Coinbase потеряла $300 000 из-за MEV-атаки и ошибочной настройки кошелька

Компания Coinbase лишилась около $300 000 из-за неправильно настроенного взаимодействия с контрактом обменника децентрализованной платформы 0x. По данным исследователя безопасности из Venn Network под ником deeberiroz, корпоративный кошелек биржи одобрил переводы токенов на контракт, не предназначенный для получения таких разрешений.

Контракт обменника 0x можно вызывать без ограничений, что делает его удобной целью для ботов, отслеживающих неверные операции. Согласно данным, после выдачи одобрений токенов, включая Amp, MyOneProtocol, DEXTools и Swell Network, MEV-боты вывели средства со счета биржи, предназначенного для получения комиссий.

Директор по безопасности Coinbase Филип Мартин подтвердил инцидент и сообщил, что потеря средств связана с изменением конфигурации корпоративного кошелька. Он подчеркнул, что средства клиентов не пострадали и что ситуация носит единичный характер.

Исследователь отметил, что аналогичная схема ранее приводила к инцидентам на фоне аирдропа Zora в сети Base. В тот раз боты использовали ошибки пользователей для несанкционированного вывода токенов.

Coinbase уже отозвала разрешения на проблемные токены и перевела активы на новый корпоративный кошелек. Это позволит предотвратить повторение подобных атак.

Инцидент, по мнению некоторых экспертов, вновь привлек внимание к рискам, связанным с автоматическими взаимодействиями смарт-контрактов и уязвимостью к атакам MEV-ботов в экосистеме DeFi.

Напомним, мы писали, что специалисты Flashbots назвали MEV-ботов проблемой масштабирования блокчейнов.