#x402 是一种开放支付协议，复兴 HTTP 402“Payment Required”状态码。 x402 在 Coinbase、Google 等的推动下发展迅速，从技术协议迅速转向生态应用，近期 x402 赛道市值和交易量均屡破新高。

x402 官网：https://www.x402.org/
x402scan：https://www.x402scan.com/

安全风险与典型事件

x402 生态热度快速增长，大量新盘涌现，但应用还属于早期，当前社区追逐的是利用 x402 特性发行的 MEME 币，普遍风险较高，部分已出现 Scam/RUG 等迹象，需要特别小心，主要风险类型如下：

• 过度授权

过度授权漏洞是指 owner、admin 或其他特权角色具有过度权限来转移或提取代币资产（包括属于其他用户或合约本身的代币），可能导致资金挪用或 rugpull。

• 签名重放

签名重放漏洞发生在合约使用加密签名（通过 ecrecover、ECDSA.recover 或类似方法）来授权操作时，未包含重放保护机制（如 nonce、过期时间戳或链标识符）。这允许攻击者在其他上下文（例如其他合约、网络或时间）中重复使用签名（重放）来执行未授权操作。

• HoneyPot

Honeypot 指表面上看似可被利用或盈利的合约，但实际上包含隐藏陷阱或特权路径，使部署者 / 合约拥有者可以阻止用户提现或抽取用户资金。典型特征包括：隐藏的或仅限所有者的资金抽取逻辑、允许绕过授权或批准检查、特权标志可以跳过安全检查、时间或逻辑陷阱等。

• 无限铸造

无限铸造漏洞指代币合约中存在允许未经授权或限制不当的代币铸造功能。这可能导致代币供应无限膨胀，削弱代币价值，并可能给持有人造成经济损失。典型特征包括：铸造函数未进行合理的角色限制（例如 owner、minter 角色）或权限管理、初始供应错误设置 **、** 存在重入漏洞可重复铸造、数学错误或条件绕过导致无限铸造。

• 典型事件

10 月 28 日，x402 跨链协议 @402bridge 因过度授权漏洞，导致二百多名用户账户中的 USDC 被恶意转走。

11 月 12 日，Hello402 @Xlayer402 因无限增发与中心化操纵隐患、流动性问题，导致流动性不足、币价下跌等问题。

基于 AI Auditing 的 x402 安全扫描

GoPlus 安全研究院基于领先的 AI Auditing 引擎，利用大模型和专业安全知识，对 Binance Wallet 和 OKX Wallet 中的 x402 项目、社区预警的风险项目，30+ x402 项目进行详细的安全风险扫描，我们发现了如下代币存在风险：

FLOCK（0x5ab3）：transferERC20 函数 owner 可以提取合约中的任意数量的任意 token。

x420（0x68e2）：crosschainMint 函数可以无限制的铸造 token。

U402（0xd2b3）：mintByBond 函数 bond 可以无限制的铸币。

MRDN（0xe57e）：withdrawToken 函数 owner 可以提取合约中任意数量的任意 token。

PENG（0x4444ee、0x444450、0x444428）：manualSwap 函数 owner 可以提取合约中的 ETH，transferFrom 函数对于特殊账户会绕过 allowance 检查。

x402Token（0x40ff）：transferFrom 函数特殊账户会绕过 allowance 检查。

x402b（0xd8af5f）：manualSwap 函数 owner 可以提取合约中的 ETH，transferFrom 函数对于特殊账户会绕过 allowance 检查。

x402MO（0x3c47df）：manualSwap 函数 owner 可以提取合约中的 ETH，transferFrom 函数对于特殊账户会绕过 allowance 检查。

更多 X402 项目详细安全检测如下：

GoPlus 深耕 x402，已提供基于 x402 的安全产品与服务，并对 x402 相关协议与合约风险深入研究，提供最便捷的产品体验与最专业的安全服务，欢迎咨询合作。