GoPlus cảnh báo x402/@402bridge nghi bị mất, tránh cấp quyền quá mức
Mục lục
Toggle
Nghi vấn một vụ rút USDC trái phép liên quan giao thức cross-chain x402 (@402bridge): chủ hợp đồng ban đầu chuyển quyền sở hữu cho địa chỉ mới, sau đó địa chỉ này gọi hàm transferUserToken để chuyển toàn bộ USDC được ủy quyền từ ví người dùng.
Sự việc khiến hơn 200 người dùng bị chuyển mất số dư USDC còn lại, tổng khoảng 17.693 USDC, rồi được quy đổi sang ETH và chuyển sang mạng Arbitrum qua nhiều giao dịch chuỗi chéo. Người dùng được khuyến nghị hủy ủy quyền không cần thiết ngay lập tức.
- Nghi vấn chuyển quyền sở hữu hợp đồng và rút USDC từ ví được ủy quyền.
- Hơn 200 người dùng chịu ảnh hưởng; tổng khoảng 17.693 USDC bị chuyển đi.
- Khuyến nghị: kiểm tra và hủy ủy quyền, chỉ ủy quyền số lượng cần thiết.
Tóm tắt sự cố
Sự cố liên quan hợp đồng x402 (@402bridge): creator ban đầu chuyển quyền sở hữu sang địa chỉ 0x2b8F; địa chỉ mới gọi transferUserToken để rút USDC từ ví người dùng đã ủy quyền.
Kết quả là số USDC trong ví người dùng đã được chuyển tập trung; số tiền thu được từ địa chỉ 0x2b8F sau đó được quy đổi sang ETH và gửi qua nhiều giao dịch sang Arbitrum.
Cơ chế tấn công
Để mint, người dùng phải ủy quyền USDC cho hợp đồng @402bridge; kẻ tấn công lợi dụng quyền sở hữu hợp đồng và gọi hàm chuyển Token của người dùng đã ủy quyền.
Nếu người dùng ủy quyền quá mức (unlimited) hoặc không kiểm tra địa chỉ hợp đồng, kẻ xấu có thể rút toàn bộ số dư được ủy quyền mà không cần ký thêm giao dịch từ chủ ví.
Hậu quả và con số
Theo ghi nhận, hơn 200 người dùng bị chuyển mất USDC còn lại; tổng số tiền bị chuyển xấp xỉ 17.693 USDC, sau đó được đổi sang ETH và chuyển lên Arbitrum.
Việc phân chia, chuyển đổi và nhiều giao dịch chuỗi chéo cho thấy nỗ lực che dấu dòng tiền; người dùng nên coi đây là cảnh báo về rủi ro ủy quyền quá mức.
Khuyến nghị cho người dùng
Hủy ngay các ủy quyền không cần thiết, chỉ ủy quyền đúng số lượng cần thiết và kiểm tra kỹ địa chỉ hợp đồng trước khi ủy quyền.
Thường xuyên rà soát danh sách ủy quyền trong ví, hủy các ủy quyền vô dụng, và cân nhắc sử dụng intermediate allowance hạn mức nhỏ khi tương tác với dự án chưa rõ ràng.
Làm thế nào để hủy ủy quyền USDC?
Mở ví, vào phần quản lý Token/allowances, tìm hợp đồng @402bridge hoặc địa chỉ ủy quyền và chọn hủy (revoke) hoặc đặt allowance về 0; thao tác cần phí giao dịch.
Tôi có thể khôi phục USDC nếu bị rút?
Nên làm gì trước khi ủy quyền cho một dự án mới?
Kiểm tra địa chỉ hợp đồng chính thức, đọc tài liệu dự án, chỉ ủy quyền số lượng cần thiết và tránh ủy quyền unlimited; duy trì thói quen rà soát định kỳ các ủy quyền trong ví.
Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.
Bạn cũng có thể thích
Stable bị tố giao dịch nội gián khi Pre-Deposit chạm trần 825 triệu USD
IBM ra mắt nền tảng tài sản số hỗ trợ các tổ chức tài chính và doanh nghiệp được quản lý
Tóm lại IBM đã ra mắt Digital Asset Haven, một nền tảng hợp nhất cho phép các tổ chức tài chính, chính phủ và tập đoàn quản lý, điều hành và mở rộng quy mô tài sản kỹ thuật số một cách an toàn trên nhiều blockchain đồng thời đảm bảo tuân thủ quy định và bảo mật tiên tiến.
Thuế quan vừa làm sụp đổ thị trường: Chúng ta có đang tiến vào suy thoái không?
Tóm lại Vào ngày 10 tháng 10, thông báo áp thuế 100% đối với Trung Quốc của Tổng thống Trump đã gây ra một vụ sụp đổ thị trường lịch sử, xóa sổ 1.5 nghìn tỷ đô la giá trị trên toàn bộ cổ phiếu và tiền điện tử, làm dấy lên lo ngại về khả năng suy thoái kinh tế ở Hoa Kỳ.
Ubuntu Tribe: Mamadou Toure đang mã hóa vàng để xây dựng tự do tài chính như thế nào Web3 Kỷ nguyên
Tóm lại Mamadou Toure của Ubuntu Tribe đã nhấn mạnh cách mã hóa vàng có thể dân chủ hóa sự giàu có, kết nối TradFi và Web3và thúc đẩy đầu tư bền vững, có đạo đức.
Thịnh hành
ThêmGiá tiền điện tử
Thêm
