x402エコシステムは、暗号資産業界で最も注目されている新たなトレンドの一つとなっていますが、セキュリティ専門家たちは警鐘を鳴らしています。GoPlus Securityというブロックチェーンリスク分析のリーディングプラットフォームが、初期のx402ベースのトークンの多くに深刻なセキュリティ問題が存在し、ユーザーの損失につながる可能性が高いことを示す詳細なレポートを公開しました。
現在、トレーダーたちは「x402は次のブレイクスルーなのか、それとも大きな失敗なのか?」と疑問を抱いています。
x402は、旧インターネットステータスコードHTTP 402(Payment Required)にインスパイアされたオープンな決済プロトコルです。x402のアイデアはシンプルで、アプリ、プラットフォーム、ウォレットが従来の決済システムに依存せずに、直接少額決済を送受信できるようにすることです。
このプロトコルは、CoinbaseやGoogleといった大手企業が支援していることから大きな注目を集めており、エコシステムは新しいアプリや数百のミーム系トークンによって急速に拡大しています。
しかし、この急速な拡大が新たな問題、すなわち至る所にセキュリティの隙間を生み出しています。
GoPlusによると、多くの初期x402トークンは、過去の悪用事例で見られたのと同じ懸念すべきパターンを示しています。AIによるセキュリティスキャンでは、無制限のミント、開発者権限の過剰、ハニーポット的な挙動、さらには署名リプレイの脆弱性などが明らかになっており、攻撃者が過去の承認を再利用してウォレットから資金を引き出す可能性があることを意味します。
しかし、これらの問題は理論上のものではなく、すでに実際に発生したインシデントです。クロスレイヤーのx402プロトコルは10月28日に悪用され、200以上のウォレットからUSDCが一度の攻撃で流出しました。
また、Hello402というプロジェクトも無制限のミントや流動性の問題により、トークン価格が暴落しました。
GoPlusは、AI監査エンジンを用いてBinance Wallet、OKX Wallet、コミュニティリスト上の30以上のx402トークンを調査しました。そして、以下のトークンがそれぞれ異なる重大な脆弱性により高リスクと判定されました:
これらには以下が含まれます。
- FLOCK – オーナーがコントラクトから任意のERC20トークンを抽出可能。
- x420 – トークンが無制限にミント可能。
- U402 – Bondロールが自由にトークンをミント可能。
- MRDN – オーナーがコントラクトから任意のトークンを引き出し可能。
- PENG – 特定アカウントが許可チェックを回避可能;オーナーがETHを引き出し可能。
- x402Token – トークン許可承認のバイパスが可能。
- x402b – オーナーがETHを抽出可能;許可バイパスが存在。
- x402MO – 同様にETH流出と許可バイパスの問題。
- H402(旧) – 無制限ミントや開発者によるトークン作成が可能な機能。
一般ユーザーや経験豊富なトレーダーであっても、これらのリスクは手遅れになるまで気付かないことがあります。
エコシステムが成熟するにつれ、初期ユーザーを保護し、x402ベースのプロジェクトへの長期的な信頼を確保するためには、適切なセキュリティチェックが不可欠となるでしょう。
