- дата публикации
Coinbase потеряла $300 000 в результате эксплуатации MEV после ошибки с контрактом 0x Swapper
- источник
- сайт
- www.coindesk.com
- открыть источник
Криптобиржа Coinbase потеряла примерно 300 000 долларов из-за комиссий за токены в результате неправильной настройки взаимодействия с децентрализованным протоколом обмена 0x.
Это позволило MEV-ботам вывести средства из одного из корпоративных кошельков. Главный специалист по безопасности Coinbase Филип Мартин подтвердил инцидент, назвав его «изолированной проблемой», связанной с изменениями в одном из корпоративных DEX-кошельков.
Он подчеркнул, что средства клиентов не пострадали. Исследователь безопасности "deeberiroz" из Venn Network первым указал на эту уязвимость, отметив, что Coinbase ошибочно утвердила токены для контракта swapper — безразрешительного инструмента, предназначенного для выполнения обменов, но не для удержания разрешений на токены. Такой формат дал возможность MEV-ботам, которые немедленно вывели средства из кошелька, как только разрешения стали активными.
MEV, или «максимально извлекаемая стоимость», означает практику предуведомления или переупорядочивания блокчейн-транзакций для получения прибыли, в данном случае — выполнения переводов до того, как Coinbase могла отозвать доступ. Исследователь написал: «Похоже, что MEV-бот где-то поджидал, ожидая, пока пользователи ошибочно предоставят доступ к этому контракту — а затем выведет все их средства.
Их мечта исполнилась благодаря Coinbase… Они неплохо заработали, выведя из счета Coinbase все токены, которые там были». Поскольку контракт доступен для всех, боты смогли обращаться к нему для перевода утвержденных токенов на свои адреса. Хотя 300 000 долларов — незначительная сумма для Coinbase, этот случай демонстрирует, что даже ведущие биржи могут быть уязвимы для малых, но сложных форм автоматизированной торговой эксплуатации.
MEV-боты давно присутствуют в экосистемах Ethereum и других блокчейнов, получая прибыль от запусков токенов, создания NFT и событий ликвидности, эксплуатируя видимость мемпула и переупорядочивание транзакций.
В данном случае боты просто ждали на высоко оцененный кошелек — такой как счет комиссий Coinbase — чтобы ошибочно предоставить права расходования на открытый контракт, после чего мгновенно осуществили вывод средств.