Корпоративный кошелек криптовалютной биржи Coinbase понес убытки в размере около $300 000 в результате неправильного взаимодействия с контрактом децентрализованной платформы обмена 0x. Причиной инцидента стала ошибочная конфигурация, которая позволила сторонним ботам воспользоваться уязвимостью в процессе перевода токенов.
Об этом сообщает ProIT
Как произошла потеря средств
Согласно исследованию специалиста Venn Network с ником deeberiroz, корпоративный кошелек Coinbase одобрил перевод токенов на контракт обменника 0x, который не был предназначен для таких действий. Это дало возможность MEV-ботам оперативно вывести активы, включая токены Amp, MyOneProtocol, DEXTools и Swell Network, из кошелька, который аккумулировал комиссии биржи.
«Похоже, что @coinbase недавно потеряла ~$300,000 после того, как неправильно использовала @0xProject swapper. Они одобряли все начисленные токены как комиссию своему роутеру, а затем сразу же были выведены MEV-ботами 🧵 pic.twitter.com/yWNHl8nupg»
Контракт обменника 0x не содержит ограничений для внешних вызовов, что делает его потенциально уязвимым для злоумышленников, которые отслеживают и используют ошибки в настройках смарт-контрактов.
Реакция Coinbase и меры безопасности
Директор по безопасности Coinbase Филипп Мартин подтвердил факт инцидента, отметив, что потеря стала следствием изменения конфигурации корпоративного кошелька. По его словам, активы клиентов остались нетронутыми, а ситуация была уникальной и единичной для компании.
После обнаружения атаки Coinbase отозвала разрешения на проблемные токены и переместила активы на новый корпоративный кошелек, чтобы избежать повторения подобных инцидентов в будущем. Исследователи указывают, что аналогичные уязвимости уже использовались MEV-ботами, в частности во время аирдропа Zora в сети Base, когда пользователи также понесли убытки из-за ошибочных действий или настроек.
Специалисты подчеркивают: инцидент подчеркивает серьезные риски, связанные с автоматизированными взаимодействиями смарт-контрактов и активностью MEV-ботов, которые остаются актуальными вызовами для экосистемы DeFi.