全球最大加密貨幣交易所之一 Coinbase,近期因企業錢包的設定疏失,意外將代幣授權給去中心化交易協議 0x Project 的「swapper」合約,結果被潛伏已久的 MEV 機器人立刻鎖定並執行轉移,導致約 30 萬美元代幣的資金損失。
失誤開端:Swapper 合約授權風波
事情源於 Coinbase 與去中心化交易協議 0x Project 的互動,該協議提供一個名為 「swapper」 的智能合約,屬於無需特定權限(permissionless)類型,任何人都能呼叫。
簡單來說,這個 permissionless 合約原本設計只是用來執行代幣交換,並不應該接收長期的代幣授權(token approvals),因為這會賦予合約持有與轉移資金的能力,帶來安全風險。
圖源:X/@deeberiroz
根據 Venn Network 安全研究員 deeberiroz 披露,Coinbase 在近期某次操作中,錯誤地向該合約授權了多種代幣,包括 Amp、MyOneProtocol、DEXTools 與 Swell Network。由於該合約任何人都能呼叫操作,該授權相當於公開丟出一串寶庫鑰匙。
Coinbase 一時疏忽,MEV 機器人捕獵成功
此時,MEV 機器人早已潛伏多時,等待高價值錢包出現錯誤授權的機會。當 Coinbase 的授權交易被打包上鏈,機器人便立即呼叫 swapper 合約,將授權的代幣直接轉入自身地址。
由於這一切是自動化執行,整個過程幾乎在瞬間完成,Coinbase 根本沒有時間撤銷授權或阻止轉移。
正如 deeberiroz 形容:「他們一直在等有人犯錯,一旦發生就會立刻把錢搬走。Coinbase 的這次失誤,讓他們賺得盆滿缽滿。」
作為區塊鏈世界最惡名昭彰的存在,MEV 機器人能監控交易池(mempool)中的所有交易,並透過搶跑交易(front-running)或重排(reordering)的方式,最大化自身利益。
Coinbase 緊急止血:用戶資金無虞
Coinbase 資安長 Philip Martin 隨後在 X 平臺回應,表示這是他們在變更某企業錢包時的單一事件,該錢包僅用於累積手續費收入,並沒有任何客戶資金受到影響。
目前,公司已經立刻採取補救措施,包括撤(revoke)所有錯誤授權,並將資金轉移至新的企業錢包,以避免同樣情況再次發生。
雖然對 Coinbase 來說,30 萬美元可以說是微不足道,但這起事件仍是一次代價不小的警示,凸顯規模再大的交易所,仍需要進行幾堂資安講習。
警訊:定期取消不必要授權
這起事件反映了加密資產安全的一個關鍵脆弱點:「代幣授權管理」。在鏈上世界,任何一次錯誤的授權,都可能讓對方在合約允許的範圍內,完全掌控用戶資產。更因為鏈上行為是公開透明且不可逆的,資金幾乎不可能追回。
此事也為個人用戶帶來警訊:「定期檢查並撤銷不再需要的授權,是鏈上資安防護的基本動作。」實用工具如授權撤銷網站 Revoke 等,都能幫助用戶及時清理潛在風險。
本文經授權轉載自:(鏈新聞)
原文標題:(Coinbase 誤授權惹禍:MEV 機器人趁虛而入,30 萬美元瞬間蒸發)
原文作者:Crumax
『Coinbase誤授權惹禍!MEV機器人趁虛而入,30萬美元瞬間蒸發』這篇文章最早發佈於『加密城市』
