O ecossistema x402 tornou-se uma das tendências mais quentes no universo cripto, mas especialistas em segurança estão soando o alarme. A GoPlus Security, uma das principais plataformas de análise de riscos em blockchain, divulgou um relatório detalhado mostrando que muitos dos primeiros tokens baseados em x402 apresentam sérios problemas de segurança que podem facilmente levar a perdas para os usuários.
Agora, os traders se perguntam: será que x402 é a próxima grande inovação ou o próximo grande erro?
x402 é um protocolo de pagamento aberto inspirado pelo antigo código de status da Internet HTTP 402, Payment Required. A ideia por trás do x402 é simples: permitir que aplicativos, plataformas e carteiras enviem e recebam pequenos pagamentos diretamente, sem depender de sistemas de pagamento tradicionais.
O protocolo ganhou enorme atenção porque conta com o apoio de grandes empresas como Coinbase e Google, e seu ecossistema rapidamente se expandiu com novos aplicativos e centenas de tokens no estilo meme.
No entanto, essa rápida expansão criou um novo problema: brechas de segurança por toda parte.
De acordo com a GoPlus, muitos dos primeiros tokens x402 apresentam os mesmos padrões preocupantes vistos em casos de exploração anteriores. Varreduras de segurança com IA revelam problemas como emissão ilimitada de tokens, permissões excessivas para desenvolvedores, comportamentos de honeypot e até falhas de repetição de assinatura, o que significa que invasores podem reutilizar aprovações antigas para esvaziar carteiras.
No entanto, esses problemas não são apenas teóricos, pois já ocorreram incidentes reais. Um protocolo x402 cross-layer foi explorado em 28 de outubro, drenando USDC de mais de 200 carteiras em um ataque rápido.
Outro projeto, Hello402, sofreu com emissão ilimitada de tokens e falhas de liquidez, causando o colapso do preço do seu token.
A GoPlus utilizou seu mecanismo de auditoria por IA para revisar mais de 30 tokens x402 em Binance Wallet, OKX Wallet e listas da comunidade. E os seguintes tokens foram sinalizados como de alto risco, cada um devido a diferentes vulnerabilidades críticas:
Incluem-se,
- FLOCK – O proprietário pode extrair quaisquer tokens ERC20 do contrato.
- x420 – Tokens podem ser emitidos sem qualquer limite.
- U402 – O papel de Bond pode emitir tokens livremente.
- MRDN – O proprietário pode sacar quaisquer tokens do contrato.
- PENG – Contas especiais podem ignorar verificações de permissão; o proprietário pode drenar ETH.
- x402Token – Permite ignorar a aprovação de permissão de tokens.
- x402b – O proprietário pode extrair ETH; existe bypass de permissão.
- x402MO – Mesmos problemas de drenagem de ETH e bypass de permissão.
- H402 (Old) – Funções permitem emissão ilimitada e criação de tokens controlada pelo desenvolvedor.
Para usuários de varejo e até mesmo traders experientes, esses riscos podem não ser visíveis até que seja tarde demais.
À medida que o ecossistema amadurece, verificações de segurança adequadas serão essenciais para proteger os primeiros usuários e garantir a confiança de longo prazo em projetos baseados em x402.
