Coinbase erleidet durch einen MEV-Bot-Angriff im Zusammenhang mit einem Versäumnis der 0xProject-Tauschplattform einen Verlust von 300.000 US-Dollar

Coinbase hat durch die Interaktion mit dem 0xProject-Swapper-Smart-trac300.000 US-Dollar an aufgelaufenen Gebühren an einen MEV-Bot verloren. Der pseudonyme Sicherheitsforscher deebeez gab dies auf X bekannt und merkte an, dass die Börse den Swapper falsch verwendet habe.

Laut Deebeez ist der 0xProject-trac, der zum Ausführen von Swaps verwendet werden kann, erlaubnisfrei. Das bedeutet, dass jeder ihn uneingeschränkt für beliebige Aktionen nutzen kann.

Aus diesem Grund ist es für die Genehmigung von Token ungeeignet. Coinbase durch die Börse alle Gelder abziehentrac.

Er sagte:

„Offenbar lauerte ein MEV-Bot im Verborgenen und wartete darauf, dass Nutzer diesemtracirrtümlich zustimmen – um dann ihr gesamtes Guthaben abzuschöpfen. Dank Coinbase ist sein Traum wahr geworden.“

Der Forscher bezeichnete dendent als teure Lektion für das Coinbase-Team, was das Team selbst auch bestätigte. Coinbase-Sicherheitschef Philip Martin bestätigte dendent und fügte hinzu, dass es sich um ein Einzelfallproblem handele, das durch Änderungen an einer der firmeneigenen DEX-Wallets verursacht wurde.

Er fügte hinzu, dass derdent keine Kundengelder beeinträchtigt habe und das Team nun „die Token-Gutschriften widerrufe und die Gelder in eine neue Firmen-Wallet übertrage“

Einige Nutzer meinten, dies hätte verhindert werden können, wenn der Mempool verschlüsselt gewesen wäre. Deebeez merkte jedoch an, dass Sandwich-Angriffe nicht mit MEV-Angriffendentseien und die Verschlüsselung des Mempools lediglich Sandwich-Angriffe verhindern würde.

Derdent verstärkt die Kritik an Coinbase

Wenig überraschend stellt der Vorfalldent weiteren Kritikpunkt an Coinbase dar, obwohl er die Nutzer der Börse nicht betraf. Einige Kritiker merkten an, dass ein solcher Fehler einer großen Börse besorgniserregend sei, insbesondere angesichts der Tatsache, dass das Unternehmen erst vor wenigen Monaten einen Cyberangriff mit einem potenziellen Schaden von bis zu 400 Millionen US-Dollar bekannt gegeben hatte.

Unterdessen berichteten Nutzer von X, dass die Börse kürzlich ebenfalls Ausfallzeiten hatte. Mindestens zwei Personen teilten Screenshots, die zeigten, dass sie nicht auf ihre Coinbase-Konten zugreifen konnten. Einige Nutzer kritisierten die Börse dafür, dass sie den Memecoin Solana USELESS in ihre Roadmap für die Auflistung von Vermögenswerten aufgenommen hatte.

Dennoch Coinbase die größte Börse in den USA und belegt laut CoinGecko mit einem Marktanteil von rund 5,8 % weltweit den neunten Platz. Damit liegt sie vor Crypto.com mit 5,1 %, obwohl mehrere andere Offshore-Börsen weiterhin ein höheres Handelsvolumen verzeichnen.

SicherheitsanalystendentKompositionsrisiken

Dies ist nicht das erste Mal, dass Gelder aus der 0x-Wallet abgezogen wurden. Im April war auch der Anspruchsvertrag von Zora betroffen,tractractractractractractractractracim Rahmen eines Airdrops.

Kurz nach dem Airdrop plünderte ein Angreifer die Adresse und tauschte die Zuteilung gegen ETH im Wert von 128.000 US-Dollar. Das Sicherheitsforschungsunternehmen BlockAiddentdendent als Kompositionsangriff. Laut BlockAid handelt es sich dabei um eine neue Art von On-Chain-Risiko, bei demdentvoneinander sichere Komponenten durch ihre Interaktion angreifbare Zustände erzeugen können.

Es hieß:

„Ein Kompositionsangriff liegt vor, wenn zwei oder mehr unabhängigdentsichere Systeme auf unerwartete Weise interagieren und dadurch eine ausnutzbare Situation schaffen, ohne dass dafür Schwachstellen in den Systemen selbst erforderlich sind.“

In diesem Fall handelte es sich um den Zora-Airdrop-Anspruchsmechanismus und den 0x-Settler-trac. Der Zora-Mechanismus ermöglichte es Empfängern, Token über die Anspruchsfunktion anzufordern. Er unterschied nicht zwischen extern verwalteten Konten (EOA) und Smarttrac, solange die Adresse berechtigt war.

Dies ermöglichte zwar jedem Berechtigten den Airdrop, bedeutete aber auch, dass die 0x Settler-tracdie Token erhalten konnte. Nachdem Zora versehentlich die für das 0x-Ökosystem bestimmten Token an dentracgesendet hatte, konnte jeder, der die Interaktion verstand, die Token problemlos beanspruchen.