Coinbase因错误授权资产至0x Project智能合约,导致价值约30万美元的代币手续费被MEV机器人套利。
区块链安全研究员Deebeez周三在X平台披露了这一事件细节。根据分析,Coinbase公司钱包与0x协议的”swapper”合约发生交互,这个原本设计用于无许可代币兑换的工具,却被错误地用于代币授权操作。
“该合约允许任何人执行任意操作,错误的授权会立即暴露资产风险,”Deebeez强调,并指出这个swapper合约此前在Base链的Zora申领中就出现过类似问题。研究员同时提供了此前利用该机制无需攻击合约漏洞即可盗取资金的案例证据。
交易记录显示,Coinbase在周三下午为Amp、MyOneProtocol等代币进行了错误授权。随后一台MEV机器人迅速调用swapper合约,将Coinbase手续费账户中的授权代币全部转移。
Coinbase因合约授权失误损失30万美元(来源:Deebeez)
MEV机器人的潜伏攻击
Deebeez透露,实施攻击的MEV机器人长期处于”潜伏状态”,专门监控并利用用户的合约授权失误。”Coinbase的这次失误正中其下怀,”研究员评论道。
此次事件导致Coinbase手续费账户被清空,被研究员称为”代价高昂的安全课”。Coinbase首席安全官Philip Martin确认此事源于DEX钱包配置变更导致的”孤立问题”。
Martin强调:”所有客户资金均未受影响”,并说明公司已及时撤销错误授权,将剩余资产转移至新钱包。
MEV安全事件频发
今年4月,一起MEV机器人漏洞事件造成18万美元ETH损失。攻击者通过创建恶意资金池,在同一交易中将机器人ETH兑换为无价值代币。
2023年更发生重大安全事件,恶意验证者利用MEV机器人”三明治攻击”漏洞,窃取了包括WBTC、USDC等价值2500万美元的加密资产。这些事件凸显了DeFi领域MEV机制的安全隐患。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/32168.html
