Coinbase因误将资产授权至0x Project智能合约,导致约30万美元代币手续费被最大可提取价值(MEV)机器人转走。
Venn Network安全研究员Deebeez在周三于X平台发帖指出此事。他表示,Coinbase的公司钱包与0x的“swapper”合约进行了交互,该合约是一种无许可的兑换工具,设计用于执行兑换操作,但不应用于代币授权。
由于任何人都可调用该合约执行任意操作,授权行为可能会使资产立即面临被盗风险。“这个swapper此前已在Base链上的Zora申领中出现过问题,”该研究员写道,并关联了此前利用该机制、无需攻击合约漏洞即可提取资金的案例。
Deebeez分享的截图显示,Coinbase在周三下午为Amp、MyOneProtocol、DEXTools和Swell Network等代币授予了授权。随后,一台MEV机器人调用swapper合约,将Coinbase手续费接收账户中已授权的代币转至其自身地址。
MEV机器人暗中等待
Deebeez表示,耗尽Coinbase资金的MEV机器人一直在“暗中等待”,伺机等待用户错误授权合约,从而清空全部资金。“多亏了Coinbase,他们如愿以偿,”该研究员写道。
该研究员还表示,此次事件清空了Coinbase手续费接收账户中的所有代币,对团队而言是一堂“昂贵的教训”。
Coinbase首席安全官Philip Martin证实了此次事件,并称这是由于公司某去中心化交易所(DEX)钱包配置变更导致的“孤立问题”。
Martin表示:“没有客户资金受到影响,”并补充称,Coinbase已撤销代币授权,并将剩余资金转移至新公司钱包。
MEV机器人漏洞导致18万美元以太坊损失
今年4月,一台MEV机器人因攻击者利用其访问控制系统漏洞,损失了18万美元以太币(ETH)。据称,攻击者在同一笔交易中,通过恶意创建的资金池将该机器人的ETH兑换成了毫无价值的代币。
2023年出现过类似事件,一名恶意验证者利用MEV机器人尝试“夹心交易”时的漏洞,盗取了价值2500万美元的数字资产,包括WBTC(WBTC)、USDC(USDC)、USDt(USDT)、DAI(DAI)和WETH(WETH)。