- дата публікації
Coinbase втратила $300 000 через експлуатацію MEV після помилки з контрактом 0x Swapper
- джерело
- сайт
- www.coindesk.com
- відкрити джерело
Криптобіржа Coinbase втратила приблизно 300 000 доларів через комісії за токени внаслідок неправильного налаштування взаємодії з децентралізованим протоколом обміну 0x.
Це дозволило MEV-ботам вивести кошти з одного з корпоративних гаманців. Головний спеціаліст з безпеки Coinbase Філіп Мартін підтвердив інцидент, назвавши його «ізольованою проблемою», пов'язаною зі змінами в одному з корпоративних DEX-гаманців.
Він підкреслив, що кошти клієнтів не постраждали. Дослідник безпеки "deeberiroz" із Venn Network першим вказав на цю вразливість, зазначивши, що Coinbase помилково затвердила токени для контракту swapper — бездозвільного інструменту, призначеного для виконання обмінів, але не для утримання дозволів на токени. Такий формат дав можливість MEV-ботам, які негайно вивели кошти з гаманця, щойно дозволи стали активними.
MEV, або «максимально витягувана вартість», означає практику передування або переупорядкування блокчейн-транзакцій задля отримання прибутку, у цьому випадку — виконання переказів до того, як Coinbase могла відкликати доступ. Дослідник написав: «Схоже, що MEV-бот десь чатував, чекаючи, поки користувачі помилково дозволять доступ до цього контракту — і потім виведе всі їхні кошти.
Їхня мрія здійснилася завдяки Coinbase… Вони непогано заробили, вивівши з рахунку Coinbase всі токени, які там були». Оскільки контракт доступний для всіх, боти змогли звертатися до нього для переказу затверджених токенів на свої адреси. Хоча 300 000 доларів є незначною сумою для Coinbase, цей випадок демонструє, що навіть провідні біржі можуть бути вразливими до малих, але складних форм автоматизованого торгового експлуатації.
MEV-боти вже давно присутні в екосистемах Ethereum та інших блокчейнів, отримуючи прибуток від запусків токенів, створення NFT та подій ліквідності, експлуатуючи видимість мемпулу та переупорядкування транзакцій.
У цьому випадку боти просто чекали на високооцінений гаманець — як-от рахунок комісій Coinbase — щоб помилково надати права витрат на відкритий контракт, після чого миттєво здійснили виведення коштів.