิ์การจัดการพิเศษที่ถือโดยทีม x402bridge รวมถึงความสามารถในการแก้ไขการตั้งค่าที่สำคัญและการโอนสินทรัพย์.
- การดำเนินการฟังก์ชันที่เป็นอันตราย: หลังจากได้รับการควบคุม เจ้าของที่อยู่ใหม่ได้ดำเนินการฟังก์ชันที่ชื่อว่า “transferUserToken” ทันที ซึ่งทำให้ที่อยู่นั้นสามารถถอนเหรียญ USD ที่เหลือจากกระเป๋าทั้งหมดที่ได้รับการอนุญาตก่อนหน้านี้ให้กับสัญญา.
- การสูญเสียและการโอนเงิน: ที่อยู่ 0x2b8F ขโมย USDC มูลค่าประมาณ 17,693 USD จากผู้ใช้ หลังจากนั้นจึงแลกเปลี่ยนเงินที่ได้เป็น Ethereum และโอนผ่านการทำธุรกรรมข้ามเครือข่ายหลายครั้งไปยังเครือข่าย Arbitrum.
รากฐานของช่องโหว่: ความเสี่ยงในการเก็บรหัสส่วนตัวในกลไก x402
ทีม x402bridge ได้ตอบสนองต่อเหตุการณ์ช่องโหว่นี้ โดยยืนยันว่าการโจมตีเกิดจากการรั่วไหลของรหัสส่วนตัว ทำให้ทีมงานหลายสิบคนทดสอบและกระเป๋าหลักถูกขโมย โครงการนี้ได้ระงับกิจกรรมทั้งหมดและปิดเว็บไซต์ และได้แจ้งหน่วยงานบังคับใช้กฎหมายแล้ว.
- ความเสี่ยงของกระบวนการอนุญาต: โปรโตคอลได้อธิบายกลไก x402 ของตนก่อนหน้านี้: ผู้ใช้เซ็นชื่อหรือตกลงธุรกรรมผ่านทางหน้าเว็บ ข้อมูลการอนุญาตจะถูกส่งไปยังเซิร์ฟเวอร์ด้านหลัง เซิร์ฟเวอร์จะถอนเงินและสร้างโทเค็นต่อไป.
- รหัสส่วนตัวที่เปิดเผยความเสี่ยง: ทีมงานยอมรับว่า: “เมื่อเราขึ้นระบบที่ x402scan.com เราจำเป็นต้องจัดเก็บรหัสส่วนตัวบนเซิร์ฟเวอร์เพื่อเรียกใช้วิธีการของสัญญา.” ขั้นตอนนี้อาจทำให้รหัสส่วนตัวของผู้ดูแลระบบถูกเปิดเผยในระหว่างการเชื่อมต่อกับอินเทอร์เน็ต ส่งผลให้เกิดการรั่วไหลของสิทธิ์ หากรหัสส่วนตัวถูกขโมย แฮ็กเกอร์สามารถเข้าควบคุมสิทธิ์ผู้ดูแลทั้งหมดและแจกจ่ายเงินทุนของผู้ใช้ใหม่ได้.
ในไม่กี่วันก่อนที่การโจมตีนี้จะเกิดขึ้น ปริมาณการใช้ x402 มีการเพิ่มขึ้นอย่างมาก เมื่อวันที่ 27 ตุลาคม มูลค่าตลาดของโทเค็น x402 ขึ้นทะลุ 800 ล้านดอลลาร์เป็นครั้งแรก และปริมาณการซื้อขายของโปรโตคอล x402 บน CEX หลักในหนึ่งสัปดาห์มีจำนวนถึง 500,000 รายการ เพิ่มขึ้น 10,780% เมื่อเปรียบเทียบกับปีก่อนหน้า.
คำแนะนำด้านความปลอดภัย: GoPlus ขอให้ผู้ใช้เพิกถอนการอนุญาตทันที
เนื่องจากความรุนแรงของการรั่วไหลครั้งนี้ GoPlus Security จึงขอแนะนำให้ผู้ใช้ที่มี กระเป๋า บน โปรโตคอล นี้ยกเลิกการอนุญาตที่กำลังดำเนินการอยู่ทันที บริษัทความปลอดภัยยังเตือนผู้ใช้ทุกคนว่า:
- ตรวจสอบที่อยู่: ก่อนอนุมัติการโอนใด ๆ ให้ตรวจสอบว่าที่อยู่ที่ได้รับอนุญาตเป็นที่อยู่ทางการของโครงการหรือไม่.
