Екосистема x402 стала однією з найгарячіших нових тенденцій у криптовалюті, але експерти з безпеки б'ють на сполох. GoPlus Security, провідна платформа для аналізу ризиків блокчейну, опублікувала детальний звіт, який показує, що багато ранніх токенів на базі x402 мають серйозні проблеми з безпекою, які можуть легко призвести до втрат користувачів.
Тепер трейдери задаються питанням: чи стане x402 наступним проривом чи черговою великою помилкою?
x402 — це відкритий платіжний протокол, натхненний старим інтернет-кодом статусу HTTP 402, Payment Required. Ідея x402 проста: дозволити додаткам, платформам і гаманцям надсилати та отримувати невеликі платежі безпосередньо, не покладаючись на традиційні платіжні системи.
Протокол привернув величезну увагу, оскільки його підтримують такі великі компанії, як Coinbase і Google, а його екосистема швидко розширилася новими додатками та сотнями токенів у стилі мемів.
Однак це швидке розширення створило нову проблему — прогалини в безпеці повсюди.
За даними GoPlus, багато ранніх токенів x402 демонструють ті ж тривожні патерни, які спостерігалися у минулих випадках експлойтів. Перевірки безпеки на основі AI виявляють такі проблеми, як необмежене карбування, надмірні дозволи розробників, поведінка honeypot, а також вади повторного використання підписів, що дозволяє зловмисникам повторно використовувати старі підтвердження для зняття коштів із гаманців.
Однак ці проблеми не є теоретичними — це реальні інциденти, які вже відбулися. Крос-платформний протокол x402 був експлуатований 28 жовтня, внаслідок чого з понад 200 гаманців було виведено USDC в одній швидкій атаці.
Ще один проєкт, Hello402, постраждав від необмеженого карбування та збоїв ліквідності, що призвело до обвалу ціни його токена.
GoPlus використала свій AI-двигун аудиту для перевірки понад 30 токенів x402 у Binance Wallet, OKX Wallet та спільнотних списках. Наступні токени були позначені як високоризикові, кожен через різні критичні вразливості:
Серед них:
- FLOCK – Власник може вилучити будь-які ERC20 токени з контракту.
- x420 – Токени можна карбувати без обмежень.
- U402 – Роль Bond може вільно карбувати токени.
- MRDN – Власник може знімати будь-які токени з контракту.
- PENG – Спеціальні акаунти можуть обходити перевірки дозволів; власник може знімати ETH.
- x402Token – Дозволяє обходити підтвердження дозволу на токени.
- x402b – Власник може вилучати ETH; існує можливість обходу дозволів.
- x402MO – Ті ж проблеми з виведенням ETH та обходом дозволів.
- H402 (Old) – Функції дозволяють необмежене карбування та створення токенів під контролем розробника.
Для роздрібних користувачів і навіть досвідчених трейдерів ці ризики можуть бути непомітними, доки не стане надто пізно.
У міру розвитку екосистеми належні перевірки безпеки будуть необхідними для захисту ранніх користувачів і забезпечення довгострокової довіри до проєктів на базі x402.
