Coinbase、0xProject スワッパー監視に関連した MEV ボット攻撃で 30 万ドルの損失を被る

Coinbaseは、0xProjectのスワッパースマートtracを操作した後、MEVボットに30万ドルの累積手数料を支払って損失を被りました。匿名のセキュリティ研究者deebeez氏がXでこの事実を明らかにし、同取引所がスワッパーを不適切に使用していたと指摘しました。.

Deebeez氏によると、スワップの実行に使用できる0xProjectのtracはパーミッションレスです。つまり、誰でも制限なくあらゆるアクションを実行できるということです。.

このため、トークン承認を受けるには適していません。しかし、 Coinbaseは を開始し、取引所が契約を承認するとMEVボットが侵入して資金をすべて流出させることができましたtrac。

彼は こう言った。

「どうやらMEVボットが暗闇に潜んでいて、ユーザーが誤ってこのtracを承認し、資金をすべて流出させるのを待っていたようです。Coinbaseのおかげで、彼らの夢は実現しました。」

研究者は、このdent Coinbaseチームにとって高くついた教訓になったと述べており、チーム自身もその事実を認めている。Coinbaseの最高セキュリティ責任者であるフィリップ・マーティン氏は、このdent 存在を認めつつも、これは同社のDEXウォレットの1つに変更が加えられたことによる単発的な問題だと付け加えた。.

同氏は、このdent 顧客の資金には影響しておらず、チームは現在「トークンの許容量を取り消し、資金を新しい企業ウォレットに移動している」と付け加えた。

一方、一部のユーザーは、メモリプールが暗号化されていればこれを防げたはずだと主張しました。しかし、Deebeez氏は、サンドイッチ攻撃はMEV攻撃とdentではなく、メモリプールを暗号化してもサンドイッチ攻撃しか防げないと指摘しました。.

このdent はコインベースに対する批判をさらに強める

当然のことながら、この事件dent Coinbase批判者にとって新たな痛手となりましたが、取引所のユーザーには影響がありませんでした。一部の批評家は、大手取引所がこのようなミスを犯したことは懸念すべきことだと指摘し、特に サイバー攻撃 数ヶ月前に最大4億ドルの損害をもたらす可能性のある

一方、Xのユーザーによると、同取引所も最近ダウンタイムを経験しており、少なくとも2人がCoinbaseアカウントにアクセスできないことを示すスクリーンショットを共有しているという。一部のユーザーからは、 Solana ミームコインを資産上場ロードマップに追加したことが無駄だと批判する声も上がっている。.

それでも、 Coinbaseは 依然として米国最大の取引所であり、市場シェア約5.8%で世界第9位にランクされています。これは、他のいくつかの海外取引所の取引量が引き続き増加しているにもかかわらず、Coinbaseの取引量はCrypto.comの5.1%を上回っています。

セキュリティアナリストはコンポーザビリティリスクdent

一方、0xウォレットから資金が流出したのは今回が初めてではない。4月には、Zoraがtractractractractractractractractracを通じて エアドロップ。

エアドロップ直後、攻撃者がアドレスを空にし、割り当てを12万8000ドル相当のETHと交換しました。セキュリティ調査会社BlockAidは、このdent コンポーザビリティ攻撃とdentしました。同社によると、これはオンチェーンリスクの新しい種類であり、dentて安全なコンポーネントが相互作用することで脆弱な状態を生み出す可能性があるとのことです。.

それはこう言った。

「コンポーザビリティ攻撃は、2 つ以上の独立しdent安全なシステムが予期しない方法で相互作用し、システム自体に脆弱性がなくても、悪用可能な状態を生み出す場合に発生します。」

この場合、Zoraのエアドロップ請求メカニズムと0x Settlertracが該当しました。Zoraのメカニズムでは、受信者は請求機能を通じてトークンを請求できました。アドレスが適格である限り、外部所有アカウント（EOA）とスマートtracを区別しませんでした。.

これにより、資格のある人なら誰でもエアドロップを請求できるようになりましたが、0x Settlerのtracアドレスでもトークンを受け取ることができるようになりました。Zoraが誤って0xエコシステム向けのトークンをtracに送信したため、やり取りを理解している人なら誰でも簡単にトークンを請求できました。.