Ekosystem x402 stał się jednym z najgorętszych nowych trendów w świecie kryptowalut, jednak eksperci ds. bezpieczeństwa biją na alarm. GoPlus Security, czołowa platforma analizy ryzyka blockchain, opublikowała szczegółowy raport, z którego wynika, że wiele wczesnych tokenów opartych na x402 posiada poważne luki w zabezpieczeniach, które mogą łatwo doprowadzić do strat użytkowników.
Teraz traderzy zastanawiają się: czy x402 to kolejny przełom, czy też kolejny wielki błąd?
x402 to otwarty protokół płatności inspirowany starym kodem statusu Internetu HTTP 402, Payment Required. Idea stojąca za x402 jest prosta, czyli umożliwienie aplikacjom, platformom i portfelom bezpośredniego wysyłania i odbierania drobnych płatności, bez konieczności korzystania z tradycyjnych systemów płatności.
Protokół zyskał ogromną uwagę, ponieważ jest wspierany przez takie firmy jak Coinbase i Google, a jego ekosystem szybko się rozrósł dzięki nowym aplikacjom i setkom tokenów w stylu meme.
Jednak to szybkie tempo rozwoju stworzyło nowy problem – luki w zabezpieczeniach pojawiają się wszędzie.
Zgodnie z informacjami GoPlus, wiele wczesnych tokenów x402 wykazuje te same niepokojące wzorce, które obserwowano w poprzednich przypadkach ataków. Skanowanie bezpieczeństwa oparte na AI ujawnia takie problemy jak nieograniczone bicie tokenów, nadmierne uprawnienia deweloperów, zachowania typu honeypot, a nawet błędy związane z powtarzaniem podpisów, co oznacza, że atakujący mogą ponownie wykorzystać stare zgody, aby opróżnić portfele.
Jednak te problemy nie są teoretyczne – to rzeczywiste incydenty, które już miały miejsce. Protokół x402 działający na różnych warstwach został wykorzystany 28 października, co doprowadziło do wyprowadzenia USDC z ponad 200 portfeli w jednym szybkim ataku.
Inny projekt, Hello402, ucierpiał z powodu nieograniczonego bicia tokenów i problemów z płynnością, co spowodowało gwałtowny spadek ceny jego tokena.
GoPlus wykorzystał swój silnik audytu AI do przeglądu ponad 30 tokenów x402 w Binance Wallet, OKX Wallet oraz na listach społecznościowych. Następujące tokeny zostały oznaczone jako wysokiego ryzyka, każdy z powodu różnych krytycznych luk w zabezpieczeniach:
Należą do nich:
- FLOCK – Właściciel może wyciągnąć dowolne tokeny ERC20 z kontraktu.
- x420 – Tokeny mogą być bite bez żadnych ograniczeń.
- U402 – Rola Bond może dowolnie bić tokeny.
- MRDN – Właściciel może wypłacić dowolne tokeny z kontraktu.
- PENG – Specjalne konta mogą omijać sprawdzanie uprawnień; właściciel może wyprowadzić ETH.
- x402Token – Umożliwia ominięcie zatwierdzenia uprawnień tokena.
- x402b – Właściciel może wyciągnąć ETH; istnieje możliwość ominięcia uprawnień.
- x402MO – Te same problemy z wyprowadzaniem ETH i omijaniem uprawnień.
- H402 (Old) – Funkcje pozwalają na nieograniczone bicie i tworzenie tokenów kontrolowane przez dewelopera.
Dla użytkowników detalicznych, a nawet doświadczonych traderów, te ryzyka mogą być niewidoczne, dopóki nie będzie za późno.
W miarę dojrzewania ekosystemu, odpowiednie kontrole bezpieczeństwa będą niezbędne, aby chronić wczesnych użytkowników i zapewnić długoterminowe zaufanie do projektów opartych na x402.
