Криптовалютная биржа Coinbase потеряла около 300 000 долларов в виде комиссий за токены после того, как из-за неправильно настроенного взаимодействия с протоколом децентрализованной биржи 0x «своппер» позволил ботам MEV вывести средства с одного из корпоративных кошельков.
Директор по безопасности Coinbase Филип Мартин подтвердил факт сбоя и назвал его «единичным случаем», связанным с изменением в одном из корпоративных DEX-кошельков биржи. Он подчеркнул, что средства клиентов не пострадали, согласно сообщению в X.
Исследователь в области безопасности «deeberiroz» из Venn Network впервые сообщил об этом эксплойте в среду, заявив, что Coinbase по ошибке одобрила токены для контракта swapper — инструмента без разрешений, предназначенного для выполнения свопов, но не предназначенного для хранения токенов.
Такая настройка открыла двери для оппортунистических ботов MEV, которые сразу же опустошили кошелёк, как только были получены подтверждения.
MEV, или «максимальная извлекаемая ценность», — это практика опережения или изменения порядка транзакций в блокчейне с целью получения прибыли или, в данном случае, выполнения переводов до того, как Coinbase сможет отозвать доступ.
«Похоже, что в тени скрывался бот MEV, который ждал, пока пользователи по ошибке подтвердят этот контракт, а затем спустил бы все их средства, — написал исследователь в X. — Что ж, их мечта сбылась благодаря Coinbase … Они сорвали куш, опустошив счёт получателя комиссий Coinbase от всех собранных ими токенов».
Поскольку доступ к контракту может получить любой, боты могли вызывать его (термин из области программного обеспечения, обозначающий запрос услуг у другой программы) для перевода одобренных токенов напрямую на свои адреса.
Хотя для Coinbase 300 000 долларов — незначительная сумма, этот инцидент показывает, что даже ведущие биржи уязвимы для небольших, но изощрённых форм эксплуатации автоматизированной торговли.
Боты MEV уже давно стали неотъемлемой частью Ethereum и других блокчейн-экосистем. Они извлекают выгоду из запуска токенов, выпуска NFT и событий, связанных с ликвидностью, используя видимость мемпулов и изменение порядка транзакций.
В этом случае боты просто ждали, пока кошелёк с высокой стоимостью — например, получатель комиссий Coinbase — по ошибке предоставит права на расходование средств открытому контракту, а затем мгновенно осуществили вывод средств.
" 
