暗号資産取引所Coinbaseは、分散型取引所プロトコル0xの「スワッパー」契約との誤設定された相互作用により、MEVボットが企業ウォレットの1つから資金を siphon することを可能にし、約300,000ドルのトークン手数料を失いました。
Coinbaseの最高セキュリティ責任者フィリップ・マーチンは、ミスを確認し、それを「孤立した問題」と呼び、取引所の法人DEXウォレットの一つの変更に関連していると述べました。彼は、Xの投稿によれば、顧客の資金には影響がなかったことを強調しました。
Venn Networkのセキュリティ研究者「deeberiroz」は水曜日にこの脆弱性を最初に指摘し、Coinbaseがトークンをスワッパーコントラクトに誤って承認したと述べました。このスワッパーコントラクトはスワップを実行するための許可不要のツールですが、トークンの許可を保持することを意図したものではありません。
その設定は、機会主義的なMEVボットに道を開き、承認が有効になると同時にウォレットをすぐに排出しました。
MEV、つまり「最大抽出可能価値」とは、利益を得るためにブロックチェーン取引を前倒ししたり、順序を入れ替えたりする行為を指します。この場合、Coinbaseがアクセスを取り消す前に送金を実行することです。
「暗号資産ユーザーがこの契約を誤って承認するのを待っているMEVボットが暗闇に潜んでいたようです。そして、彼らの資金をすべて引き出しました」と研究者はXに書きました。「さて、彼らの夢はCoinbaseのおかげで実現しました…彼らはCoinbaseの手数料受取アカウントから集めたすべてのトークンを引き出すことで大儲けしました。」
契約は誰でもアクセスできるため、ボットは(別のプログラムからサービスを要求するソフトウェア用語)を呼び出して、承認されたトークンを自分のアドレスに直接転送することができました。
$300,000はCoinbaseにとっては無視できる金額ですが、この違反は、主要な取引所でさえも、小規模だが洗練された自動取引の悪用に対して脆弱であることを示しています。
MEVボットは、Ethereumや他のブロックチェーンエコシステムにおいて長い間存在しており、メモリプールの可視性やトランザクションの再順序を利用することで、トークンのローンチ、NFTのミント、流動性イベントから利益を得ています。
この場合、ボットは単に高額なウォレット — コインベースの手数料受取人のような — が誤って露出した契約に支出権限を与えるのを待ち、その後、即座に資金を引き出しました。
コメントを見る
