Coinbase потеряла около $300 000 из-за ошибки в настройках корпоративного кошелька при взаимодействии с обменным контрактом децентрализованной платформы 0x.
Сообщает эксперт безопасности из Venn Network под ником deeberiroz, кошелек криптобиржи выдал разрешения на перевод токенов контракту, который не должен был их получать.
Контракт 0x можно вызывать без ограничений, что делает его удобной целью для MEV-ботов, отслеживающих ошибки в операциях. После выдачи разрешений криптотокены Amp, MyOneProtocol, DEXTools и Swell Network были выведены со счета Coinbase, предназначенного для начисления комиссий.
Директор по безопасности компании Филип Мартин подтверждает случившееся, объяснив это изменением конфигурации корпоративного криптокошелька. Он отметил, что средства клиентов в безопасности, а ситуация является единичным случаем.
Похожие схемы уже использовались злоумышленниками, в том числе во время аирдропа Zora в сети Base, когда боты выводили токены, пользуясь ошибками пользователей.
Coinbase отозвала разрешения на уязвимые токены и перевела активы на новый корпоративный криптокошелек, дабы исключить повторение кибератаки.
Эксперты считают, что данная ситуация вновь показала риски автоматического взаимодействия со смарт-контрактами и уязвимость DeFi-сервисов к действиям MEV-ботов.
Источник
Уникальность
