Coinbase втратила $300 000 через MEV-атаку та помилкову налаштування гаманця

Компанія Coinbase втратила близько $300 000 через неправильно налаштовану взаємодію з контрактом обмінника децентралізованої платформи 0x. За даними дослідника безпеки з Venn Network під ніком deeberiroz, корпоративний гаманець біржі схвалив переводи монет на контракт, не призначений для отримання таких дозволів.

Контракт обмінника 0x можна викликати без обмежень, що робить його зручною ціллю для ботів, які відстежують неправильні операції. Згідно з даними, після видачі схвалень монет, включаючи Amp, MyOneProtocol, DEXTools і Swell Network, MEV-боти вивели кошти з рахунку біржі, призначеного для отримання комісій.

Директор з безпеки Coinbase Філіп Мартін підтвердив інцидент і повідомив, що втрата коштів пов’язана зі зміною конфігурації корпоративного гаманця. Він підкреслив, що кошти клієнтів не постраждали і що ситуація має одиничний характер.

Дослідник зазначив, що аналогічна схема раніше призводила до інцидентів на фоні аірдропу Zora в мережі Base. Тоді боти використовували помилки користувачів для несанкціонованого виведення монет.

Coinbase вже відкликала дозволи на проблемні монети та перевела активи на новий корпоративний гаманець. Це дозволить запобігти повторенню подібних атак.

Інцидент, на думку деяких експертів, знову привернув увагу до ризиків, пов’язаних з автоматичними взаємодіями смарт-контрактів та вразливістю до атак MEV-ботів в екосистемі DeFi.

Нагадаємо, ми писали, що спеціалісти Flashbots назвали MEV-ботів проблемою масштабування блокчейнів.