- Главная
- /
- Безопасность
- /
- Coinbase потерял $300,000 из-за уязвимости MEV в контракте dEX 0x
Coinbase потерял $300,000 из-за уязвимости MEV в контракте dEX 0x
10
Криптообменник Coinbase понес убытки в размере около 300 000 долларов США из-за уязвимости MEV после неправильной настройки взаимодействия с контрактом `swapper` децентрализованной биржи 0x.
Глава службы безопасности Coinbase Филипп Мартин подтвердил инцидент и назвал его «изолированной проблемой», связанной с изменением в одном из корпоративных кошельков биржи. Он подчеркнул, что средства клиентов не пострадали, согласно сообщению в X.
Исследователь безопасности “deeberiroz” из Venn Network впервые отметил уязвимость в среду, сообщив, что Coinbase ошибочно одобрил токены для контракта swapper — инструмента без разрешений, предназначенного для выполнения обменов, но не предназначенного для хранения разрешений на токены.
Такая установка открыла дверь для оппортунистических ботов MEV, которые немедленно опустошили кошелек, как только одобрения стали активными.
MEV, или «максимально извлекаемая ценность», относится к практике «фронтраннинга» или переупорядочивания транзакций в блокчейне для получения прибыли, или, в данном случае, выполнения переводов до того, как Coinbase сможет отозвать доступ.
«Похоже, в темноте поджидал бот MEV, ожидая, когда пользователи ошибочно одобрят этот контракт — а затем опустошили все их средства», — написал исследователь в X. «Что ж, их мечта сбылась благодаря Coinbase… Они заработали, опустошив аккаунт получения сборов Coinbase от всех токенов, которые они собрали».
Похоже, что @coinbase недавно был опустошён на ~$300,000 после неправильного использования @0xProject swapper.
Они одобрили все токены, накопленные в качестве сборов, своему роутеру, и их немедленно опустошили боты MEV 🧵
Поскольку к контракту может получить доступ любой, боты смогли вызвать его (соответствующий термин программного обеспечения для запроса услуг от другой программы), чтобы напрямую перевести одобренные токены на свои собственные адреса.
Хотя 300 000 долларов США несущественны для Coinbase, этот инцидент показывает, как даже ведущие биржи уязвимы к мелким, но сложным формам автоматизированного торгового эксплуатирования.
Боты MEV долгое время присутствуют в экосистемах Ethereum и других блокчейнов, получая прибыль от запусков токенов, чеканки NFT и мероприятий по ликвидности, эксплуатируя видимость мемпула и переупорядочивание транзакций.
В данном случае боты просто ждали, когда кошелек с высокими активами — например, получатель сборов Coinbase — ошибочно предоставит права на расходование средств экспонированному контракту, а затем мгновенно осуществили вывод средств.
США накладывают санкции на 19 компаний в Юго-Восточной Азии для борьбы с кибермошенничеством на $10 миллиардов
США ввели санкции против 19 компаний Юго-Восточной Азии, уличённых в кибермошенничестве на $10 миллиардов. Киберпреступники используют принудительный труд и криптовалюты для обмана. 💼💻💸🛡️✋
Кража 41,5 миллиона долларов на бирже SwissBorg: что произошло и как компания планирует восстановить убытки
Криптобиржа SwissBorg сообщила о краже 192,600 SOL (41,5 млн $) из-за скомпрометированного API партнера. Более 1% пользователей не пострадали, средства остальных защищены. 🛡️💰👨💻
Масштабная угроза взлома для пользователей криптовалют: остерегайтесь кражи средств!
Криптовалютные пользователи в опасности: взлом аккаунта разработчика NPM привел к распространению вредоносного кода. Рекомендуется прекратить транзакции! ⚠️💻🔒💰
Хакерская атака на DeFi платформу Nemo Protocol: утрата 2,4 миллиона долларов и недовольство сообщества
Nemo Protocol, DeFi платформа, была взломана на 2,4 млн долларов перед обновлением. Атака затронула пул ликвидности, активы хранилища остались нетронутыми. Общество требует разъяснений. 🔍💰🚨