About Teletype
Join
Alpha Mokakke
@alphamokakke
December 3

Отчёт по рискам экосистемных проектов x402

✍️ Перевод: https://x.com/GoPlusSecurity/status/1990360261325402494
🦧 Подпишись на канал: https://t.me/cryptomokakke
📚 Больше статей: https://t.me/smart_sorting

#x402 — это открытый платёжный протокол, возрождающий статус-код HTTP 402 «Payment Required».
При поддержке Coinbase, Google и других игроков x402 стремительно эволюционировал из чисто технического протокола в полноценный слой приложений. В последние недели проекты из сектора x402 неоднократно обновляли исторические максимумы по капитализации и объёмам торгов.

Официальный сайт x402: https://www.x402.org/
x402scan: https://www.x402scan.com/

Риски безопасности и заметные инциденты

Экосистема x402 стремительно растёт и постоянно порождает новые проекты. Однако большинство приложений всё ещё находятся на ранней стадии. Сообщество сейчас в погоне за мемкоинами, использующие механики x402, однако такие эти обычно несут повышенные риски. Некоторые уже скаманулись и рагпульнулись, поэтому пользователям требуется повышенная осторожность.

Основные категории рисков:

1. Чрезмерные привилегии (Excessive Authorization)

Уязвимость появляется, когда владелец, администратор или другие привилегированные роли имеют чрезмерные полномочия — например, способны переводить или изымать токены других пользователей или активы самого контракта. Это может привести к присвоению средств или мгновенному рагпулу.

2. Повторное использование подписи (Signature Replay)

Такая уязвимость возникает, когда контракт использует криптографические подписи (через ecrecover, ECDSA.recover и т.п.) без защиты от повторного воспроизведения — без nonce, таймштампа истечения или chainId. В результате злоумышленник может повторно использовать подпись в другом контексте (другой контракт, другая сеть, другое время) и выполнить неавторизованные операции.

3. Honeypot-контракты

Honeypot выглядит как выгодная или эксплуатируемая возможность, но содержит скрытую логику или привилегированные пути, позволяющие создателю:

• Запретить вывод средств,
• Обойти проверки прав,
• Перенаправить активы пользователей,
• Активировать скрытые ловушки по времени или логике.

Итог — пользователь попадает в ловушку и теряет средства.

4. Неограниченная эмиссия (Unlimited Minting)

Уязвимость возникает, когда токен имеет функции mint(), которые:

• Неправильно ограничены по ролям,
• Разрешают неконтролируемый выпуск,
• Содержат ошибки логики,
• Допускают mint через реентранси или обход проверок.

Это ведёт к инфляции, обесценению токена и потерям держателей.

Заметные инциденты

• 28 октября протокол кроссчейн-мостов @402bridge столкнулся с уязвимостью чрезмерных привилегий, из-за чего USDC был выведен с более чем 200 пользовательских адресов.

• 12 ноября проект Hello402 столкнулся с проблемами неограниченного mint’инга, рисками централизации и низкой ликвидностью, что привело к падению цены токена.

AI-аудит GoPlus: сканирование безопасности экосистемы x402

Команда GoPlus Security Research использовала собственный движок AI Auditing, основанный на LLM и экспертизе в блокчейн-безопасности, чтобы провести расширенный анализ более чем 30 проектов x402 — как из разделов Binance Wallet и OKX Wallet, так и по сигналам сообщества.

Ниже — результаты этого сканирования.

Объяснения рисков:

  • x420 (0x68e2): функция crosschainMint позволяет выпускать токены без каких-либо ограничений.
  • U402 (0xd2b3): функция mintByBond даёт роли bond возможность выпускать токены без ограничений.
  • MRDN (0xe57e): функция withdrawToken позволяет владельцу выводить любое количество любых токенов из контракта.
  • PENG (0x4444ee, 0x444450, 0x444428): функция manualSwap позволяет владельцу изымать ETH из контракта, а transferFrom обходит проверки allowance для специальных адресов.
  • x402Token (0x40ff): функция transferFrom обходит проверки allowance для специальных адресов.
  • x402b (0xd8af5f): функция manualSwap позволяет владельцу изымать ETH из контракта, а transferFrom обходит allowance-проверки для специальных аккаунтов.
  • x402MO (0x3c47df): функция manualSwap позволяет владельцу выводить ETH из контракта, а transferFrom обходит проверки allowance для специальных адресов.
  • H402 (Old) (0x8bc76a): функция withdrawDevToken позволяет владельцу напрямую выпускать токены, а комбинация addTokenCredits + redeemTokenCredits открывает возможность неограниченного mint’инга.
  • FLOCK (0x5ab3): функция transferERC20 позволяет владельцу выводить любое количество любых токенов. (Партнёр — предупреждение о риске снято после коммуникации и разъяснений: https://x.com/cosmeticfish/status/1990640777979109838?t=gLhc78SUybX357Snc6weag&s=19)

✍️ Перевод: https://x.com/GoPlusSecurity/status/1990360261325402494
🦧 Подпишись на канал: https://t.me/cryptomokakke
📚 Больше статей: https://t.me/smart_sorting

Alpha Mokakke
December 3, 09:33
0 views
0 reactions
0 replies
0 reposts