Корпоративний гаманець криптовалютної біржі Coinbase зазнав збитків у розмірі близько $300 000 внаслідок неправильної взаємодії з контрактом децентралізованої платформи обміну 0x. Причиною інциденту стала помилкова конфігурація, яка дозволила стороннім ботам скористатися вразливістю в процесі переказу токенів.
Про це розповідає ProIT
Як відбулася втрата коштів
Згідно з дослідженням спеціаліста Venn Network з ніком deeberiroz, корпоративний гаманець Coinbase схвалив переказ токенів на контракт обмінника 0x, який не був призначений для таких дій. Це дало змогу MEV-ботам оперативно вивести активи, включаючи токени Amp, MyOneProtocol, DEXTools та Swell Network, із гаманця, що акумулював комісії біржі.
“Схоже, що @coinbase нещодавно злили ~$300,000 після того, як неправильно використали @0xProject swapper. Вони схвалювали всі нараховані токени як комісію своєму роутеру, а потім одразу ж були злиті MEV-ботами 🧵 pic.twitter.com/yWNHl8nupg”
Контракт обмінника 0x не містить обмежень для зовнішніх викликів, що робить його потенційно вразливим для зловмисників, які відстежують та використовують помилки у налаштуваннях смартконтрактів.
Реакція Coinbase та заходи безпеки
Директор з безпеки Coinbase Філіп Мартін підтвердив факт інциденту, зазначивши, що втрата стала наслідком зміни конфігурації корпоративного гаманця. За його словами, активи клієнтів залишилися недоторканими, а ситуація була унікальною та одиничною для компанії.
Після виявлення атаки Coinbase відкликала дозволи на проблемні токени та перемістила активи на новий корпоративний гаманець, щоб уникнути повторення подібних інцидентів у майбутньому. Дослідники вказують, що аналогічні вразливості вже використовувалися MEV-ботами, зокрема під час аірдропу Zora в мережі Base, коли користувачі також зазнавали втрат через хибні дії чи налаштування.
Фахівці наголошують: інцидент підкреслює серйозні ризики, пов’язані з автоматизованими взаємодіями смартконтрактів та активністю MEV-ботів, які залишаються актуальними викликами для екосистеми DeFi.