Perusahaan keamanan Web3 GoPlus Security melaporkan bahwa protokol lintas lapisan baru yang diluncurkan, x402bridge, mengalami kerentanan keamanan, yang mengakibatkan lebih dari 200 pengguna kehilangan USDC, dengan total sekitar 17.693 USD. Detektif on-chain dan perusahaan keamanan SlowMist telah mengkonfirmasi bahwa kerentanan tersebut kemungkinan disebabkan oleh kebocoran kunci pribadi administrator, yang memungkinkan penyerang mendapatkan hak manajemen khusus dari kontrak. GoPlus Security mendesak semua pengguna yang memiliki dompet di protokol tersebut untuk segera mencabut otorisasi yang sedang berlangsung, dan mengingatkan pengguna untuk tidak pernah memberikan otorisasi tak terbatas kepada kontrak. Insiden ini mengungkapkan risiko keamanan potensial di mekanisme x402, di mana kunci pribadi yang disimpan di server dapat menyebabkan kebocoran hak administrator.
Protokol x402bridge mengalami serangan keamanan beberapa hari setelah diluncurkan di on-chain, yang mengakibatkan kerugian dana pengguna. Mekanisme protokol ini mengharuskan pengguna untuk mendapatkan otorisasi dari kontrak Owner sebelum mencetak USDC. Dalam kejadian ini, justru otorisasi berlebih inilah yang menyebabkan lebih dari 200 pengguna kehilangan sisa stablecoin mereka.
Menurut pengamatan GoPlus Security, proses serangan jelas mengarah pada penyalahgunaan hak akses:
Tim x402bridge telah menanggapi insiden kerentanan ini, mengonfirmasi bahwa serangan disebabkan oleh kebocoran Kunci Pribadi, yang menyebabkan puluhan tim pengujian dan dompet utama dicuri. Proyek ini telah menghentikan semua aktivitas dan menutup situs web, serta telah melaporkan kepada pihak berwenang.
Beberapa hari sebelum serangan ini terjadi, penggunaan transaksi x402 mengalami lonjakan, pada 27 Oktober, kapitalisasi pasar token x402 pertama kali melampaui 800 juta dolar, dan volume transaksi protokol x402 di CEX utama mencapai 500.000 transaksi dalam satu minggu, meningkat 10.780% dibandingkan minggu sebelumnya.
Mengingat seriusnya kebocoran ini, GoPlus Security mendesak pengguna yang memiliki Dompet di protokol tersebut untuk segera membatalkan semua otorisasi yang sedang berlangsung. Perusahaan keamanan juga mengingatkan semua pengguna:
Kejadian kebocoran Kunci Pribadi pada x402bridge kembali membunyikan alarm tentang risiko komponen terpusat (seperti server yang menyimpan Kunci Pribadi) di bidang Web3. Meskipun protokol x402 bertujuan untuk memanfaatkan kode status HTTP 402 Payment Required untuk pembayaran stabilcoin yang instan dan dapat diprogram, kerentanan keamanan dalam mekanisme implementasinya harus segera diperbaiki. Bagi pengguna, serangan ini adalah pelajaran mahal yang mengingatkan kita untuk selalu waspada dan berhati-hati dalam mengelola otorisasi dompet saat berinteraksi dengan protokol blockchain mana pun.