" Coinbase лишилась около $300 000 комиссионных сборов за токены, непреднамеренно предоставив доступ к активам через смарт-контракт 0x Project. Это позволило боту MEV вывести средства.
Исследователь безопасности из Venn Network Дибис сообщил об инциденте в среду через публикацию на X. По его словам, корпоративный кошелек Coinbase взаимодействовал с контрактом своппера 0x — общедоступным инструментом, предназначенным для выполнения обменов.
Поскольку любой может активировать этот контракт для произвольных действий, предоставление одобрений делает активы уязвимыми для мгновенного хищения.
«У этого обменника уже были проблемы с заявками Zora на Base», — отметил исследователь, ссылаясь на предыдущие случаи, когда подобная схема позволяла злоумышленникам изымать средства без эксплуатации уязвимостей в коде.
Предоставленные Дибисом скриншоты показывают, что в среду днем Coinbase одобрила токены, включая Amp, MyOneProtocol, DEXTools и Swell Network. Вскоре после этого бот MEV использовал контракт обменника для перевода одобренных токенов со счета получателя комиссий Coinbase на свои адреса.
Coinbase потеряла $300 000 из-за неправильного использования обменника. Источник: Дибис
Бот MEV скрывается в темноте
Дибис заявил, что бот MEV, похитивший средства Coinbase, «скрывался в темноте», ожидая момента, когда пользователи по ошибке одобрят контракт, что позволит вывести все их средства.
«Их мечта сбылась благодаря Coinbase», — написал исследователь.
Исследователь добавил, что инцидент, в результате которого со счета получателя комиссий Coinbase были выведены все токены, стал «дорогим уроком» для команды.
Глава службы безопасности Coinbase Филип Мартин подтвердил инцидент, назвав его «изолированной проблемой», связанной с изменением конфигурации одного из корпоративных децентрализованных кошельков биржи.
«Средства клиентов не пострадали», — заявил Мартин, добавив, что Coinbase отменила выдачу токенов и перевела оставшиеся средства на новый корпоративный кошелек.
Ранее эксплоит MEV-бота обошелся в $180 000 в ETH
В апреле бот MEV потерял $180 000 в Ethereum после того, как злоумышленник воспользовался уязвимостью в системе контроля доступа. Сообщается, что злоумышленник обменял ETH бота на бесполезный токен через вредоносный пул, созданный в рамках той же транзакции.
В аналогичном инциденте 2023 года мошеннический валидатор использовал ботов MEV для совершения «сэндвич-сделок», похитив цифровые активы на $25 млн, включая WBTC, USDC, USDT, DAI и WETH.
