Coinbase pierde $300K en un exploit de MEV tras un error con el contrato 0x Swapper

El intercambio de Cripto Coinbase perdió aproximadamente $300,000 en tarifas de tokens después de que una interacción mal configurada con el protocolo de intercambio descentralizado 0x y el contrato “swapper” permitió que los bots de MEV drenaran fondos de una de sus billeteras corporativas.

El director de seguridad de Coinbase, Philip Martin, confirmó el incidente y lo calificó como un “problema aislado” relacionado con un cambio en una de las billeteras DEX corporativas del intercambio. Afirmó que no se vieron afectados los fondos de los clientes, según una publicación en X.

El investigador de seguridad “deeberiroz” de Venn Network fue el primero en señalar la explotación el miércoles, diciendo que Coinbase aprobó por error tokens para el contrato de intercambio — una herramienta sin permisos diseñada para ejecutar intercambios pero no destinada a mantener las asignaciones de tokens.

Esa configuración abrió la puerta a los bots MEV oportunistas, que inmediatamente drenaron la billetera una vez que las aprobaciones estaban activas.

MEV, o “valor máximo extraíble”, se refiere a la práctica de adelantarse o reordenar transacciones en la cadena de bloques para capturar ganancias, o en este caso, ejecutar transferencias antes de que Coinbase pudiera revocar el acceso.

“Parece que ha habido un bot de MEV acechando en la oscuridad, esperando a que los usuarios aprueben por error este contrato — y luego drenar todos sus fondos”, escribió el investigador en X. “Bueno, su sueño se hizo realidad gracias a Coinbase … Hicieron una gran ganancia drenando la cuenta de recepción de tarifas de Coinbase de todos los tokens que reunieron.”

Debido a que el contrato puede ser accedido por cualquiera, los bots pudieron llamarlo ( un término de software que solicita servicios de otro programa ) para transferir directamente los tokens aprobados a sus propias direcciones.

Mientras que $300,000 es inmaterial para Coinbase, la violación muestra cómo incluso los intercambios líderes son vulnerables a formas pequeñas pero sofisticadas de explotación del comercio automatizado.

Los bots de MEV han sido durante mucho tiempo una parte fundamental en Ethereum y otros ecosistemas de blockchain, obteniendo beneficios de lanzamientos de tokens, acuñaciones de NFT y eventos de liquidez al explotar la visibilidad del memepool y la reordenación de transacciones.

En este caso, los bots simplemente esperaron a que una cartera de alto valor — como el receptor de tarifas de Coinbase — otorgara por error derechos de gasto a un contrato expuesto, y luego ejecutaron el drenaje instantáneamente.

Ver Comentarios