Крипто біржа Coinbase втратила приблизно $300,000 у токенних комісіях після некоректно налаштованої взаємодії з децентралізованим біржовим протоколом 0x та контрактом “swapper”, що дозволило MEV ботам викачувати кошти з одного з її корпоративних гаманців.
Головний офіцер з безпеки Coinbase Філіп Мартін підтвердив інцидент і назвав його “ізольованою проблемою”, пов’язаною зі зміною в одному з корпоративних DEX-гаманець біржі. Він підкреслив, що жодні кошти клієнтів не постраждали, згідно з постом на X.
Дослідник безпеки “deeberiroz” з Venn Network вперше вказав на експлуатацію в середу, зазначивши, що Coinbase помилково схвалив токени для контракту обміну — бездозвільний інструмент, призначений для виконання обмінів, але не призначений для утримання дозволів на токени.
Ця налаштування відкрило двері для опортуністичних MEV ботів, які відразу ж висмоктали кошти з гаманця, як тільки дозволи стали активними.
MEV, або “максимально витягувана вартість”, відноситься до практики фронт-раннінгу або переформування транзакцій у блокчейні для отримання прибутку, або в цьому випадку, виконуючи перекази до того, як Coinbase зможе відкликати доступ.
“Схоже, що в темряві чатував бот MEV, чекаючи, поки користувачі помилково підтвердять цей контракт — а потім виведуть всі свої кошти,” — написав дослідник в X. “Ну, їхня мрія здійснилася завдяки Coinbase … Вони заробили на цьому, вивівши всі токени з рахунку отримувача комісії Coinbase.”
Оскільки до контракту може отримати доступ будь-хто, боти змогли викликати його ( програмний термін, що запитує послуги з іншої програми ) для безпосереднього переказу схвалених токенів на свої власні адреси.
Хоча $300,000 є незначною сумою для Coinbase, порушення показує, як навіть провідні біржі вразливі до малих, але складних форм автоматизованої торгової експлуатації.
Боти MEV давно стали невід’ємною частиною Ethereum та інших екосистем блокчейну, отримуючи прибуток від запусків токенів, випусків NFT та ліквідних подій, експлуатуючи видимість мемпулу та перетворення транзакцій.
У цьому випадку боти просто чекали, поки гаманці з високою вартістю — такі як отримувач комісій Coinbase — помилково нададуть права витратити відкритому контракту, а потім миттєво виконали витік.
Переглянути коментарі
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
