加密货币交易所Coinbase在与去中心化交易所协议0x的“swapper”合约的错误配置交互后,损失了大约$300,000的代币费用,这使得最大可提取价值(MEV)机器人能够从其一个公司钱包中 siphon 资金。
Coinbase的首席安全官Philip Martin确认了这一失误,并称其为与交易所的一个企业DEX钱包的变更相关的“孤立事件”。他强调,按照一条X的帖子,没有客户资金受到影响。
Venn Network的安全研究员“deeberiroz”在周三首次标记了这一漏洞,表示Coinbase错误地批准了令牌给交换合约——这是一个无权限工具,旨在执行交换,但不用于持有令牌授权。
那个设置为投机性的最大可提取价值(MEV)机器人打开了大门,一旦批准生效,它们便立即抽干了钱包。
最大可提取价值(MEV),或称为“最大可提取价值”,指的是通过前置运行或重新排序区块链交易来获取利润的做法,或者在这种情况下,在Coinbase能够撤销访问之前执行转账。
“似乎有一个最大可提取价值(MEV)机器人潜伏在黑暗中,等待用户错误地批准这个合同——然后抽走他们所有的资金,”这位研究人员在X上写道。“好吧,他们的梦想通过Coinbase实现了……他们通过抽走Coinbase费用接收账户中所有的代币赚了大钱。”
因为合同可以被任何人访问,机器人能够调用它 ( 一种软件术语,向另一个程序请求服务 ) 直接将批准的代币转移到他们自己的地址。
虽然30万美元对于Coinbase来说无关紧要,但这一漏洞显示出即使是领先的交易所也容易受到小型但复杂的自动化交易利用的攻击。
MEV机器人在以太坊和其他区块链生态系统中已经存在很长时间,通过利用内存池的可见性和交易重排序,从代币发行、NFT铸造和流动性事件中获利。
在这种情况下,这些机器人只是等待一个高价值的钱包——比如Coinbase的费用接收者——错误地授予一个暴露的合约支出权限,然后立即执行抽水。
查看评论
