Hệ sinh thái x402 đã trở thành một trong những xu hướng mới nóng nhất trong lĩnh vực crypto, nhưng các chuyên gia bảo mật đang gióng lên hồi chuông cảnh báo. GoPlus Security, một nền tảng phân tích rủi ro blockchain hàng đầu, đã phát hành một báo cáo chi tiết cho thấy nhiều token dựa trên x402 ở giai đoạn đầu đang gặp phải các vấn đề bảo mật nghiêm trọng có thể dễ dàng dẫn đến tổn thất cho người dùng.
Hiện tại, các nhà giao dịch đang tự hỏi: liệu x402 là bước đột phá tiếp theo hay là sai lầm lớn tiếp theo?
x402 là một giao thức thanh toán mở lấy cảm hứng từ mã trạng thái Internet cũ HTTP 402, Payment Required. Ý tưởng đằng sau x402 rất đơn giản, tức là cho phép các ứng dụng, nền tảng và ví gửi và nhận các khoản thanh toán nhỏ trực tiếp mà không cần phụ thuộc vào các hệ thống thanh toán truyền thống.
Giao thức này đã thu hút được sự chú ý lớn vì được hậu thuẫn bởi các công ty lớn như Coinbase và Google, và hệ sinh thái của nó đã nhanh chóng mở rộng với các ứng dụng mới cùng hàng trăm token phong cách meme.
Tuy nhiên, sự mở rộng nhanh chóng này đã tạo ra một vấn đề mới, đó là các lỗ hổng bảo mật xuất hiện ở khắp mọi nơi.
Theo GoPlus, nhiều token x402 ở giai đoạn đầu cho thấy các mô hình đáng lo ngại tương tự như những trường hợp bị khai thác trước đây. Các quét bảo mật bằng AI phát hiện ra các vấn đề như đúc token không giới hạn, quyền truy cập quá mức của nhà phát triển, hành vi honeypot và thậm chí là các lỗ hổng lặp lại chữ ký, nghĩa là kẻ tấn công có thể sử dụng lại các phê duyệt cũ để rút tiền từ ví.
Tuy nhiên, những vấn đề này không chỉ là lý thuyết, mà đã xảy ra trên thực tế. Một giao thức x402 cross-layer đã bị khai thác vào ngày 28 tháng 10, khiến USDC bị rút khỏi hơn 200 ví chỉ trong một cuộc tấn công nhanh chóng.
Một dự án khác, Hello402, đã gặp phải vấn đề đúc token không giới hạn và thất bại về thanh khoản, khiến giá token của nó sụp đổ.
GoPlus đã sử dụng công cụ kiểm toán AI của mình để rà soát hơn 30 token x402 trên Binance Wallet, OKX Wallet và các danh sách cộng đồng. Và các token sau đây đã bị đánh dấu là rủi ro cao, mỗi token đều có các lỗ hổng nghiêm trọng khác nhau:
Các token này bao gồm,
- FLOCK – Chủ sở hữu có thể rút bất kỳ token ERC20 nào từ hợp đồng.
- x420 – Token có thể được đúc không giới hạn.
- U402 – Vai trò Bond có thể tự do đúc token.
- MRDN – Chủ sở hữu có thể rút bất kỳ token nào từ hợp đồng.
- PENG – Tài khoản đặc biệt có thể bỏ qua kiểm tra allowance; chủ sở hữu có thể rút ETH.
- x402Token – Cho phép bỏ qua phê duyệt allowance token.
- x402b – Chủ sở hữu có thể rút ETH; tồn tại lỗ hổng bỏ qua allowance.
- x402MO – Cùng vấn đề rút ETH và bỏ qua allowance.
- H402 (Old) – Các chức năng cho phép đúc token không giới hạn và tạo token do nhà phát triển kiểm soát.
Đối với người dùng nhỏ lẻ và thậm chí cả các nhà giao dịch giàu kinh nghiệm, những rủi ro này có thể không nhìn thấy được cho đến khi quá muộn.
Khi hệ sinh thái trưởng thành hơn, việc kiểm tra bảo mật đúng cách sẽ là điều thiết yếu để bảo vệ những người tham gia sớm và đảm bảo niềm tin lâu dài vào các dự án dựa trên x402.