- จำกัดจำนวนเงินที่ได้รับอนุญาต: อนุญาตเฉพาะจำนวนเงินที่จำเป็น อย่าอนุญาตให้สัญญาเข้าถึงจำนวนเงินไม่จำกัด.
- ตรวจสอบเป็นประจำ: ตรวจสอบเป็นประจำและเพิกถอนสิทธิ์ที่ไม่จำเป็นออกไป.
สรุป
เหตุการณ์การถูกโจมตีด้วยการรั่วไหลของรหัสส่วนตัวของ x402bridge ได้ส่งเสียงเตือนอีกครั้งเกี่ยวกับความเสี่ยงที่เกิดจากองค์ประกอบที่รวมศูนย์ (เช่น เซิร์ฟเวอร์ที่เก็บรหัสส่วนตัว) ในพื้นที่ Web3 แม้ว่าพโรโตคอล x402 จะมุ่งหวังที่จะใช้รหัสสถานะ HTTP 402 Payment Required เพื่อดำเนินการชำระเงินที่ทันทีและโปรแกรมได้ แต่ช่องโหว่ด้านความปลอดภัยในกลไกการดำเนินการของมันต้องได้รับการแก้ไขอย่างเร่งด่วน สำหรับผู้ใช้ การโจมตีครั้งนี้เป็นบทเรียนที่มีค่าเตือนเราให้ต้องระมัดระวังอยู่เสมอเมื่อมีปฏิสัมพันธ์กับโปรโตคอลบล็อกเชนใด ๆ และจัดการการอนุญาตกระเป๋าอย่างระมัดระวัง.
btc.bar.articles
Circle ได้ลงนามบันทึกความเข้าใจ (MOU) กับบริษัทแม่ CEX ของเกาหลีบางแห่งอย่าง Dunamu เพื่อร่วมมือกันในด้านต่าง ๆ เช่น สเตเบิลคอยน์
Circle ได้ลงนามในบันทึกความเข้าใจกับบริษัทผู้ให้บริการแพลตฟอร์ม CEX ในเกาหลีอย่าง Dunamu โดยทั้งสองฝ่ายจะร่วมมือกันเพื่อขับเคลื่อนภาคส่วนสเตเบิลคอยน์และสินทรัพย์ดิจิทัล ร่วมกันยกระดับขีดความสามารถในการเข้าถึงข้อมูลของผู้เข้าร่วมตลาด และส่งเสริมความเชื่อมั่นต่อระบบนิเวศสินทรัพย์ดิจิทัลของเกาหลี รวมถึงการพัฒนาที่ดีและมีสุขภาพ
GateNews1 ชั่วโมง ที่แล้ว
การวิเคราะห์ข้อกำหนดกฎระเบียบสเตเบิลคอยน์ของญี่ปุ่นแบบครบถ้วน: ตั้งแต่การคำนวณการจัดสรรเงินทุนไปจนถึงการเปิดตัว JPYC—ทำความเข้าใจเส้นทางการออกอย่างถูกต้องตามกฎหมาย 3 แนวทางในครั้งเดียว
ญี่ปุ่นเป็นหนึ่งในบรรดามหาเศรษฐีหลักของโลกที่วางกรอบกฎหมายที่ครบถ้วนสำหรับสเตเบิลคอยน์ได้เร็วที่สุด เมื่อมีการแก้ไข《法令資金決済法》(ปรับปรุงกฎหมายการชำระเงินของกองทุน)และมีผลบังคับใช้จริงในปี 2023 การออกสเตเบิลคอยน์เยนก็ได้ย้ายจากพื้นที่สีเทาทางกฎหมายไปสู่ข้อกำหนดที่ชัดเจน และในปี 2025 ก็ได้มีการเปิดตัวสเตเบิลคอยน์เยนที่สอดคล้องตามกฎระเบียบฉบับแรกอย่างเป็นทางการ นั่นคือ JPYC บทความนี้ได้รวบรวมพัฒนาการของกฎหมายสเตเบิลคอยน์ของญี่ปุ่นอย่างครบถ้วน เส้นทางการออกที่สอดคล้องตามกฎระเบียบ 3 แนวทาง และกรณีหลักในตลาดปัจจุบัน เพื่อให้สถาบันการเงินของไต้หวันและอุตสาหกรรมคริปโตสามารถนำไปอ้างอิงได้
