Бот MEV вивів 300 000 доларів з Coinbase через помилку дозволів

Coinbase зазнала втрати приблизно 300 000 доларів США у комісійних токенах після ненавмисного дозволу на використання активів смарт-контрактом 0x swapper. Ця помилка дозволила боту MEV вивести гроші з корпоративного гаманця біржі.

Як повідомив дослідник безпеки Venn Network, відомий як Deebeez, корпоративний гаманець Coinbase взаємодіяв з контрактом “свопер” від 0x, який є інструментом для виконання свопів без дозволу. Він зазначив, що цей конкретний контракт раніше спричиняв проблеми з Zora в мережі Base.

Оскільки будь-хто може посилатися на контракт для здійснення довільних дій, надання цьому контракту повноважень на використання активів відкриває шлях для їх швидкої крадіжки.

13 серпня Coinbase авторизувала дозволи для токенів, включаючи Amp, MyOneProtocol, DEXTools та Swell Network. Невдовзі після цього бот MEV активував контракт свопера для переказу дозволених токенів з рахунку Coinbase, що отримує комісію, на власні гаманці Coinbase.

Головний директор з безпеки Coinbase Філіп Мартін підтвердив цей випадок, назвавши його «ізольованою проблемою», що виникла через зміну конфігурації, пов’язану з одним із корпоративних DEX-гаманців біржі.

Мартін наголосив, що кошти клієнтів залишилися незмінними, а компанія скасувала дозволи на використання токенів, одночасно переказуючи баланси на новий корпоративний гаманець.

Варто зазначити, що, на думку фахівців з Flashbots, MEV створює значну перешкоду для масштабування криптомереж.

Источник

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *