Puntos clave de la noticia:
-
El ecosistema de tokens x402 avanza con una expansión acelerada que supera la capacidad de auditoría y muchas vulnerabilidades quedan expuestas.
-
Un informe de GoPlus identifica un conjunto de tokens con permisos excesivos, minting ilimitado, firmas vulnerables a replay y rutas que permiten drenar fondos.
-
Los exploits recientes y la lista de contratos críticos muestran que cada token x402 requiere una auditoría profunda para evitar riesgos que crecen más rápido que el propio mercado.
El ecosistema x402 crece con una velocidad que supera la capacidad de auditoría y deja un rastro de vulnerabilidades que ya provocaron pérdidas reales.
Este protocolo nació como una reinterpretación del código HTTP 402 Payment Required y propone un sistema de micropagos nativo para apps, wallets y plataformas. La idea atrajo a grandes compañías como Coinbase y Google y abrió la puerta a un flujo de desarrollos que mezclan herramientas de pago, aplicaciones experimentales y una oleada de tokens. Esa combinación creó un ecosistema muy activo, pero también frágil.
GoPlus Security publicó un informe que detalla las fallas graves en un conjunto amplio de tokens x402. El análisis utiliza un motor de auditoría basado en modelos de lenguaje y revisa permisos, rutas internas y funciones expuestas.
Patrones que se Repiten
GoPlus detectó patrones que se repiten: autorizaciones excesivas que permiten a un dueño extraer activos ajenos, funciones de minting sin límites, rutas especiales que saltan verificaciones de allowance, firmas vulnerables a replay y arquitecturas que habilitan comportamientos tipo honeypot. La mayoría de estos problemas no son hipotéticos porque la red ya sufrió ataques que siguieron estos vectores.
El 28 de octubre, un protocolo cross-chain de x402 sufrió un exploit basado en permisos mal configurados. El atacante drenó USDC desde más de doscientas wallets en minutos. Hello402 mostró otra consecuencia típica de los diseños laxos: un token con minting ilimitado, riesgos de centralización y liquidez insuficiente, lo que produjo una caída abrupta de su precio. Ambos casos confirman que la superficie de ataque crece al mismo ritmo que el entusiasmo por la nueva categoría.
Proyectos x402 Con Vulnerabilidades Identificadas
El informe también enumera proyectos con vulnerabilidades críticas. FLOCK permite que un propietario extraiga cualquier ERC20 del contrato. x420 permite mintear libremente. U402 delega la creación ilimitada al rol bond. MRDN ofrece una función que deja retirar cualquier token. PENG combina una ruta para drenar ETH con un bypass de allowance. x402Token, x402b y x402MO repiten patrones similares. H402 (Old) aun conserva funciones que habilitan minteos sin restricciones y creación directa por parte del desarrollador.
El ecosistema de tokens x402 necesita un proceso de revisión más estricto si quiere sostener su expansión inicial. La comunidad persigue nuevas oportunidades, pero la dinámica actual muestra que cada token debe pasar por una auditoría profunda antes de salir a la luz. Sin ese filtro, los riesgos superan cualquier narrativa de crecimiento temprano.
