Revisión del ataque a 402Bridge: otros casos de robos causados por filtración de claves privadas

Deng Tong, Jinse Finance

El 28 de octubre de 2025, la comunidad china de GoPlus emitió una alerta de seguridad: el protocolo cross-chain x402 @402bridge fue presuntamente hackeado, resultando en la pérdida de activos USDC de más de 200 usuarios.

Este artículo repasa el incidente de robo del protocolo cross-chain 402Bridge, las respuestas oficiales y de múltiples partes, analiza las causas del robo y otros casos en los que la filtración de claves privadas llevó a ataques de hackers.

1. Reconstrucción del incidente y reacciones oficiales y de terceros de 402Bridge

En la madrugada, la cuenta oficial de X de 402Bridge publicó: Según los comentarios de la comunidad, ocurrió un robo de tokens. Nuestro equipo técnico está investigando todo el proceso. Se recomienda a todos los usuarios revocar inmediatamente todas las autorizaciones existentes y transferir sus activos de las wallets lo antes posible.

Posteriormente, la cuenta oficial continuó: El mecanismo x402 requiere que los usuarios firmen o aprueben transacciones a través de la interfaz web, que luego se envían al servidor backend. El servidor backend extrae los fondos y ejecuta el mint, devolviendo finalmente el resultado al usuario. Al unirnos, necesitamos almacenar la clave privada en el servidor para poder llamar a los métodos del contrato. Este paso puede exponer los permisos de administrador, ya que la clave privada del administrador está conectada a Internet en esta etapa, lo que puede llevar a la filtración de permisos. Si un hacker obtiene la clave privada, puede tomar el control de estos permisos y redistribuir los fondos de los usuarios para ejecutar el ataque. Todavía estamos investigando los detalles específicos del ataque.

Hace dos horas, la cuenta oficial indicó: Debido a esta filtración de clave privada, más de diez wallets de prueba y la wallet principal del equipo también fueron comprometidas (como se muestra en la imagen a continuación). Hemos reportado el incidente a las autoridades y mantendremos a la comunidad informada sobre cualquier novedad.

La comunidad china de GoPlus reconstruyó el incidente del robo:

El creador del contrato 0xed1AFc4DCfb39b9ab9d67f3f7f7d02803cEA9FC5 transfirió el Owner a 0x2b8F95560b5f1d1a439dd4d150b28FAE2B6B361F, luego el nuevo Owner utilizó el método transferUserToken del contrato para transferir todo el USDC restante de las wallets de los usuarios que habían autorizado.

Antes de hacer mint, es necesario autorizar USDC al contrato @402bridge, lo que llevó a que más de doscientos usuarios perdieran su USDC restante debido a una autorización excesiva. 0x2b8F95560b5f1d1a439dd4d150b28FAE2B6B361F transfirió en total 17,693 USDC de los usuarios, luego cambió el USDC por ETH y, tras varias transacciones cross-chain, lo transfirió a Arbitrum.

Recomendaciones de seguridad de GoPlus:

1. Usuarios que hayan participado en este proyecto, cancelen lo antes posible la autorización relacionada (0xed1AFc4DCfb39b9ab9d67f3f7f7d02803cEA9FC5);

2. Antes de autorizar, verifiquen si la dirección de autorización corresponde a la dirección oficial del proyecto con el que interactúan; 

3. Autoricen solo la cantidad necesaria, nunca autoricen de forma ilimitada;

4. Revisen periódicamente las autorizaciones y cancelen las que no sean necesarias.

El usuario de X @EamonSol señaló: Actualmente, muchos x402 en realidad están desplegando un servicio que reenvía las interacciones on-chain al servidor del proyecto, y luego el proyecto interactúa con la blockchain para emitir los tokens. En este proceso, es necesario almacenar la clave privada del contrato on-chain en el servidor; si el servidor del proyecto es hackeado, todas las direcciones relacionadas con el contrato quedan expuestas al riesgo.

El usuario de X @fenzlabs indicó: Este caso resalta el peligro de las aprobaciones ilimitadas de tokens. Las wallets y los agentes de IA necesitan restricciones más estrictas y una mejor monitorización para evitar estos robos rápidos. ¡Nunca confíes ciegamente en un nuevo contrato: revisa cuidadosamente antes de firmar!

2. Causas del robo

Según el análisis de Cosine de SlowMist, el ataque al proyecto de bridge cross-chain 402Bridge se debió a la filtración de la clave privada, sin descartar la posibilidad de participación interna. El dominio 402bridge.fun solo estuvo registrado dos días antes de dejar de funcionar, y los fondos robados aún no han mostrado movimientos adicionales. Este es el primer incidente de seguridad público relacionado con los servicios del protocolo 402. Cosine de SlowMist afirma que este incidente no es un caso típico de mala conducta colectiva por parte del equipo del proyecto.

 "No es mala conducta colectiva del equipo del proyecto" significa que el ataque probablemente se debió a una falla en el control interno de seguridad o a una infiltración precisa de hackers externos, en lugar de un fraude deliberado por parte del equipo.

3. Otros casos de ataques de hackers causados por filtración de claves privadas

1. Nomad 

En agosto de 2022, Nomad Bridge fue hackeado y casi la totalidad de sus 200 millones de dólares fueron robados. Tras el ataque, Moonbeam bloqueó cualquier transacción o interacción con contratos inteligentes. La causa principal fue un error en el mecanismo de verificación del contrato, lo que permitió la fácil falsificación de la clave privada o la lógica de firma de permisos.

2. Ankr 

En diciembre de 2022, la clave privada de un nodo de Ankr fue filtrada, permitiendo al atacante falsificar contratos y mintear ilimitadamente el token aBNBc, causando una pérdida de aproximadamente 5 millones de dólares. Medidas de Ankr: restaurar la seguridad y colaborar con DEX para detener el trading; implementar un plan de compensación integral para la comunidad; determinar que la causa fue un ex empleado. Ankr confirmó oficialmente que el motivo del ataque fue el robo de la clave de despliegue.

3. Platypus Finance

En febrero de 2023, un atacante explotó una vulnerabilidad en la clave privada de administrador para atacar el pool de stablecoins, robando aproximadamente 9 millones de dólares en USDC. El equipo recuperó parte de los fondos y declaró que "la clave privada de desarrollo fue posiblemente comprometida por una intrusión externa".

4. Multichain

En julio de 2023, un miembro clave del equipo de Multichain "desapareció", y se sospecha que la clave privada principal del proyecto estaba en manos de una sola persona. Posteriormente, se transfirieron aproximadamente 126 millones de dólares, convirtiéndose en uno de los mayores ataques de permisos en la historia de los bridges cross-chain.

5. Exactly Protocol

En abril de 2024, un atacante utilizó la clave privada de despliegue filtrada desde el servidor frontend para reemplazar el contrato y robar aproximadamente 7.3 millones de dólares. El incidente expuso la debilidad generalizada en la custodia de claves privadas y la seguridad de los procesos DevOps en la industria.

6.UXLINK 

En septiembre de 2025, el sistema de la empresa de seguridad Cyvers detectó una transacción sospechosa de 11.3 millones de dólares relacionada con UXLINK, que finalmente fue confirmada como robo. Cosine de SlowMist señaló que, con alta probabilidad, varias claves privadas de la multisig Safe de UXLINK fueron filtradas. El robo provocó una caída de más del 70% en el precio del token UXLINK.