Coinbase sofre prejuízo de US$ 300 mil em ataque de bots MEV ligado a falha no sistema de troca de moedas 0xProject

A Coinbase perdeu US$ 300.000 em taxas acumuladas para um bot MEV após interagir com otracinteligente de troca do 0xProject. O pesquisador de segurança pseudônimo deebeez divulgou isso no X, observando que a exchange usou o contrato de troca incorretamente.

Segundo Deebeez, otrac0xProject, que pode ser usado para executar swaps, não requer permissão. Isso significa que qualquer pessoa pode usá-lo para executar qualquer ação sem restrições.

Por esse motivo, não é adequado para receber aprovações de tokens. No entanto, a Coinbase parece desconhecer isso, pois iniciou aprovações para tokens de protocolos como DEXTools, Swell Network, MyOneProtocol, Amp, Data Lake, Ondo Finance e Destra Network, permitindo que um bot MEV se infiltrasse e drenasse todos os fundos assim que a exchange aprovou otrac.

Ele disse:

"Parece que havia um bot MEV à espreita, esperando que os usuários aprovassem essetracpor engano – para então drenar todos os seus fundos. Bem, o sonho deles se tornou realidade graças à Coinbase."

O pesquisador descreveu odent como uma lição cara para a equipe da Coinbase, um fato que a própria equipe também reconheceu. O diretor de segurança da Coinbase, Philip Martin, confirmou odent , acrescentando que se trata de um problema isolado devido a alterações em uma de suas carteiras DEX corporativas.

Ele acrescentou que odent não afetou os fundos de nenhum cliente, e que a equipe está agora "revogando as permissões de tokens e transferindo os fundos para uma nova carteira corporativa"

Entretanto, alguns usuários sugeriram que isso poderia ter sido evitado se o mempool estivesse criptografado. Contudo, Deebeez observou que ataques do tipo "sanduíche" não sãodenta ataques MEV, e que criptografar o mempool apenas impedirá ataques do tipo "sanduíche".

Odent agrava as críticas contra a Coinbase

Como era de se esperar, o incidentedent mais um ponto sensível para os críticos da Coinbase, embora não tenha afetado os usuários da corretora. Alguns críticos observaram que esse tipo de erro por parte de uma grande corretora é preocupante, especialmente considerando que, há alguns meses, a empresa divulgou um ataque cibernético que poderia ter custado até US$ 400 milhões.

Entretanto, de acordo com usuários da X, a exchange também sofreu instabilidades recentemente, com pelo menos duas pessoas compartilhando capturas de tela mostrando que não conseguiam acessar suas contas da Coinbase. Alguns usuários criticaram a exchange por adicionar a memecoin Solana (USELESS) ao seu roteiro de listagem de ativos.

Apesar disso, a Coinbase continua sendo a maior corretora dos EUA e ocupa a nona posição global, com cerca de 5,8% de participação de mercado, segundo o CoinGecko. Isso a coloca acima da Crypto.com, com 5,1%, mesmo com diversas outras corretoras offshore registrando volumes crescentes.

Analistas de segurançadentriscos de composabilidade

Entretanto, esta não é a primeira vez que fundos foram drenados da carteira 0x. Em abril, o contrato de reivindicação da Zoratractractractractractractractractracmeio de um airdrop.

Logo após o airdrop, um atacante drenou o endereço e trocou a alocação por US$ 128.000 em ETH. A empresa de pesquisa de segurança BlockAiddentodent como um Ataque de Composabilidade. De acordo com a empresa, esta é uma nova classe de risco on-chain onde componentesdentseguros podem criar condições vulneráveis ​​quando interagem.

Dizia:

“Um ataque de composabilidade ocorre quando dois ou mais sistemas independentesdentseguros interagem de uma forma inesperada, criando uma condição explorável, sem exigir quaisquer vulnerabilidades nos próprios sistemas.”

Neste caso, tratava-se do mecanismo de reivindicação de airdrop da Zora e dotrac0x Settler. O mecanismo da Zora permitia que os destinatários reivindicassem tokens por meio da função de reivindicação. Ele não fazia distinção entre contas de propriedade externa (EOA) etracinteligentes, desde que o endereço fosse elegível.

Embora isso permitisse que qualquer pessoa elegível reivindicasse o airdrop, significava que o endereço dotrac0x Settler também poderia receber os tokens. Assim que Zora enviou por engano o token destinado ao ecossistema 0x para otrac, ficou fácil para qualquer pessoa que entendesse a interação reivindicar os tokens.