Coinbase, varlıkları yanlışlıkla 0x Project akıllı kontratına onayladıktan sonra, bir maksimum çıkarılabilir değer (MEV) botunun fonları boşaltmasına izin vererek yaklaşık 300.000 dolarlık token ücretini kaybetti.
Venn Network’te güvenlik araştırmacısı olan Deebeez, olayı çarşamba günü X’teki bir gönderisinde bildirdi. Coinbase’in kurumsal cüzdanının, takasları yürütmek için tasarlanmış ancak token onayları almak için tasarlanmamış izinsiz bir araç olan 0x’in “swapper” kontratıyla etkileşime girdiğini söyledi.
Herkes sözleşmeyi çağırarak keyfi işlemler gerçekleştirebildiğinden, onay vermek varlıkların anında çalınmasına yol açabilir. Araştırmacı, “Bu aynı swapper’ın, Base’teki Zora taleplerinde sorun yaşadığı biliniyor” diye yazdı ve bu kurulumun, kod açıklarını istismar etmeden kötü niyetli kişilerin fonları çekmesine imkan tanıdığı geçmiş vakalara bağlantı verdi.
Deebeez tarafından paylaşılan ekran görüntüleri, Coinbase’in çarşamba öğleden sonra Amp, MyOneProtocol, DEXTools ve Swell Network dahil tokenler için onay verdiğini gösterdi. Kısa bir süre sonra, bir MEV botu, onaylanan tokenleri Coinbase’in ücret alıcı hesabından kendi adreslerine aktarmak için swapper kontratını çağırdı.
Karanlıkta pusuda bekleyen MEV botu
Deebeez, Coinbase’den fonları boşaltan MEV botunun “karanlıkta pusuda beklediğini” ve kullanıcıların yanlışlıkla kontratı onaylamasını beklediğini söyledi. Araştırmacı, “Hayalleri Coinbase sayesinde gerçekleşti” diye yazdı.
Araştırmacı, Coinbase ücret alıcı hesabındaki tüm tokenleri boşaltan olayın ekip için “pahalı bir ders” olduğunu ekledi.
Coinbase güvenlik direktörü Philip Martin, olayı doğrulayarak bunun borsanın kurumsal DEX cüzdanlarından birindeki yapılandırma değişikliğine bağlı “tekil bir sorun” olduğunu söyledi.
Martin, “Hiçbir müşteri fonu etkilenmedi” dedi ve Coinbase’in token izinlerini iptal edip kalan fonları yeni bir kurumsal cüzdana taşıdığını ekledi.
MEV bot istismarı 180.000 dolarlık Ether’e mal oldu
Nisan ayında bir MEV botu, bir saldırganın erişim kontrol sistemindeki bir güvenlik açığını istismar etmesi sonucu 180.000 dolarlık Ether’ini (ETH) kaybetti. Saldırganın, aynı işlem içinde oluşturulan kötü niyetli bir havuz aracılığıyla botun ETH’sini değersiz bir token ile takas ettiği bildirildi.
Benzer bir olayda, 2023’te kötü niyetli bir doğrulayıcı, “sandviç işlemler” yapmaya çalışan MEV botlarını istismar ederek WBTC (WBTC), USDC (USDC), USDt (USDT), DAI (DAI) ve WETH (WETH) dahil olmak üzere 25 milyon dolarlık dijital varlık çaldı.