Coinbase втратив близько 300 000 доларів США за витончені збори після помилкового затвердження активів до смарт -контракту на проект 0x, що дозволить бот максимального витягу (МЕВ) витрачати кошти.
Дібеез, дослідник безпеки в мережі Venn, позначив інцидент у середу посту на X. Він пояснив, що корпоративний гаманець Coinbase взаємодіє з контрактом “Swapper” 0x, інструментом без дозволу, призначеним для виконання свопів, але не для отримання схвалення токенів.
Оскільки кожен може зателефонувати до договору для виконання довільних дій, надання схвалень може викрити активи для негайної крадіжки.”У цьому ж, як відомо, було проблеми з претензіями на Zora на основі”, – написав дослідник, посилаючись на минулі випадки, коли налаштування дала змогу зловмисним акторам витягувати кошти без використання вразливих місць коду.
Скріншоти, що ділиться Deebeez, показав, що Coinbase надає схвалення для токенів, включаючи AMP, MyoneProtocol, Dextools та Swell Network у середу вдень. Незабаром бот MEV зателефонував до контракту Swapper, щоб перенести затверджені токени з облікового запису приймача плати Coinbase у свої адреси.
Пов’язано: МЕВ арбітражні речовини на Ethereum все більше централізовані
Mev bot ховається в темряві
Deebeez сказав, що бот MEV, який осушив кошти з Coinbase, “ховається в темряві”, чекаючи, коли користувачі помилково схвалюють договір, щоб витрачати всі свої кошти.”Їх мрія здійснилася завдяки Coinbase”, – написав дослідник.
Дослідник додав, що інцидент, який осушив рахунок приймача плати за всі його токени, був «дорогим уроком» для команди.
Головний директор з питань безпеки Coinbase Філіп Мартін підтвердив інцидент, описуючи його як “ізольовану проблему”, пов’язану зі зміною конфігурації в одному з корпоративних гаманців DEX.
“Фонди клієнтів не постраждали”, – сказав Мартін, додавши, що Coinbase відкликав маркерні надбавки та переніс залишки коштів на новий корпоративний гаманець.
Пов’язано: Cryptocurrency Mev Bot запускає криптовалюту для торгових бота для індивідуальних та підприємств -торговців
Експлуатація Mev Bot коштує 180 000 доларів в ефірі
У квітні бот MEV втратив близько 180 000 доларів в ефірі (ETH) після того, як зловмисник використовував вразливість у системі контролю доступу. Як повідомляється, зловмисник поміняв ETH бота на нікчемний маркер через шкідливий басейн, створений в межах однієї транзакції.
У подібному інциденті в 2023 році валідатор -шахрай експлуатував Мев -боти, намагаючись «сендвіч -торги», викрав 25 мільйонів доларів цифрових активів, включаючи WBTC (WBTC), USDC (USDC), USDT (USDT), DAI (DAI) та WETH (WETH).
