Coinbase потеряла $300 000 из-за MEV-атаки и ошибочной настройки кошелька

• Ошибка при взаимодействии корпоративного кошелька Coinbase с контрактом обменника 0x привела к потере накопленных комиссий.
• Исследователь Venn Network сообщил, что уязвимость использовали MEV-боты, но средства клиентов не пострадали.
• Coinbase изменила настройки кошельков и отозвала разрешения для защиты активов.

Компания Coinbase лишилась около $300 000 из-за неправильно настроенного взаимодействия с контрактом обменника децентрализованной платформы 0x. По данным исследователя безопасности из Venn Network под ником deeberiroz, корпоративный кошелек биржи одобрил переводы токенов на контракт, не предназначенный для получения таких разрешений.

Контракт обменника 0x можно вызывать без ограничений, что делает его удобной целью для ботов, отслеживающих неверные операции. Согласно данным, после выдачи одобрений токенов, включая Amp, MyOneProtocol, DEXTools и Swell Network, MEV-боты вывели средства со счета биржи, предназначенного для получения комиссий.

Директор по безопасности Coinbase Филип Мартин подтвердил инцидент и сообщил, что потеря средств связана с изменением конфигурации корпоративного кошелька. Он подчеркнул, что средства клиентов не пострадали и что ситуация носит единичный характер.

Исследователь отметил, что аналогичная схема ранее приводила к инцидентам на фоне аирдропа Zora в сети Base. В тот раз боты использовали ошибки пользователей для несанкционированного вывода токенов.

Coinbase уже отозвала разрешения на проблемные токены и перевела активы на новый корпоративный кошелек. Это позволит предотвратить повторение подобных атак.

Инцидент, по мнению некоторых экспертов, вновь привлек внимание к рискам, связанным с автоматическими взаимодействиями смарт-контрактов и уязвимостью к атакам MEV-ботов в экосистеме DeFi.

Напомним, мы писали, что специалисты Flashbots назвали MEV-ботов проблемой масштабирования блокчейнов.