Coinbase subisce una perdita di 300.000 dollari in un attacco al bot MEV legato alla supervisione dello swapper 0xProject

Coinbase ha perso 300.000 $ in commissioni accumulate a causa di un bot MEV dopo aver interagito con lo smarttracswapper di 0xProject. Il ricercatore di sicurezza pseudonimo Deebeez lo ha rivelato su X, sottolineando che l'exchange ha utilizzato lo swapper in modo errato.

Secondo Deebeez, iltrac0xProject, che può essere utilizzato per eseguire swap, è permissionless. Ciò significa che chiunque può utilizzarlo per eseguire qualsiasi azione senza restrizioni.

Per questo motivo, non è adatto a ricevere approvazioni di token. Tuttavia, Coinbase sembra non esserne a conoscenza, poiché ha avviato le approvazioni per token di protocolli come DEXTools, Swell Network, MyOneProtocol, Amp, Data Lake, Ondo Finance e Destra Network, consentendo a un bot MEV di irrompere e prosciugare tutti i fondi una volta che l'exchange ha approvato iltrac.

Lui ha detto:

"Sembra che ci sia stato un bot MEV nascosto nell'ombra, in attesa che gli utenti approvassero per errore questotrac, per poi prosciugare tutti i loro fondi. Ebbene, il loro sogno si è avverato grazie a Coinbase."

Il ricercatore ha descritto l'dent come una lezione costosa per il team di Coinbase, un fatto che il team stesso ha riconosciuto. Philip Martin, responsabile della sicurezza di Coinbase, ha confermato l'dent , aggiungendo che si tratta di un problema isolato dovuto a modifiche a uno dei suoi portafogli DEX aziendali.

Ha aggiunto che l'dent non ha avuto ripercussioni sui fondi dei clienti, poiché il team ora "revoca le quote di token e sposta i fondi su un nuovo portafoglio aziendale"

Nel frattempo, alcuni utenti hanno sostenuto che questo avrebbe potuto essere evitato se il mempool fosse stato crittografato. Tuttavia, Deebeez ha osservato che gli attacchi sandwich non sonodentagli attacchi MEV e che la crittografia del mempool impedirà solo gli attacchi sandwich.

L'dent si aggiunge alle critiche contro Coinbase

Non sorprende che l'incidentedent un altro punto dolente per i critici di Coinbase, sebbene non abbia avuto ripercussioni sugli utenti dell'exchange. Alcuni critici hanno osservato che questo tipo di errore da parte di un importante exchange è preoccupante, soprattutto considerando che attacco informatico pochi mesi fa

Nel frattempo, secondo gli utenti di X, anche l'exchange aveva recentemente subito un periodo di inattività, con almeno due persone che hanno condiviso screenshot che mostravano l'impossibilità di accedere ai propri account Coinbase. Alcuni utenti hanno criticato l'exchange per aver aggiunto la memecoin Solana USELESS alla sua roadmap di quotazione.

Ciononostante, Coinbase rimane il principale exchange negli Stati Uniti e si colloca al nono posto a livello globale con circa il 5,8% della quota di mercato secondo CoinGecko. Questo lo pone al di sopra di Crypto.com con il 5,1%, nonostante diversi altri exchange offshore continuino a registrare volumi in crescita.

Gli analisti della sicurezzadenti rischi di componibilità

Nel frattempo, non è la prima volta che fondi vengono sottratti dal portafoglio 0x. Ad aprile, anche il contratto di rivendicazione di Zoratractractractractractractractractracun airdrop.

Poco dopo l'airdrop, un aggressore ha prosciugato l'indirizzo e ha scambiato l'allocazione con ETH per un valore di 128.000 dollari. La società di ricerca sulla sicurezza BlockAiddentl'dent come un attacco di componibilità. Secondo l'azienda, si tratta di una nuova classe di rischio on-chain in cui componentidente sicuri possono creare condizioni di vulnerabilità quando interagiscono.

Diceva:

“Un attacco di componibilità si verifica quando due o più sistemidente sicuri interagiscono in modo inaspettato, creando una condizione sfruttabile, senza richiedere alcuna vulnerabilità nei sistemi stessi.”

In questo caso, si trattava del meccanismo di richiesta dell'airdrop di Zora e deltrac0x Settler. Il meccanismo di Zora consentiva ai destinatari di richiedere i token tramite la funzione di richiesta. Non faceva distinzione tra account di proprietà esterna (EOA) etracintelligenti, purché l'indirizzo fosse idoneo.

Sebbene ciò consentisse a chiunque avesse i requisiti di reclamare l'airdrop, significava che anche l'indirizzo deltrac0x Settler poteva ricevere i token. Una volta che Zora inviò per errore il token destinato all'ecosistema 0x altrac, fu facile per chiunque capisse l'interazione reclamare i token.