Coinbase因誤將資產授權至0x Project智能合約,導致約30萬美元代幣手續費被最大可提取價值(MEV)機器人轉走。
Venn Network安全研究員Deebeez在週三於X平台發帖指出此事。他表示,Coinbase的公司錢包與0x的“swapper”合約進行了交互,該合約是一種無許可的兌換工具,設計用於執行兌換操作,但不應用於代幣授權。
由於任何人都可調用該合約執行任意操作,授權行為可能會使資產立即面臨被盜風險。“這個swapper此前已在Base鏈上的Zora申領中出現過問題,”該研究員寫道,並關聯了此前利用該機制、無需攻擊合約漏洞即可提取資金的案例。
Deebeez分享的截圖顯示,Coinbase在週三下午為Amp、MyOneProtocol、DEXTools和Swell Network等代幣授予了授權。隨後,一台MEV機器人調用swapper合約,將Coinbase手續費接收帳戶中已授權的代幣轉至其自身地址。
MEV機器人暗中等待
Deebeez表示,耗盡Coinbase資金的MEV機器人一直在“暗中等待”,伺機等待用戶錯誤授權合約,從而清空全部資金。“多虧了Coinbase,他們如願以償,”該研究員寫道。
該研究員還表示,此次事件清空了Coinbase手續費接收帳戶中的所有代幣,對團隊而言是一堂“昂貴的教訓”。
Coinbase首席安全官Philip Martin證實了此次事件,並稱這是由於公司某去中心化交易所(DEX)錢包配置變更導致的“孤立問題”。
Martin表示:“沒有客戶資金受到影響,”並補充稱,Coinbase已撤銷代幣授權,並將剩餘資金轉移至新公司錢包。
MEV機器人漏洞導致18萬美元以太坊損失
今年4月,一台MEV機器人因攻擊者利用其訪問控制系統漏洞,損失了18萬美元以太幣(ETH)。據稱,攻擊者在同一筆交易中,通過惡意創建的資金池將該機器人的ETH兌換成了毫無價值的代幣。
2023年出現過類似事件,一名惡意驗證者利用MEV機器人嘗試“夾心交易”時的漏洞,盜取了價值2500萬美元的數字資產,包括WBTC(WBTC)、USDC(USDC)、USDt(USDT)、DAI(DAI)和WETH(WETH)。