27 октября неизвестный хакер атаковал кроссчейн-мост 402bridge и похитил токены на сумму 17 693 USDC. Из-за утечки приватного ключа оказались скомпрометированы более десятка тестовых и основных кошельков команды.
Due to this private key leak, more than a dozen of the team’s test and main wallets have also been compromised (ex. screenshot below).
— 402bridge (@402bridge) October 28, 2025
We have promptly reported the incident to law enforcement authorities and will keep the community informed with timely updates as the… pic.twitter.com/AZfgd1yWKG
По словам экспертов по безопасности GoPlus, причиной инцидента стала «чрезмерная авторизация» перед выпуском монет. Злоумышленник сменил владельца скомпрометированного смарт-контракта и с помощью метода transferUserToken перевел избыточные USDC на счета более 200 пользователей. После этого похитил стейблкоины, конвертировал их в 4,2 ETH и перевел в сеть Arbitrum.
1/ #x402 大坑❗️ 过度(无限)授权要你命……
— GoPlus中文社区 (@GoPlusZH) October 28, 2025
x402跨链协议 @402bridge 疑似被盗,合约 0xed1AFc4DCfb39b9ab9d67f3f7f7d02803cEA9FC5 的 Creator 把 Owner转给了0x2b8F95560b5f1d1a439dd4d150b28FAE2B6B361F,然后新 Owner调用合约中 transferUserToken 方法转移所有已授权用户钱包剩余的USDC。… pic.twitter.com/hegqhap3Od
Эксперты рекомендовали всем задействованным пользователям отменить авторизацию в смарт-контракте 0xed1AFc4DCfb39b9ab9d67f3f7f7d02803cEA9FC5.
Как пояснили в 402bridge, механизм решения x402 требует от пользователей подписывать или одобрять транзакции через веб-интерфейс, которые затем отправляются на внутренний сервер. После этого на нем происходит извлечение средств и выпуск монет.
The x402 mechanism requires users to sign or approve transactions via the web interface, which are then sent to a backend server. The backend server extracts the funds and performs the minting, finally returning a result to the user.
— 402bridge (@402bridge) October 27, 2025
When we onboard to https://t.co/RJ3Cz5txDh,…
«При подключении к сайту нам необходимо сохранить приватный ключ на сервере для вызова методов контракта. Этот шаг может раскрыть права администратора, поскольку на этом этапе его ключ подключен к интернету. Если утечка произойдет, хакер сможет завладеть этими правами и перенаправить средства пользователя для проведения атаки», — объяснила команда пострадавшего проекта.
Разработчики уведомили правоохранителей об инциденте и проводят внутреннее расследование.
По предположению экспертов SlowMist, за взломом мог стоять кто-то из инсайдеров.
Первая атака на экосистему x402
Атака стала первым публичным случаем хищения средств, связанным с сервисом протокола x402. Последний является инструментом для онлайн-платежей, предназначенным для транзакций со стейблкоинами. Он также позволяет ИИ-агентам совершать автономные сделки.
Coinbase представила проект в мае. Решение основано на протоколе HyperText Transfer Protocol (HTTP), который используется для обмена данными между веб-браузерами и серверами.
За месяц ончейн-активность в x402 выросла более чем в 10 раз.
Спор о безопасности L2-решений
За два дня до инцидента с 402bridge криптоисследователь Габриэль Шапиро и соучредитель Solana Анатолий Яковенко поспорили о безопасности решений второго уровня.
What supporters don’t understand
— toly ?? (@aeyakovenko) October 25, 2025
1) all existing L2s have a permissioned multisig that can override the bridge contract without notice
2) escape hatch isn’t a property of the L2s, it’s the property of the bridge.
3) There is no Eng blocker to build a bridge on solana for… https://t.co/fTyxYQrbx1
Первый заявил, что L2 не обязаны быть децентрализованными, так как их защищает сам блокчейн Ethereum: пользователи могут заставить включать транзакции в блоки, а риски централизованного управления компенсируются механизмами L1.
По словам Яковенко, уязвимость нынешних L2 заключается в зависимости от мультиподписей, которые могут изменять контракты мостов без уведомления пользователей и напрямую распоряжаться средствами. Он противопоставил этому валидаторов в Solana, не имеющих возможности вмешиваться в состояние сети.
Шапиро отметил, что современные мультиподписи, например в ZKsync, подкреплены юридическими и управленческими гарантиями, а не только кодом. Однако с точки зрения Яковенко правовые конструкции не устраняют технический риск централизованного контроля.
В финале треда соучредитель Solana заявил, что L2 не наследуют безопасность Ethereum, а повторяют уязвимости кроссчейн-мостов вроде Wormhole.
Шапиро же видит в L2 отдельный уровень компромиссов доверия, который, по его словам, станет надежнее с развитием ZK-доказательств.
Напомним, по мнению экспертов Global Ledger, главной проблемой криптоиндустрии стала скорость вывода средств злоумышленниками после взломов. Основным инструментом хакеров для отмывания денег стали кроссчейн-мосты.
Мосты пора сжечь?