พื้นฐานด้านกฎหมายสเตเบิลคอยน์ของญี่ปุ่น: จากการล่มสลายของ UST สู่รูปทรงของกฎระเบียบ
ในเดือนพฤษภาคม 2022 อัลกอริทึมสเตเบิลคอยน์ TerraUSD(UST)ล่มสลาย ทำให้ทั่วโลกให้ความสนใจอย่างสูงต่อการกำกับดูแลสเตเบิลคอยน์ ญี่ปุ่นจึงเร่งผลักดันการออกกฎหมายทันที และในเดือนมิถุนายนของปีเดียวกัน รัฐสภาญี่ปุ่นได้ผ่านร่างกฎหมายสเตเบิลคอยน์อย่างเป็นทางการ โดยกำหนดนิยามสเตเบิลคอยน์ไว้อย่างชัดเจนว่าจะต้องผูกกับสกุลเงินตราตามกฎหมาย และเป็นที่กำหนดว่าไม่สามารถ
ChainNewsAbmedia15 ชั่วโมง ที่แล้ว
ClearBank ได้รับการอนุมัติ MiCA ให้เป็น CASP วางแผนเปิดตัวบริการสเตเบิลคอยน์ EURC และ USDC
ClearBank เมื่อเร็ว ๆ นี้ได้รับการอนุมัติจากหน่วยงานกำกับดูแลตลาดการเงินของเนเธอร์แลนด์ ให้เป็นผู้ให้บริการสินทรัพย์ดิจิทัลสำหรับคริปโต โดยจะเปิดตัวบริการสเตเบิลคอยน์ EURC และ USDC มีเป้าหมายเพื่อยกระดับประสิทธิภาพการชำระเงินข้ามพรมแดน และได้ร่วมมือกับ CEX บางแห่งอย่างลึกซึ้ง เพื่อให้บริการบัญชีออมทรัพย์ที่ครอบคลุมแผนชดเชยบริการทางการเงิน
GateNews21 ชั่วโมง ที่แล้ว
Circle เผยแพร่แผนที่ถนนสำหรับโครงสร้างพื้นฐานข้ามเชน โดย CCTP มียอดโอนสะสมมากกว่า 1100 ล้านดอลลาร์สหรัฐ
Circle ได้เผยแพร่แผนที่ถนนสำหรับโครงสร้างพื้นฐานการทำงานร่วมกันข้ามเชน (cross-chain interoperability) โดย CCTP ซึ่งเปิดให้บริการตั้งแต่เดือนเมษายน 2023 ได้ดำเนินการโอน USDC มูลค่ามากกว่า 110 พันล้านดอลลาร์สหรัฐแล้ว และรองรับบล็อกเชน 20 เครือข่าย ในอนาคตมีแผนที่จะขยายไปยังสินทรัพย์อื่น ๆ และเปิดตัวผลิตภัณฑ์นวัตกรรมหลายรายการเพื่อทำให้เวิร์กโฟลว์ข้ามเชนง่ายขึ้น
GateNews04-11 00:03
Compass Point ปรับลดการจัดอันดับ Circle เป็น “ขายออก” โดยราคาเป้าหมายลดลงเหลือ 77 ดอลลาร์
นักวิเคราะห์ของ Compass Point ปรับลดเรตติ้งของ Circle จาก “Neutral” เป็น “Sell” โดยกำหนดราคาเป้าหมายไว้ที่ 77 ดอลลาร์ สาเหตุคือการเติบโตของ USDC ส่วนใหญ่มาจากแพลตฟอร์มที่มีกำไรต่ำ ซึ่งส่งผลกระทบต่อรายได้ของบริษัท คาดว่าในไตรมาสแรกผลประกอบการจะไม่เป็นไปตามที่คาดไว้ และ EBITDA จะลดลง 19% เมื่อเทียบกับไตรมาสก่อน แม้จะเป็นเช่นนั้น หากตลาดคริปโตกู้ตัวขึ้น มุมมองของ Circle ก็ยังมีโอกาสปรับดีขึ้น
GateNews04-10 16:06
