Coinbase втратила близько 300 000 доларів, коли MEV-бот швидко вивів кошти через неправильну конфігурацію контракту, пов’язану з перемикачем 0x Project. Жодні клієнтські рахунки чи кошти не постраждали. Coinbase класифікувала інцидент як ізольований.
Новий випадок порушення безпеки у сфері децентралізованих фінансів підкреслює ризики, пов’язані з протоколами схвалення токенів та стратегіями MEV (максимально вилученої вартості), які націлені на криптобіржі.
Швидке вилучення викликає занепокоєння щодо безпеки
Проблема виникла, коли маршрутизаторний контракт Coinbase, що використовується для децентралізованої торгівлі, помилково схвалив усі токени, зібрані як комісії, для контракту 0x Project. У результаті ці токени стали миттєво доступними для MEV-ботів — автоматизованих програм, які сканують блокчейн-транзакції для вигідних угод та вразливостей.
Один з оглядачів пояснив подію на X у дописі:
“Схоже, Coinbase нещодавно втратила ~300 000 доларів після неправильного використання @0xProject swapper. Вони схвалили всі токени, накопичені як комісії, для свого маршрутизатора, що були миттєво виведені MEV-ботами,” йдеться у дописі deeberiroz
Ця подія демонструє, як швидко MEV-боти можуть експлуатувати незначні помилки. Боти діяли, як тільки токени стали доступними, виводячи баланс протягом кількох хвилин. Автоматизація підвищує ефективність, але також приносить нові ризики безпеки.
Coinbase швидко відреагувала, щоб стримати інцидент. Порушення торкнулося лише коштів компанії, а не активів клієнтів, тому користувачі не зазнали жодного впливу. Однак інцидент викликав дискусії про необхідність перегляду взаємодій з децентралізованими смартконтрактами, особливо для великих бірж.
Coinbase: Кошти клієнтів не постраждали
Після порушення головний офіцер безпеки Coinbase Філіп Мартін заспокоїв спільноту. Він підтвердив, що кошти клієнтів залишаються в безпеці, і пояснив, що проблема була ізольованим випадком. Ця відповідь мала на меті зменшити занепокоєння користувачів і відновити довіру до платформи Coinbase.
“Можу підтвердити, що це ізольована проблема через зміну, яку ми зробили з одним із наших корпоративних DEX-гаманців, що призвело до несанкціонованих переказів. Жодні кошти клієнтів не постраждали. Ми відкликаємо дозволи на токени та переміщуємо кошти до нового корпоративного гаманця,” заявив Мартін.
Ця подія виділяється, оскільки багато користувачів не знають про специфічні ризики, пов’язані зі схваленням токенів та великими децентралізованими контрактами. MEV-боти часто працюють у фоновому режимі, але їх здатність виявляти та експлуатувати незначні помилки створює постійні виклики для торгових платформ.
Аналітики галузі зазначили, що з більшою кількістю бірж, які впроваджують DeFi-протоколи для ліквідності, будь-яка помилка в контракті може мати широкі наслідки. Біржам необхідно ще більше зміцнити свої процеси перевірки перед автоматизацією інтеграцій.
Підкреслені ризики безпеки DeFi
Ця атака на Coinbase є частиною ширшої тенденції. Неправильно налаштовані смартконтракти спричинили значні фінансові втрати в усій індустрії. Останні інциденти підкреслюють важливість ретельного управління контрактами для DeFi-проєктів та бірж, які їх використовують.
Для менеджерів ризиків та розробників урок очевидний: ретельно перевіряти кожне схвалення токенів та взаємодію з контрактами. Оскільки біржі змагаються за запуск нових функцій, вони повинні поєднувати інновації з ретельними перевірками безпеки.
Посилена, надійна безпека як на рівні транзакцій, так і на рівні протоколів є необхідною. Оскільки автоматизація в децентралізованих фінансах зростає, складність експлойтів, ймовірно, зростатиме, вимагаючи постійної пильності в усьому екосистемі.
