x402bridge攻击事件分析：私钥泄露致超200用户受损，超额授权暴露隐患

Web3 安全公司 GoPlus Security 报告称，新推出的跨层协议 x402bridge 遭受安全漏洞，导致超过 200 名用户 损失了 USDC，总计约 17,693 美元。链上侦探和安全公司 SlowMist 均确认，该漏洞最可能由管理员私钥泄露所致，使攻击者获得了合约的特殊管理权限。GoPlus Security 紧急建议所有在该协议上拥有钱包的用户尽快取消正在进行的授权，并提醒用户永远不要向合约授予无限授权。此次事件暴露了 x402 机制中，服务器存储的私钥可能导致管理员权限泄露的潜在安全风险。

新协议 x402bridge 遭攻击：超额授权暴露私钥安全隐患

x402bridge 协议在上线链上几天后，就遭遇了一次安全攻击，导致用户资金损失。该协议的机制要求用户在铸造 USDC 前，必须先由 Owner 合约进行授权。在本次事件中，正是这种超额授权导致了超过 200 名用户剩余的稳定币被转移。

攻击者利用泄露私钥窃取用户 USDC

根据 GoPlus Security 的观察，攻击流程清晰地指向了 权限滥用：

• 权限转移： 创建者地址 (0xed1A 开头) 将所有权转移给了地址 0x2b8F，授予了后者由 x402bridge 团队持有的特殊 管理权限，包括修改关键设置和转移资产的能力。
• 执行恶意功能： 在获得控制权后，新所有者地址立即执行了一个名为 “transferUserToken” 的功能，使得该地址能够从所有此前授权给该合约的钱包中，提取剩余的 USD Coins。
• 资金损失与转移： 地址 0x2b8F 总共从用户处窃取了价值约 17,693 美元 的 USDC，随后将赃款兑换成以太坊，并通过多次跨链交易转移到 Arbitrum 网络。

漏洞根源：x402 机制中的私钥存储风险

x402bridge 团队已对此次漏洞事件进行了回应，确认攻击是由于 私钥泄露 导致的，使得十几个团队测试和主要钱包被盗用。该项目已暂停所有活动并关闭网站，并已向执法部门报告。

• 授权流程风险： 协议此前曾解释其 x402 机制 的工作原理：用户通过网页界面签名或批准交易，授权信息被发送到 后端服务器，服务器随后提取资金并铸造代币。
• 私钥暴露风险： 团队坦言：“当我们在 x402scan. com 上线时，我们需要在 服务器上存储私钥才能调用合约方法。”这一步骤可能导致 管理员私钥 在连接互联网的阶段暴露，从而引发权限泄露。一旦私钥被盗，黑客即可接管所有管理员权限并重新分配用户资金。

在本次攻击发生前几天，x402 交易的使用量曾出现激增，10 月 27 日，x402 代币的市值首次突破 8 亿美元，主流CEX 的 x402 协议在一周内的交易量达到 50 万笔，环比增长 10,780%。

安全建议：GoPlus 呼吁用户立即取消授权

鉴于此次泄露的严重性，GoPlus Security 紧急建议在该协议上拥有钱包的用户立即取消任何正在进行的授权。安全公司同时提醒所有用户：

1. 核对地址： 在批准任何转移之前，检查授权地址是否为项目的 官方地址。
2. 限制授权金额： 仅授权 必要的金额，切勿向合约授予 无限授权。
3. 定期检查： 定期检查并 撤销不必要的授权。

结语

x402bridge 遭受私钥泄露攻击的事件，再次敲响了 Web3 领域关于中心化组件（如服务器存储私钥）带来风险的警钟。尽管 x402 协议旨在利用 HTTP 402 Payment Required 状态码实现即时、可编程的 稳定币 支付，但其实现机制中的 安全漏洞 必须得到立即修复。对于用户而言，这次攻击是一次昂贵的教训，提醒我们在与任何区块链协议交互时，必须时刻保持 警惕，谨慎管理钱包授权。