Coinbase sufre una pérdida de 300.000 dólares en un ataque de bot MEV relacionado con un descuido del intercambiador de 0xProject

Coinbase perdió $300,000 en comisiones acumuladas debido a un bot MEV tras interactuar con eltracinteligente de intercambio de 0xProject. El investigador de seguridad seudónimo deebeez reveló esto en X, señalando que la plataforma de intercambio utilizó el intercambio incorrectamente.

Según Deebeez, eltrac0xProject, que permite ejecutar intercambios, no requiere permisos. Esto significa que cualquiera puede usarlo para ejecutar cualquier acción sin restricciones.

Por esta razón, no es apto para recibir aprobaciones de tokens. Sin embargo, Coinbase parece no haberlo sabido, ya que inició aprobaciones de tokens de protocolos como DEXTools, Swell Network, MyOneProtocol, Amp, Data Lake, Ondo Finance y Destra Network, lo que permitió que un bot de MEV se abalanzara y se llevara todos los fondos una vez que el exchange aprobara eltrac.

Él dijo:

Parece que había un bot MEV acechando en la oscuridad, esperando que los usuarios aprobaran estetracpor error y luego les quitaran todos sus fondos. Pues bien, su sueño se hizo realidad gracias a Coinbase

El investigador describió eldent como una costosa lección para el equipo de Coinbase, hecho que el propio equipo también ha reconocido. El director de seguridad de Coinbase, Philip Martin, confirmó eldent y añadió que se trata de un problema aislado debido a cambios en una de sus billeteras DEX corporativas.

Agregó que eldent no afectó los fondos de ningún cliente y que el equipo ahora está "revocando las asignaciones de tokens y moviendo los fondos a una nueva billetera corporativa"

Mientras tanto, algunos usuarios recomendaron que esto podría haberse evitado si el mempool se hubiera cifrado. Sin embargo, Deebeez señaló que los ataques sándwich no sondenta los ataques MEV, y cifrar el mempool solo previene los ataques sándwich.

Eldent se suma a las críticas contra Coinbase

Como era de esperar, el incidentedent otro punto delicado para los críticos de Coinbase, aunque no afectó a los usuarios de la plataforma. Algunos críticos señalaron que este tipo de error por parte de una importante plataforma es preocupante, especialmente considerando que hace unos meses reveló un ciberataque que podría costar hasta $400 millones.

Mientras tanto, según usuarios de X, el exchange también sufrió una caída recientemente, y al menos dos personas compartieron capturas de pantalla que mostraban que no podían acceder a sus cuentas de Coinbase. Algunos usuarios han criticado al exchange por añadir la memecoin Solana a su hoja de ruta de listado de activos.

Sin embargo, Coinbase sigue siendo la plataforma de intercambio más grande de EE. UU. y ocupa el noveno lugar a nivel mundial con aproximadamente el 5,8 % de la cuota de mercado, según CoinGecko. Esto la sitúa por encima de Crypto.com con un 5,1 %, a pesar de que otras plataformas de intercambio extranjeras siguen registrando un mayor volumen.

Los analistas de seguridaddentlos riesgos de componibilidad

Mientras tanto, esta no es la primera vez que se han vaciado fondos de la billetera 0x. En abril, el contrato de reclamación de Zoratractractractractractractractractractravés de un airdrop.

Poco después del airdrop, un atacante drenó la dirección e intercambió la asignación por 128.000 dólares en ETH. La firma de investigación de seguridad BlockAiddenteldent como un ataque de componibilidad. Según la firma, se trata de una nueva clase de riesgo en cadena en la que componentes segurosdentpueden crear condiciones vulnerables al interactuar.

Decía:

“Un ataque de componibilidad ocurre cuando dos o más sistemas segurosdentinteractúan de una manera inesperada que crea una condición explotable, sin requerir ninguna vulnerabilidad en los propios sistemas”

En este caso, se trató del mecanismo de reclamo de Zora mediante airdrop y eltrac0x Settler. El mecanismo de Zora permitía a los destinatarios reclamar tokens a través de la función de reclamo. No hacía distinción entre cuentas de propiedad externa (EOA) ytracinteligentes, siempre que la dirección fuera elegible.

Si bien esto permitió que cualquiera elegible reclamara el airdrop, significó que la dirección deltrac0x Settler también podía obtener los tokens. Una vez que Zora envió por error el token destinado al ecosistema 0x altrac, fue fácil para cualquiera que comprendiera la interacción reclamarlos.