资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
核心要点
GoPlus Security对x402生态系统中30多个项目进行扫描,发现大多数项目至少存在一个高风险问题。
最常见的漏洞包括过度授权(项目方可能转移资金)和无限铸币(破坏代币价值)。
本次审计源于10月28日402bridge遭遇的攻击事件,攻击者通过过度授权漏洞从200多个用户账户盗取USDC。
x402生态系统的安全隐患
一份最新安全报告对快速扩张的x402生态系统提出警示。该生态系统由多个加密货币项目组成,旨在复兴早期互联网中长期被忽视的HTTP 402"需要付费"状态码。
x402的理念看似简单:在互联网设计初期,HTTP 402本应用于提示用户访问资源前需支付费用。虽然该代码从未被广泛采用,但加密领域的开发者重新启用这一概念,试图在协议层面实现自动支付。
过去几个月,从基础代币到跨链支付工具,已有数十个项目采用402主题。随着主流科技公司和加密企业的关注,投机行为也随之激增。许多新项目是为蹭热度快速推出的模因型代币,往往缺乏基本安全检查。
审计发现
区块链安全公司GoPlus Security发布了对30多个x402相关项目的审查报告。该公司表示,扫描目的是梳理生态系统扩张过程中反复出现的风险类型。
GoPlus使用其内部AI辅助审计引擎,检查了币安钱包、OKX钱包x402专区及社区标记列表中的项目。结果显示,大多数被扫描项目至少存在一个高风险问题。
常见漏洞类型
过度授权:部分合约赋予所有者或管理员转移合约或用户代币的能力,意味着控制者可随时提取资金。
签名重放:某些项目使用数字签名授权操作,但未包含随机数或过期时间等保护机制,导致签名可被重复用于未授权操作。
蜜罐结构:部分合约隐藏仅限所有者的功能或特殊条件,在用户初次交互后阻止提现,使早期用户难以察觉风险。
无限铸币:部分代币合约缺乏对铸币功能的适当限制,允许任何人或特定账户无限增发代币,稀释现有代币价值并扰乱项目。
近期x402相关安全事件
10月28日:跨链协议402bridge因过度授权漏洞被攻击,攻击者从200多个用户账户转移USDC。
11月12日:项目Hello402存在无限铸币、中心化问题和流动性不足,导致代币价格暴跌。
高风险项目示例
审计报告列举了多个存在高风险行为的合约案例,主要体现为控制权集中或代币创建不受限:
FLOCK:transferERC20函数允许所有者提取合约中任意数量的任何代币。
x420:crosschainMint函数可无限制铸造代币。
U402:mintByBond函数允许通过债券无限铸币。
MRDN:withdrawToken函数允许所有者提取合约中任意代币。
PENG/x402Token/x402b/x402MO:存在允许所有者提取ETH或为特殊账户绕过授权检查的函数。
H402(旧版):withdrawDevToken函数允许所有者直接铸币,addTokenCredits+redeemTokenCredits组合实现无限铸币。
快速扩张背后的标准缺失
x402趋势迅速兴起,同时吸引了开发者、交易者和投机性代币创建者。与许多快速发展的加密叙事一样,项目上线速度已超过生态系统的安全实践水平。
持续监控新兴加密领域钱包级威胁和合约风险的GoPlus Security表示,将随着新项目出现继续分析x402相关代码。该公司声称"深度参与x402生态",欢迎寻求安全审查的项目团队咨询。
对于用户而言,这份报告提醒:即使是对接悠久互联网理念的新概念热潮,也未必伴随可靠的技术保障措施。
