L’ecosistema x402 è diventato una delle nuove tendenze più calde nel settore crypto, ma gli esperti di sicurezza stanno lanciando l’allarme. GoPlus Security, una delle principali piattaforme di analisi dei rischi blockchain, ha pubblicato un rapporto dettagliato che mostra come molti token basati su x402 nelle fasi iniziali presentino gravi problemi di sicurezza che potrebbero facilmente portare a perdite per gli utenti.
Ora, i trader si chiedono: x402 sarà la prossima svolta o il prossimo grande errore?
x402 è un protocollo di pagamento aperto ispirato al vecchio codice di stato Internet HTTP 402, Payment Required. L’idea alla base di x402 è semplice: consentire ad app, piattaforme e wallet di inviare e ricevere piccoli pagamenti direttamente, senza dipendere dai sistemi di pagamento tradizionali.
Il protocollo ha attirato enorme attenzione perché è sostenuto da grandi aziende come Coinbase e Google, e il suo ecosistema si è rapidamente espanso con nuove app e centinaia di token in stile meme.
Tuttavia, questa rapida espansione ha creato un nuovo problema: lacune di sicurezza ovunque.
Secondo GoPlus, molti token x402 nelle fasi iniziali mostrano gli stessi schemi preoccupanti visti in casi di exploit passati. Le scansioni di sicurezza AI rivelano problemi come minting illimitato, permessi eccessivi per gli sviluppatori, comportamenti da honeypot e persino vulnerabilità di signature-replay, il che significa che gli attaccanti potrebbero riutilizzare vecchie approvazioni per svuotare i wallet.
Tuttavia, questi problemi non sono solo teorici: si sono già verificati incidenti reali. Un protocollo x402 cross-layer è stato sfruttato il 28 ottobre, svuotando USDC da oltre 200 wallet in un unico attacco rapido.
Un altro progetto, Hello402, ha subito problemi di minting illimitato e fallimenti di liquidità, causando il crollo del prezzo del suo token.
GoPlus ha utilizzato il suo motore di auditing AI per analizzare oltre 30 token x402 su Binance Wallet, OKX Wallet e liste della community. I seguenti token sono stati segnalati come ad alto rischio, ciascuno per diverse vulnerabilità critiche:
Questi includono:
- FLOCK – Il proprietario può estrarre qualsiasi token ERC20 dal contratto.
- x420 – I token possono essere mintati senza alcun limite.
- U402 – Il ruolo Bond può mintare token liberamente.
- MRDN – Il proprietario può prelevare qualsiasi token dal contratto.
- PENG – Account speciali possono bypassare i controlli di allowance; il proprietario può svuotare ETH.
- x402Token – Consente di bypassare l’approvazione dell’allowance dei token.
- x402b – Il proprietario può estrarre ETH; esiste un bypass dell’allowance.
- x402MO – Stessi problemi di svuotamento ETH e bypass dell’allowance.
- H402 (Old) – Le funzioni consentono minting illimitato e creazione di token controllata dagli sviluppatori.
Per gli utenti retail e anche per i trader esperti, questi rischi potrebbero non essere visibili fino a quando non è troppo tardi.
Man mano che l’ecosistema matura, controlli di sicurezza adeguati saranno essenziali per proteggere i primi adottanti e garantire la fiducia a lungo termine nei progetti basati su x402.
