Coinbase因誤將資產批准給0x Project智能合約,損失了約30萬美元的代幣費用,從而讓一個最大可提取價值(MEV)機器人轉走了這些資金。
Venn Network的安全研究員Deebeez在週三的一篇帖子中指出了這一事件。他解釋道,Coinbase的公司錢包與0x的“交換機”合約進行了交互,這是一種旨在執行交換的無權限工具,但不應該接收代幣批准。
因爲任何人都可以調用該合約進行任意操作,授予批准可能會立即導致資產被盜。研究員指出,這個交換機此前在Base上就涉及Zora聲明時發生過類似問題,使惡意行爲者得以在不利用代碼漏洞的情況下提取資金。
Deebeez分享的截圖顯示,Coinbase在週三下午對包括Amp, MyOneProtocol, DEXTools和Swell Network在內的代幣進行了批准。隨後,一個MEV機器人調用交換機合約,將Coinbase費用接收賬戶中的批准代幣轉入其地址。
暗中潛伏的MEV機器人
Deebeez表示,這個提取Coinbase資金的MEV機器人一直在“暗中潛伏”,等待用戶誤批准合約從而轉走全部資金。“感謝Coinbase,他們的夢想成真了,”研究員寫道。
Coinbase首席安全官Philip Martin確認了事件,稱其爲一次“孤立事件”,與公司的某個DEX錢包的配置變更有關。
“未影響到客戶資金,”Martin表示,補充道Coinbase已撤銷代幣許可,並將剩餘資金移至一個新公司錢包。
