CoinbaseDie größte US-amerikanische Börse hat Berichten zufolge 300.000 US-Dollar an MeV-Bots verloren, nachdem die Token-Swap-Plattform von 0xProject mit der 0xProject-Swap-Plattform eine falsche Konfiguration beteiligt ist.
Am 13. August hat der pseudonyme Sicherheitsforscher DeeBeez enthüllt Diese Coinbase verwendete fälschlicherweise den 0x -Swapper, um Token zu genehmigen, eine Funktion, für die er nie konzipiert wurde.
Er bemerkte:
“0x hat einen Swapper, der nie dazu gedacht ist, genehmigt zu werden, dass dieselbe Swapper bekanntermaßen Probleme mit ZORA -Ansprüchen auf der Basis hatte, da Benutzer ihn willkürliche Anrufe tätigen können.”
Ihm zufolge erteilte diese Genehmigung einen unbegrenzten Zugang zu den Token als Gebühren im Router der Börse und schuf eine Eröffnung für die Ausbeutung.
Infolge dieses Versehens haben die MEV -Bots Coinbase’s Fee Receiver -Konto aller akkumulierten Token abgeleitet.
Er fügte hinzu:
“Es scheint einen MEV -Bot zu geben, der im Dunkeln lauerte und darauf wartete, dass Benutzer fälschlicherweise diesem Vertrag genehmigt – und dann alle ihre Mittel abtropfen lassen. Nun, ihr Traum wurde dank Coinbase wahr.”
Reaktion von Coinbase
Münzvorsteher -Sicherheitsbeauftragter Philip Martin bestätigt Der Verstoß war ein isoliertes Ereignis.
Laut Martin beruhte der Vorfall aus einer kürzlich durchgeführten Änderung eines der Unternehmensbrieftaschen des Unternehmens dezentraler Exchange (DEX), was zu nicht autorisierten Token -Transfers führte.
In der Zwischenzeit betonte er, dass der Vorfall keine Kundengüter ausgewirkt habe.
Martins fügte hinzu, dass der Austausch seitdem Token -Zulagen widerrufen und seine Beteiligung an eine neue Unternehmensbrieftasche verlagerte, um weitere Verluste zu verhindern.
Dieser Sicherheitsvorfall folgt einer insidergetriebenen Datenverletzung, die das entlarvt hat Persönliche Informationen von fast 70.000 Benutzern.
Coinbase berichtete, dass die Täter versuchte, 20 Millionen Dollar zu erpressen in Bitcoin. Sie verwendeten auch die gestohlenen Daten, um sich als Mitarbeiter des Unternehmens auszugeben Raffinierte Social Engineering -Programme, die angeblich zum Diebstahl von Millionen von Dollar führte.
Seitdem hat Coinbase bekannt, dass es seine Sicherheitsprotokolle gestärkt habe, um zukünftige Angriffe zu verhindern, und die Mitarbeiter, die in den Verstoß verwickelt sind, gekündigt habe.
