A exchange de Cripto Coinbase perdeu aproximadamente $300,000 em taxas de tokens após uma interação mal configurada com o protocolo de exchange descentralizada 0x, cujo contrato “swapper” permitiu que bots MEV desviassem fundos de uma de suas carteiras corporativas.
O diretor de segurança da Coinbase, Philip Martin, confirmou o incidente e chamou-o de “um problema isolado” ligado a uma alteração em uma das carteiras DEX corporativas da exchange. Ele enfatizou que nenhum fundo de cliente foi afetado, de acordo com uma publicação no X.
O investigador de segurança “deeberiroz” da Venn Network foi o primeiro a sinalizar a exploração na quarta-feira, dizendo que a Coinbase aprovou erroneamente tokens para o contrato de troca — uma ferramenta sem permissões projetada para executar trocas, mas não destinada a manter permissões de token.
Essa configuração abriu a porta para bots MEV oportunistas, que imediatamente drenaram a carteira assim que as aprovações foram ativadas.
MEV, ou “valor máximo extraível”, refere-se à prática de front-running ou reorganização de transações em blockchain para capturar lucros, ou neste caso, executar transferências antes que a Coinbase pudesse revogar o acesso.
“Parece que havia um bot MEV à espreita nas sombras, esperando que os usuários aprovassem por engano este contrato — e depois drenassem todos os seus fundos,” escreveu o pesquisador no X. “Bem, o sonho deles tornou-se realidade graças à Coinbase … Eles lucraram imenso ao drenar a conta do receptor de taxas da Coinbase de todos os tokens que reuniram.”
Porque o contrato pode ser acedido por qualquer pessoa, os bots conseguiram chamá-lo ( um termo de software solicitando serviços de outro programa ) para transferir diretamente os tokens aprovados para os seus próprios endereços.
Embora $300.000 seja irrelevante para a Coinbase, a violação mostra como até mesmo as exchanges líderes são vulneráveis a pequenas, mas sofisticadas formas de exploração de trading automatizado.
Os bots MEV têm sido há muito tempo uma presença no Ethereum e em outros ecossistemas de blockchain, lucrando com lançamentos de tokens, mintagens de NFT e eventos de liquidez ao explorar a visibilidade do memepool e a reordenação de transações.
Neste caso, os bots simplesmente aguardaram uma carteira de alto valor — como a recebedora de taxas da Coinbase — para conceder acidentalmente direitos de gasto a um contrato exposto, e então executaram a drenagem instantaneamente.
Ver Comentários
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
