Coinbase понесла убытки в размере 300 000 долларов в результате атаки бота MEV, связанной с недосмотром со стороны 0xProject swapper

Coinbase потеряла 300 000 долларов в виде накопленных комиссий из-за бота MEV после взаимодействия со смарт-tracсвоппера 0xProject. Псевдонимный исследователь безопасности deebeez сообщил об этом на X, отметив, что биржа неправильно использовала своппер.

По словам Дибиза,trac0xProject, который можно использовать для выполнения обменов, не требует разрешений. Это означает, что любой может использовать его для выполнения любого действия без ограничений.

По этой причине он не подходит для получения одобрений токенов. Однако, Coinbase об этом не знала, поскольку инициировала одобрения токенов таких протоколов, как DEXTools, Swell Network, MyOneProtocol, Amp, Data Lake, Ondo Finance и Destra Network, что позволило боту MEV быстро получить доступ и вывести все средства после одобрения контрактаtrac.

Он сказал:

«Похоже, в тени скрывался бот MEV, ожидавший, пока пользователи по ошибке подтвердят этотtrac, а затем выведут из их кармана все средства. Что ж, их мечта сбылась благодаря Coinbase»

Исследователь охарактеризовалdent как дорогостоящий урок для команды Coinbase, что команда также признала. Главный специалист по безопасности Coinbase Филип Мартин подтвердилdent , добавив, что это единичный случай, связанный с изменениями в одном из корпоративных DEX-кошельков.

Он добавил, чтоdent не затронул средства клиентов, и команда в настоящее время «отменяет выделение токенов и переводит средства на новый корпоративный кошелек»

Между тем, некоторые пользователи предположили, что этого можно было бы избежать, если бы пул памяти был зашифрован. Однако Дибиз отметил, что атаки типа «сэндвич» неdentатакам типа MEV, и шифрование пула памяти предотвратит только такие атаки.

dent усиливает критику в адрес Coinbase

Неудивительно, что этотdent стал еще одним болезненным моментом для критиков Coinbase, хотя он и не затронул пользователей биржи. Некоторые критики отметили, что подобная ошибка со стороны крупной биржи вызывает беспокойство, особенно учитывая, что несколько месяцев назад она сообщила о кибератаке , которая могла обойтись до 400 миллионов долларов.

Между тем, по сообщениям пользователей X, биржа также недавно пережила сбой в работе, и по меньшей мере два человека поделились скриншотами, показывающими, что они не могли получить доступ к своим аккаунтам Coinbase. Некоторые пользователи раскритиковали биржу за добавление мемкоина Solana в список бесполезных активов.

Тем не менее, Coinbase остается крупнейшей биржей в США и занимает девятое место в мире с долей рынка около 5,8%, согласно данным CoinGecko. Это ставит ее выше Crypto.com с 5,1%, даже несмотря на то, что несколько других офшорных бирж продолжают демонстрировать рост объемов торгов.

Аналитики безопасностиdentриски, связанные с возможностью компоновки

Между тем, это не первый случай вывода средств из кошелька 0x. В апреле контракт Zora на получениеtractractractractractractractractracв рамках аирдропа.

Вскоре после аирдропа злоумышленник опустошил адрес и обменял выделенные средства на ETH на сумму 128 000 долларов. Исследовательская компания BlockAiddentdent как атаку компонуемости. По данным компании, это новый класс внутрисетевых рисков, когдаdentзащищенные компоненты могут создавать уязвимые условия при взаимодействии.

Там было написано:

«Атака, основанная на принципе компоновки, происходит, когда две или болееdentзащищенных системы взаимодействуют неожиданным образом, создавая уязвимую ситуацию, не требуя при этом наличия каких-либо уязвимостей в самих системах»

В данном случае речь шла о механизме получения токенов через аирдроп Zora иtrac0x Settler. Механизм Zora позволял получателям получать токены через функцию получения. Он не делал различий между внешними учетными записями (EOA) и смарт-trac, если адрес соответствовал требованиям.

Хотя это позволяло любому имеющему право претендовать на получение токенов из аирдропа, это также означало, что адресtrac0x Settler мог получить токены. После того, как Зора по ошибке отправил токен, предназначенный для экосистемы 0x, наtrac, любому, кто понимал суть взаимодействия, было легко получить токены.