GoPlus cảnh báo x402/@402bridge nghi bị mất, tránh cấp quyền quá mức

Bitget App

Giao dịch thông minh hơn

Bitget

Tin tức

Thị trường

GoPlus cảnh báo x402/@402bridge nghi bị mất, tránh cấp quyền quá mức

Tintucbitcoin2025/10/28 04:39

Theo:Tác giả

Mục lục

Toggle

Tóm tắt sự cố
Cơ chế tấn công
Hậu quả và con số
Khuyến nghị cho người dùng
- Làm thế nào để hủy ủy quyền USDC?
- Tôi có thể khôi phục USDC nếu bị rút?
- Nên làm gì trước khi ủy quyền cho một dự án mới?

Nghi vấn một vụ rút USDC trái phép liên quan giao thức cross-chain x402 (@402bridge): chủ hợp đồng ban đầu chuyển quyền sở hữu cho địa chỉ mới, sau đó địa chỉ này gọi hàm transferUserToken để chuyển toàn bộ USDC được ủy quyền từ ví người dùng.

Sự việc khiến hơn 200 người dùng bị chuyển mất số dư USDC còn lại, tổng khoảng 17.693 USDC, rồi được quy đổi sang ETH và chuyển sang mạng Arbitrum qua nhiều giao dịch chuỗi chéo. Người dùng được khuyến nghị hủy ủy quyền không cần thiết ngay lập tức.

NỘI DUNG CHÍNH

Nghi vấn chuyển quyền sở hữu hợp đồng và rút USDC từ ví được ủy quyền.
Hơn 200 người dùng chịu ảnh hưởng; tổng khoảng 17.693 USDC bị chuyển đi.
Khuyến nghị: kiểm tra và hủy ủy quyền, chỉ ủy quyền số lượng cần thiết.

Tóm tắt sự cố

Sự cố liên quan hợp đồng x402 (@402bridge): creator ban đầu chuyển quyền sở hữu sang địa chỉ 0x2b8F; địa chỉ mới gọi transferUserToken để rút USDC từ ví người dùng đã ủy quyền.

Xem thêm: Binance Alpha khởi động đợt hai airdrop BSquared (B2) từ 225 điểm

Kết quả là số USDC trong ví người dùng đã được chuyển tập trung; số tiền thu được từ địa chỉ 0x2b8F sau đó được quy đổi sang ETH và gửi qua nhiều giao dịch sang Arbitrum.

Cơ chế tấn công

Để mint, người dùng phải ủy quyền USDC cho hợp đồng @402bridge; kẻ tấn công lợi dụng quyền sở hữu hợp đồng và gọi hàm chuyển Token của người dùng đã ủy quyền.

Nếu người dùng ủy quyền quá mức (unlimited) hoặc không kiểm tra địa chỉ hợp đồng, kẻ xấu có thể rút toàn bộ số dư được ủy quyền mà không cần ký thêm giao dịch từ chủ ví.

Hậu quả và con số

Theo ghi nhận, hơn 200 người dùng bị chuyển mất USDC còn lại; tổng số tiền bị chuyển xấp xỉ 17.693 USDC, sau đó được đổi sang ETH và chuyển lên Arbitrum.

Việc phân chia, chuyển đổi và nhiều giao dịch chuỗi chéo cho thấy nỗ lực che dấu dòng tiền; người dùng nên coi đây là cảnh báo về rủi ro ủy quyền quá mức.

Khuyến nghị cho người dùng

Hủy ngay các ủy quyền không cần thiết, chỉ ủy quyền đúng số lượng cần thiết và kiểm tra kỹ địa chỉ hợp đồng trước khi ủy quyền.

Xem thêm: Cá voi bán 4,23 tỷUSD BTC đổi ETH nghi Garrett Jin cựu lãnh đạo sàn

Thường xuyên rà soát danh sách ủy quyền trong ví, hủy các ủy quyền vô dụng, và cân nhắc sử dụng intermediate allowance hạn mức nhỏ khi tương tác với dự án chưa rõ ràng.

Làm thế nào để hủy ủy quyền USDC?

Mở ví, vào phần quản lý Token/allowances, tìm hợp đồng @402bridge hoặc địa chỉ ủy quyền và chọn hủy (revoke) hoặc đặt allowance về 0; thao tác cần phí giao dịch.

Tôi có thể khôi phục USDC nếu bị rút?

Nên làm gì trước khi ủy quyền cho một dự án mới?

Kiểm tra địa chỉ hợp đồng chính thức, đọc tài liệu dự án, chỉ ủy quyền số lượng cần thiết và tránh ủy quyền unlimited; duy trì thói quen rà soát định kỳ các ủy quyền trong ví.

Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.

PoolX: Khóa để nhận token mới.

APR lên đến 12%. Luôn hoạt động, luôn nhận airdrop.

Khóa ngay!