A Coinbase perdeu tapume de US $ 300.000 em taxas de token depois de ratificar erroneamente os ativos para um contrato inteligente do projeto 0x, permitindo um bot supremo de valor extraível (MEV) para drenar os fundos.
Deebeez, pesquisador de segurança da Venn Network, sinalizado O incidente em um post de quarta -feira no X. Ele explicou que a carteira corporativa da Coinbase interagiu com o contrato “Swapper” da 0x, uma instrumento sem permissão projetada para executar swaps, mas não para receber aprovações de token.
Porquê qualquer pessoa pode invocar o contrato para executar ações arbitrárias, a licença de aprovações pode expor ativos a roubo súbito. “Leste mesmo Swapper é divulgado por ter tido problemas com as reivindicações da ZORA na base”, escreveu o pesquisador, vinculando -se a casos anteriores em que a formato permitiu que atores maliciosos extraíssem fundos sem explorar vulnerabilidades de código.
As capturas de tela compartilhadas por Deebeez mostraram as aprovações da Coinbase para tokens, incluindo AMP, MyoneProtocol, DexTools e Swell Network na quarta -feira à tarde. Logo depois, um bot MeV chamou o contrato de Swapper para transferir os tokens aprovados da conta do receptor de taxa da Coinbase para seus endereços.
Relacionado: MEV arbitragadores no Ethereum cada vez mais concentrado
Mev bot à espreita no escuro
Deebeez disse que o bot MeV que drenou fundos da Coinbase estava “à espreita no escuro”, esperando que os usuários aprovem o contrato por ilusão para drenar todos os seus fundos. “O sonho deles se tornou verdade graças à Coinbase”, escreveu o pesquisador.
O pesquisador acrescentou que o incidente, que drenou a conta do receptor de taxa de moeda de todos os seus tokens, era uma “prelecção face” para a equipe.
Diretor de Segurança Superintendente de Coinbase Philip Martin confirmado O incidente, descrevendo -o porquê uma “questão isolada” vinculada a uma mudança de formato em uma das carteiras corporativas da troca.
“Nenhum fundos de clientes foi afetado”, disse Martin, acrescentando que a Coinbase revogou os subsídios de token e moveu os fundos restantes para uma novidade carteira corporativa.
Relacionado: Crypto MeV Bot lança o Bot Trading Crypto para comerciantes individuais e corporativos
O MEV Bot Explorit custa US $ 180.000 em éter
Em abril, um bot MeV perdeu tapume de US $ 180.000 em éter (ETH) depois que um invasor explorou uma vulnerabilidade em seu sistema de controle de entrada. O atacante supostamente trocou o ETH do bot por um token sem valor por meio de uma piscina maliciosa criada dentro da mesma transação.
Em um incidente semelhante em 2023, um validador indecente explorou os bots MEV que tentavam “negociações de sanduíche”, roubando US $ 25 milhões em ativos digitais, incluindo WBTC (WBTC), USDC (USDC), USDT (USDT), DAI (DAI) e WETH (WETH).
https://www.youtube.com/watch?v=20ZFEDQDKL8
Revista: Hack de Coinbase mostra que a lei provavelmente não o protege – eis o porquê
