تكبدت منصة Coinbase خسارة قدرها 300 ألف دولار أمريكي جراء هجوم بوت MEV مرتبط بخلل في برنامج تبديل العملات 0xProject

خسرت منصة Coinbase مبلغ 300 ألف دولار أمريكي من الرسوم المتراكمة بسبب روبوت MEV بعد تفاعله معtracالذكي 0xProject. وقد كشف الباحث الأمني ​​المجهول deebeez عن ذلك على منصة X، مشيرًا إلى أن المنصة استخدمت أداة التبديل بشكل خاطئ.

بحسب ديبيز، فإنtrac0xProject، الذي يُستخدم لتنفيذ عمليات التبديل، لا يتطلب أي أذونات. وهذا يعني أن أي شخص يمكنه استخدامه لتنفيذ أي إجراء دون قيود.

لهذا السبب، لا يُعدّ مناسبًا لتلقّي الموافقات على الرموز. مع ذلك، منصة Coinbase لم تكن على دراية بذلك، إذ بدأت بالموافقة على رموز بروتوكولات مثل DEXTools وSwell Network وMyOneProtocol وAmp وData Lake وOndo Finance وDestra Network، مما سمح لروبوت MEV بالانقضاض وسحب جميع الأموال بمجرد موافقة المنصة علىtrac.

قال ​:

يبدو أن هناك برنامجًا آليًا (بوت) لـ MEV كان يتربص في الخفاء، ينتظر المستخدمين ليوافقوا عن طريق الخطأ على هذاtrac، ثم يسحب كل أموالهم. حسنًا، لقد تحقق حلمهم بفضل منصة Coinbase

وصف الباحثdent بأنها درسٌ مكلفٌ لفريق Coinbase، وهو ما أقرّ به الفريق نفسه. وأكد فيليب مارتن، كبير مسؤولي الأمن في Coinbase، وقوعdent ، مضيفًا أنها مشكلة معزولة ناتجة عن تغييرات في إحدى محافظ التداول اللامركزية الخاصة بالشركة.

وأضاف أنdent لم يؤثر على أموال أي عميل، حيث يقوم الفريق الآن "بإلغاء مخصصات الرموز ونقل الأموال إلى محفظة الشركة الجديدة"

في غضون ذلك، أوصى بعض المستخدمين بأنه كان من الممكن منع ذلك لو تم تشفير ذاكرة التخزين المؤقت. ومع ذلك، أشار ديبيز إلى أن هجمات الساندويتش لاdentهجمات MEV، وأن تشفير ذاكرة التخزين المؤقت سيمنع هجمات الساندويتش فقط.

يُضيف هذاdent مزيدًا من الانتقادات الموجهة إلى منصة Coinbase

ليس من المستغرب أن يمثل هذا الحادثdent خلاف أخرى بالنسبة لمنتقدي منصة Coinbase، على الرغم من أنه لم يؤثر على مستخدمي المنصة. وأشار بعض المنتقدين إلى أن هذا النوع من الأخطاء من منصة تداول رئيسية أمرٌ مثير للقلق، لا سيما بعد أن كشفت المنصة هجوم إلكتروني قبل بضعة أشهر عن

في غضون ذلك، أفاد مستخدمو منصة X بأن المنصة شهدت مؤخرًا انقطاعًا في الخدمة، حيث شارك شخصان على الأقل لقطات شاشة تُظهر عدم تمكنهما من الوصول إلى حساباتهما على Coinbase. وانتقد بعض المستخدمين المنصة لإضافة عملة Solana memecoin عديمة الفائدة إلى خطة إدراج الأصول.

مع ذلك، منصة Coinbase أكبر منصة تداول في الولايات المتحدة، وتحتل المرتبة التاسعة عالميًا بحصة سوقية تبلغ حوالي 5.8% وفقًا لبيانات CoinGecko. وهذا يضعها في مرتبة أعلى من منصة Crypto.com التي تبلغ حصتها 5.1%، على الرغم من استمرار العديد من منصات التداول الخارجية الأخرى في تسجيل أحجام تداول أكبر.

dentمحللو الأمن بتحديد مخاطر قابلية التركيب

في غضون ذلك، ليست هذه المرة الأولى التي تُسحب فيها الأموال من محفظة 0x. ففي أبريل،tractractractractractractractractracعملية إنزال جوي.

بعد وقت قصير من عملية الإنزال الجوي، قام مهاجم بسحب جميع العملات من العنوان المخصص واستبدلها بما قيمته 128,000 دولار أمريكي من عملة إيثيريوم.dentشركة الأبحاث الأمنية BlockAiddent على أنها هجوم قابلية التركيب. ووفقًا للشركة، يُعد هذا نوعًا جديدًا من المخاطر على سلسلة الكتل، حيث يمكن للمكونات الآمنةdentأن تُنشئ بيئات هشة عند تفاعلها.

وجاء فيه:

"يحدث هجوم قابلية التركيب عندما يتفاعل نظامان أو أكثر من الأنظمة الآمنةdentبطريقة غير متوقعة تخلق حالة قابلة للاستغلال، دون الحاجة إلى أي ثغرات أمنية في الأنظمة نفسها."

في هذه الحالة، كان الأمر يتعلق بآلية المطالبة برموز زورا المجانيةtrac0x Settler. سمحت آلية زورا للمستلمين بالمطالبة بالرموز من خلال وظيفة المطالبة. ولم تُميّز بين الحسابات المملوكة خارجيًاtracالذكية طالما كان العنوان مؤهلًا.

مع أن هذا سمح لأي شخص مؤهل بالمطالبة بالتوزيع المجاني، إلا أنه يعني أيضاً أن عنوانtracمستوطن 0x يمكنه الحصول على الرموز. وبمجرد أن أرسلت زورا عن طريق الخطأ الرمز المخصص لنظام 0x البيئي إلىtrac، أصبح من السهل على أي شخص يفهم آلية التفاعل المطالبة بالرموز.