Sàn giao dịch tiền điện tử Coinbase đã mất khoảng $300,000 trong phí token sau khi một tương tác cấu hình sai với giao thức sàn giao dịch phi tập trung 0x’s “swapper” contract cho phép các bot MEV rút tiền từ một trong những ví công ty của nó.
Giám đốc an ninh của Coinbase, Philip Martin, đã xác nhận sự cố và gọi đây là “một vấn đề riêng lẻ” liên quan đến một thay đổi trong một trong những ví DEX doanh nghiệp của sàn giao dịch. Ông nhấn mạnh rằng không có quỹ của khách hàng nào bị ảnh hưởng, theo một bài đăng trên X.
Nhà nghiên cứu an ninh “deeberiroz” của Venn Network lần đầu tiên đã báo cáo lỗ hổng vào thứ Tư, nói rằng Coinbase đã vô tình phê duyệt các token cho hợp đồng hoán đổi — một công cụ không cần quyền hạn được thiết kế để thực hiện các giao dịch hoán đổi nhưng không được dự định để giữ các khoản cho phép token.
Cài đặt đó đã mở ra cơ hội cho các bot MEV cơ hội, những bot ngay lập tức đã rút cạn ví ngay khi các phê duyệt được kích hoạt.
MEV, hay “giá trị có thể khai thác tối đa,” đề cập đến thực tiễn chạy trước hoặc sắp xếp lại các giao dịch blockchain để thu lợi nhuận, hoặc trong trường hợp này, thực hiện các chuyển khoản trước khi Coinbase có thể thu hồi quyền truy cập.
“Có vẻ như đã có một bot MEV ẩn nấp trong bóng tối, chờ đợi người dùng vô tình phê duyệt hợp đồng này — và sau đó rút hết tất cả các khoản tiền của họ,” nhà nghiên cứu đã viết trên X. “Chà, giấc mơ của họ đã trở thành hiện thực nhờ vào Coinbase … Họ đã kiếm được một khoản lợi khổng lồ bằng cách rút hết tất cả các token trong tài khoản nhận phí của Coinbase.”
Bởi vì hợp đồng có thể được truy cập bởi bất kỳ ai, các bot đã có thể gọi nó ( một thuật ngữ phần mềm yêu cầu dịch vụ từ một chương trình khác ) để chuyển trực tiếp các token được phê duyệt ra địa chỉ của chúng.
Trong khi $300,000 là không quan trọng đối với Coinbase, vụ vi phạm cho thấy ngay cả những sàn giao dịch hàng đầu cũng dễ bị tổn thương trước những hình thức khai thác giao dịch tự động nhỏ nhưng tinh vi.
Các bot MEV đã từ lâu trở thành một phần không thể thiếu trong Ethereum và các hệ sinh thái blockchain khác, kiếm lợi từ việc ra mắt token, khai thác NFT và các sự kiện thanh khoản bằng cách khai thác khả năng nhìn thấy memepool và sắp xếp lại giao dịch.
Trong trường hợp này, các bot chỉ đơn giản chờ đợi một ví có giá trị cao — như người nhận phí của Coinbase — vô tình cấp quyền chi tiêu cho một hợp đồng bị lộ, sau đó thực hiện việc rút tiền ngay lập tức.
Xem bình luận
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
