Coinbase a perdu 300 000 $ en raison d'une attaque MEV et d'une mauvaise configuration du portefeuille

La société Coinbase a perdu environ 300 000 $ en raison d’une interaction mal configurée avec le contrat de l’échange de la plateforme décentralisée 0x. Selon un chercheur en sécurité de Venn Network connu sous le nom de deeberiroz, le portefeuille d’entreprise de la bourse a approuvé des transferts de jetons vers un contrat qui n’était pas destiné à recevoir de telles autorisations.

Le contrat d’échange 0x peut être appelé sans restrictions, ce qui en fait une cible pratique pour les bots surveillant les opérations incorrectes. Selon les données, après l’octroi d’approbations de jetons, y compris Amp, MyOneProtocol, DEXTools et Swell Network, les bots MEV ont retiré des fonds du compte de l’échange destiné à recevoir des commissions.

Le directeur de la sécurité de Coinbase, Philip Martin, a confirmé l’incident et a déclaré que la perte de fonds était liée à un changement de configuration du portefeuille d’entreprise. Il a souligné que les fonds des clients n’avaient pas été affectés et que la situation était isolée.

Le chercheur a noté qu’un schéma similaire avait précédemment conduit à des incidents lors de l’airdrop Zora sur le réseau Base. Cette fois-là, des bots ont exploité les erreurs des utilisateurs pour un retrait non autorisé de jetons.

Coinbase a déjà révoqué les autorisations pour les jetons problématiques et a transféré les actifs vers un nouveau portefeuille d’entreprise. Cela permettra d’éviter la répétition de telles attaques.

L’incident, selon certains experts, a de nouveau attiré l’attention sur les risques liés aux interactions automatiques des contrats intelligents et à la vulnérabilité aux attaques des bots MEV dans l’écosystème DeFi.

Rappelons que nous avons écrit que les spécialistes de Flashbots ont qualifié les bots MEV de problème de scalabilité des blockchains.