Крипто биржа Coinbase потеряла около $300,000 в токенах после неправильно настроенного взаимодействия с Протоколом децентрализованной биржи 0x и контрактом “swapper”, что позволило ботам MEV вывести средства из одного из ее корпоративных кошельков.
Глава службы безопасности Coinbase Филипп Мартин подтвердил инцидент и назвал его “изолированной проблемой”, связанной с изменением в одном из корпоративных DEX-кошельков биржи. Он подчеркнул, что средства клиентов не пострадали, согласно посту в X.
Исследователь безопасности “deeberiroz” из Venn Network впервые сообщил об уязвимости в среду, сказав, что Coinbase по ошибке одобрил токены для контракта своппера — инструмента без разрешений, предназначенного для выполнения свопов, но не предназначенного для хранения токенов разрешений.
Эта настройка открыла дверь для оппортунистических MEV-ботов, которые немедленно опустошили кошелек, как только одобрения стали активными.
MEV, или “максимально извлекаемая ценность”, относится к практике фронт-раннинга или переупорядочивания транзакций в блокчейне для получения прибыли, или в данном случае, выполнения переводов до того, как Coinbase сможет отозвать доступ.
“Похоже, что в темноте поджидал MEV-бот, ожидая, когда пользователи ошибочно одобрят этот контракт — и затем обнулят все свои средства,” написал исследователь в X. “Что ж, их мечта сбылась благодаря Coinbase … Они заработали состояние, опустошив аккаунт получателя комиссии Coinbase от всех собранных токенов.”
Поскольку к контракту может получить доступ любой, боты смогли вызвать его ( программный термин, запрашивающий услуги у другой программы ) для прямой передачи утвержденных токенов на свои собственные адреса.
Хотя $300,000 несущественны для Coinbase, этот инцидент показывает, что даже ведущие биржи уязвимы к мелким, но сложным формам автоматизированного торгового эксплуатации.
Боты MEV долгое время были неотъемлемой частью Ethereum и других экосистем блокчейна, зарабатывая на запуске токенов, чеканке NFT и ликвидных событиях, используя видимость мемпула и переупорядочивание транзакций.
В этом случае боты просто ждали, когда кошелек с высокой стоимостью — например, получатель комиссий Coinbase — ошибочно предоставит права на расходы открытому контракту, а затем мгновенно выполнили слив.
Посмотреть комментарии
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
