Les meilleures analyses crypto directement dans votre boîte mail.
Coinbase subit une perte de 300 000 $ suite à une attaque de bots MEV liée à une négligence de l'outil d'échange de 0xProject
- Coinbase a perdu 300 000 $ après avoir autorisé l'approbation de jetons pour untracd'échange 0x.
- Bien que l'dent n'ait pas affecté les utilisateurs de Coinbase, la plateforme d'échange a tout de même fait face à des critiques.
- Les analystes de sécurité ontdentles attaques de composabilité comme une nouvelle classe de risques liés à la blockchain.
Coinbase a perdu 300 000 $ de frais accumulés suite à une interaction avec letracintelligent du swapper 0xProject. Le chercheur en sécurité pseudonyme deebeez a révélé cette information sur X, précisant que la plateforme d'échange avait utilisé le swapper de manière incorrecte.
Selon Deebeez, letrac0xProject, qui permet d'effectuer des échanges, est sans permission. Cela signifie que n'importe qui peut l'utiliser pour exécuter n'importe quelle action sans restriction.
Pour cette raison, il n'est pas adapté à l'obtention d'approbations de jetons. Cependant, Coinbase semble l'ignorer, puisqu'elle a initié des approbations pour des jetons de protocoles tels que DEXTools, Swell Network, MyOneProtocol, Amp, Data Lake, Ondo Finance et Destra Network, permettant ainsi à un bot MEV de s'emparer de tous les fonds une fois le contrat approuvé par latrac.
Il a dit:
« Il semblerait qu'un bot MEV ait rôdé dans l'ombre, attendant qu'un utilisateur approuve par erreur cetrac, puis qu'il vide leurs comptes. Eh bien, son rêve est devenu réalité grâce à Coinbase. »
Le chercheur a décrit cetdent comme une leçon coûteuse pour l'équipe de Coinbase, ce que cette dernière a d'ailleurs reconnu. Philip Martin, responsable de la sécurité chez Coinbase, a confirmé l'dent , tout en précisant qu'il s'agissait d'un problème isolé dû à des modifications apportées à l'un de ses portefeuilles DEX d'entreprise.
Il a ajouté que l'dent n'avait pas affecté les fonds des clients, l'équipe étant en train de «révoquer les autorisations de jetons et de transférer les fonds vers un nouveau portefeuille d'entreprise»
Par ailleurs, certains utilisateurs ont suggéré que cela aurait pu être évité si la mémoire tampon avait été chiffrée. Cependant, Deebeez a fait remarquer que les attaques par sandwich ne sont pasdentaux attaques MEV, et que le chiffrement de la mémoire tampon ne permet d'empêcher que les attaques par sandwich.
Incident s'ajoute aux critiques formulées à l'encontre de Coinbase
Sans surprise, cet incidentdent un nouveau point sensible pour les détracteurs de Coinbase, même s'il n'a pas affecté les utilisateurs de la plateforme. Certains critiques ont souligné qu'une telle erreur de la part d'une plateforme d'échange majeure est préoccupante, d'autant plus que celle-ci avait révélé, il y a quelques mois, une cyberattaque dont les conséquences financières auraient pu atteindre 400 millions de dollars.
Par ailleurs, selon des utilisateurs de X, la plateforme a également connu des interruptions de service récemment. Au moins deux personnes ont partagé des captures d'écran montrant qu'elles ne pouvaient pas accéder à leurs comptes Coinbase. Certains utilisateurs ont critiqué la plateforme pour avoir ajouté le memecoin Solana , jugé inutile, à sa liste d'actifs à lister.
Néanmoins, Coinbase demeure la plus importante plateforme d'échange aux États-Unis et se classe neuvième au niveau mondial avec environ 5,8 % de parts de marché selon CoinGecko. Elle devance ainsi Crypto.com (5,1 %), même si plusieurs autres plateformes offshore enregistrent une croissance de leurs volumes d'échange.
Les analystes de sécuritédentles risques de composabilité
Par ailleurs, ce n'est pas la première fois que des fonds sont retirés du portefeuille 0x. En avril, le contrat de réclamation de Zoratractractractractractractractractracle biais d'un airdrop.
Peu après le largage, un attaquant a vidé l'adresse et échangé l'allocation contre 128 000 $ d'ETH. La société de recherche en sécurité BlockAid adentl'dent comme une attaque de composabilité. Selon elle, il s'agit d'une nouvelle catégorie de risque sur la blockchain où des composants sécurisésdentpeuvent créer des vulnérabilités lorsqu'ils interagissent.
Il était écrit :
« Une attaque de composabilité se produit lorsque deux ou plusieurs systèmes sécurisésdentinteragissent d'une manière inattendue qui crée une condition exploitable, sans nécessiter de vulnérabilités dans les systèmes eux-mêmes. »
Dans ce cas précis, il s'agissait du mécanisme de distribution de jetons Zora et dutrac0x Settler. Le mécanisme Zora permettait aux bénéficiaires de réclamer des jetons via la fonction de réclamation. Il ne faisait aucune distinction entre les comptes externes (EOA) et lestracintelligents, pourvu que l'adresse soit éligible.
Bien que cela ait permis à toute personne éligible de réclamer le largage aérien, cela signifiait également que l'adresse dutrac0x Settler pouvait recevoir les jetons. Une fois que Zora a envoyé par erreur le jeton destiné à l'écosystème 0x à cetrac, il était facile pour quiconque comprenait l'interaction de s'emparer des jetons.
Les plus grands experts en cryptomonnaies lisent déjà notre newsletter. Envie d'en faire partie ? Rejoignez-les!
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustrondentdentdentdentdentdentdentdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
LES
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)