Автор Chao Cheng Zedong тема Новости

Coinbase теряет $300,000 из-за ошибки с контрактом 0x

Coinbase теряет $300,000 из-за ошибки с контрактом 0x

Coinbase потеряла около 300,000 долларов на комиссиях за токены после того, как по ошибке одобрила активы для смарт-контракта 0x Project, позволив боту максимальной извлекаемой стоимости (MEV) вывести средства.

Deebeez, исследователь безопасности в Venn Network, отметил инцидент в своем посте в среду на платформе X. Он объяснил, что корпоративный кошелек Coinbase взаимодействовал с контрактом 0x "swapper", предназначенным для выполнения свопов, но не для получения одобрений токенов.

Поскольку любой может вызвать контракт для выполнения произвольных действий, предоставление одобрений может подвергнуть активы немедленной краже. "Этот же swapper известен проблемами с Zora claims на Base," - написал исследователь, ссылаясь на прошлые случаи, где такая схема позволяла злоумышленникам извлекать средства без эксплуатации уязвимостей кода.

Скриншоты, предоставленные Deebeez, показывали, что Coinbase предоставила одобрения для токенов, включая Amp, MyOneProtocol, DEXTools и Swell Network. Вскоре после этого MEV-бот вызвал swapper контракт, чтобы перевести одобренные токены с аккаунта получателя комиссий Coinbase на свои адреса.

Coinbase потеряла $300,000 из-за неправильного использования swapper. Источник: Deebeez

МЕВ-бот в поисках ошибок

Deebeez сообщил, что МЕВ-бот, который вывел средства из Coinbase, "скрывался в тени", ожидая, когда пользователи по ошибке одобрят контракт для вывода всех своих средств. "Их мечта сбылась благодаря Coinbase," - написал исследователь.

Исследователь добавил, что инцидент, который вывел все токены с аккаунта получателя комиссий Coinbase, стал "дорогостоящим уроком" для команды.

Филип Мартин, главный специалист по безопасности Coinbase, подтвердил инцидент, описав его как "изолированную проблему", связанную с изменением конфигурации в одном из корпоративных кошельков DEX компании.

"Средства клиентов не пострадали," - заявил Мартин, добавив, что Coinbase отменила разрешения на токены и перенесла оставшиеся средства на новый корпоративный кошелек.

Эксплуатация МЕВ-бота стоила $180,000 в Ether

В апреле МЕВ-бот потерял около $180,000 в Ether (ETH) после того, как злоумышленник использовал уязвимость в его системе контроля доступа. Злоумышленник якобы обменял ETH бота на бесполезный токен через созданный самим собой пул в рамках той же транзакции.

В аналогичном инциденте в 2023 году, нечестный валидатор воспользовался МЕВ-ботами, пытающимися провести "сэндвич-трейды", похитив $25 миллионов в цифровых активах, включая WBTC, USDC, USDT, DAI и WETH.