27 октября неизвестный хакер атаковал кроссчейн-мост 402bridge и похитил токены на сумму 17 693 USDC. Из-за утечки приватного ключа оказались скомпрометированы более десятка тестовых и основных кошельков команды.
Due to this private key leak, more than a dozen of the team’s test and main wallets have also been compromised (ex. screenshot below).
We have promptly reported the incident to law enforcement authorities and will keep the community informed with timely updates as the… pic.twitter.com/AZfgd1yWKG
— 402bridge (@402bridge) October 28, 2025
По словам экспертов по безопасности GoPlus, причиной инцидента стала «чрезмерная авторизация» перед выпуском монет. Злоумышленник сменил владельца скомпрометированного смарт-контракта и с помощью метода transferUserToken перевел избыточные USDC на счета более 200 пользователей. После этого похитил стейблкоины , конвертировал их в 4,2 ETH и перевел в сеть Arbitrum.
1/ #x402 大坑❗️ 过度(无限)授权要你命……
x402跨链协议 @402bridge 疑似被盗,合约 0xed1AFc4DCfb39b9ab9d67f3f7f7d02803cEA9FC5 的 Creator 把 Owner转给了0x2b8F95560b5f1d1a439dd4d150b28FAE2B6B361F,然后新 Owner调用合约中 transferUserToken 方法转移所有已授权用户钱包剩余的USDC。… pic.twitter.com/hegqhap3Od
— GoPlus中文社区 (@GoPlusZH) October 28, 2025
Эксперты рекомендовали всем задействованным пользователям отменить авторизацию в смарт-контракте 0xed1AFc4DCfb39b9ab9d67f3f7f7d02803cEA9FC5.
Как пояснили в 402bridge, механизм решения x402 требует от пользователей подписывать или одобрять транзакции через веб-интерфейс, которые затем отправляются на внутренний сервер. После этого на нем происходит извлечение средств и выпуск монет.
The x402 mechanism requires users to sign or approve transactions via the web interface, which are then sent to a backend server. The backend server extracts the funds and performs the minting, finally returning a result to the user.
When we onboard to https://t.co/RJ3Cz5txDh,…
— 402bridge (@402bridge) October 27, 2025
«При подключении к сайту нам необходимо сохранить приватный ключ на сервере для вызова методов контракта. Этот шаг может раскрыть права администратора, поскольку на этом этапе его ключ подключен к интернету. Если утечка произойдет, хакер сможет завладеть этими правами и перенаправить средства пользователя для проведения атаки», — объяснила команда пострадавшего проекта.
Разработчики уведомили правоохранителей об инциденте и проводят внутреннее расследование.
По предположению экспертов SlowMist, за взломом мог стоять кто-то из инсайдеров.
Первая атака на экосистему x402
Атака стала первым публичным случаем хищения средств, связанным с сервисом протокола x402. Последний является инструментом для онлайн-платежей, предназначенным для транзакций со стейблкоинами. Он также позволяет ИИ-агентам совершать автономные сделки.
Coinbase представила проект в мае. Решение основано на протоколе HyperText Transfer Protocol (HTTP), который используется для обмена данными между веб-браузерами и серверами.
За месяц ончейн-активность в x402 выросла более чем в 10 раз .
Спор о безопасности L2-решений
За два дня до инцидента с 402bridge криптоисследователь Габриэль Шапиро и соучредитель Solana Анатолий Яковенко поспорили о безопасности решений второго уровня.
What supporters don’t understand
1) all existing L2s have a permissioned multisig that can override the bridge contract without notice
2) escape hatch isn’t a property of the L2s, it’s the property of the bridge.
3) There is no Eng blocker to build a bridge on solana for… https://t.co/fTyxYQrbx1
— toly 🇺🇸 (@aeyakovenko) October 25, 2025
Первый заявил, что L2 не обязаны быть децентрализованными, так как их защищает сам блокчейн Ethereum : пользователи могут заставить включать транзакции в блоки, а риски централизованного управления компенсируются механизмами L1.
По словам Яковенко, уязвимость нынешних L2 заключается в зависимости от мультиподписей , которые могут изменять контракты мостов без уведомления пользователей и напрямую распоряжаться средствами. Он противопоставил этому валидаторов в Solana, не имеющих возможности вмешиваться в состояние сети.
Шапиро отметил, что современные мультиподписи, например в ZKsync , подкреплены юридическими и управленческими гарантиями, а не только кодом. Однако с точки зрения Яковенко правовые конструкции не устраняют технический риск централизованного контроля.
В финале треда соучредитель Solana заявил, что L2 не наследуют безопасность Ethereum, а повторяют уязвимости кроссчейн-мостов вроде Wormhole .
Шапиро же видит в L2 отдельный уровень компромиссов доверия, который, по его словам, станет надежнее с развитием ZK-доказательств .
Напомним, по мнению экспертов Global Ledger, главной проблемой криптоиндустрии стала скорость вывода средств злоумышленниками после взломов. Основным инструментом хакеров для отмывания денег стали кроссчейн-мосты.
