أصدرت GoPlus تحذيراً عاجلاً بشأن رموز x402 بعد تعرض مئات المستخدمين لهجمات استغلال

أصبح نظام x402 البيئي واحدًا من أكثر الاتجاهات الجديدة سخونة في عالم العملات الرقمية، لكن خبراء الأمن يطلقون جرس الإنذار. أصدرت GoPlus Security، وهي منصة رائدة لتحليل مخاطر البلوكشين، تقريرًا مفصلًا يُظهر أن العديد من الرموز المبنية على x402 في مراحلها المبكرة تحمل مشكلات أمنية خطيرة قد تؤدي بسهولة إلى خسائر للمستخدمين.

الآن، يتساءل المتداولون: هل x402 هو الاختراق القادم أم الخطأ الكبير التالي؟

x402 هو بروتوكول دفع مفتوح مستوحى من رمز حالة الإنترنت القديم HTTP 402، والذي يعني "الدفع مطلوب". الفكرة وراء x402 بسيطة، وهي السماح للتطبيقات والمنصات والمحافظ بإرسال واستقبال المدفوعات الصغيرة مباشرة، دون الاعتماد على أنظمة الدفع التقليدية.

حظي هذا البروتوكول باهتمام كبير لأنه مدعوم من شركات كبرى مثل Coinbase وGoogle، وقد توسع نظامه البيئي بسرعة مع تطبيقات جديدة ومئات الرموز ذات الطابع الساخر (meme-style tokens).

ومع ذلك، أدى هذا التوسع السريع إلى ظهور مشكلة جديدة، وهي وجود فجوات أمنية في كل مكان.

وفقًا لـ GoPlus، تُظهر العديد من رموز x402 المبكرة نفس الأنماط المقلقة التي شوهدت في حالات الاستغلال السابقة. تكشف عمليات الفحص الأمني بالذكاء الاصطناعي عن مشكلات مثل إمكانية السك غير المحدود، وصلاحيات المطورين المفرطة، وسلوكيات مصائد العسل (honeypot)، وحتى عيوب إعادة استخدام التوقيعات، مما يعني أن المهاجمين يمكنهم إعادة استخدام الموافقات القديمة لسحب الأموال من المحافظ.

ومع ذلك، فهذه المشكلات ليست نظرية فقط، بل هي حوادث حقيقية حدثت بالفعل. فقد تم استغلال بروتوكول x402 عبر الطبقات في 28 أكتوبر، مما أدى إلى سحب USDC من أكثر من 200 محفظة في هجوم واحد سريع. 

مشروع آخر، Hello402، عانى من إمكانية السك غير المحدود وفشل السيولة، مما تسبب في انهيار سعر رمزه.

استخدمت GoPlus محرك التدقيق بالذكاء الاصطناعي الخاص بها لمراجعة أكثر من 30 رمز x402 عبر Binance Wallet وOKX Wallet وقوائم المجتمع. وتم تصنيف الرموز التالية على أنها عالية الخطورة، كل منها بسبب ثغرات حرجة مختلفة:

وتشمل هذه،

• FLOCK – يمكن للمالك استخراج أي رموز ERC20 من العقد.
• x420 – يمكن سك الرموز دون أي حدود.
• U402 – يمكن لدور Bond سك الرموز بحرية.
• MRDN – يمكن للمالك سحب أي رموز من العقد.
• PENG – يمكن للحسابات الخاصة تجاوز فحوصات السماح؛ يمكن للمالك سحب ETH.
• x402Token – يسمح بتجاوز الموافقة على السماح للرموز.
• x402b – يمكن للمالك استخراج ETH؛ يوجد تجاوز للسماح.
• x402MO – نفس مشكلات سحب ETH وتجاوز السماح.
• H402 (قديم) – الوظائف تسمح بالسك غير المحدود وإنشاء الرموز تحت سيطرة المطور.

بالنسبة للمستخدمين الأفراد وحتى المتداولين ذوي الخبرة، قد لا تكون هذه المخاطر واضحة حتى فوات الأوان.

ومع نضوج النظام البيئي، ستكون عمليات الفحص الأمني المناسبة ضرورية لحماية المتبنين الأوائل وضمان الثقة طويلة الأمد في مشاريع x402.