Coinbase-Fehler löst $300K-Exploit über 0xProject-Swapper-Vertrag aus
Coinbase hat bestätigt, dass es etwa 300.000 US-Dollar an aufgelaufenen Gebühren an einen MEV-Bot (Maximal Extractable Value) verloren hat, nachdem es fälschlicherweise mit dem 0xProject-Swapper-Smart-Contract interagiert hat.
Dieser Artikel wurde aus dem Original übersetzt. Lesen Sie die Originalversion unseres Korrespondenten hier.
Der Sicherheitsforscher "deebeez" hat aufgedeckt, dass der 0xProject-Vertrag erlaubnisfrei ist, was bedeutet, dass jeder ohne Einschränkungen Aktionen ausführen kann, was ihn für den Erhalt von Token-Genehmigungen unsicher macht, berichtet Cryptopolitan.
Coinbase hat Berichten zufolge Genehmigungen für Token mehrerer Protokolle initiiert, was es dem MEV-Bot ermöglichte, die Gelder unmittelbar nach der Genehmigung abzuziehen. Der Chief Security Officer der Börse, Philip Martin, bestätigte den Vorfall und bezeichnete ihn als isoliertes Problem, das mit Änderungen in einer der DEX-Wallets von Coinbase zusammenhängt, und betonte, dass keine Kundengelder betroffen waren.
Reaktionen der Community und von Sicherheitsexperten
Kritiker bezeichneten den Fehler als besorgniserregend für eine führende US-Börse, insbesondere nachdem Coinbase Anfang des Jahres einen separaten Cyberangriff mit potenziellen Verlusten in Höhe von 400 Millionen Dollar bekannt gegeben hatte. Einige schlugen vor, dass verschlüsselte Mempools helfen könnten, solche Angriffe zu verhindern, obwohl deebeez klarstellte, dass sich MEV- und Sandwich-Angriffe unterscheiden und eine Verschlüsselung diesen Fall nicht verhindert hätte. Das Ereignis führte auch zu einer erneuten Überprüfung der jüngsten Entscheidungen von Coinbase zur Listung, einschließlich der Hinzufügung des Solana-Memcoins USELESS, und der von einigen Nutzern gemeldeten technischen Ausfälle.
Risiken der Zusammensetzbarkeit und frühere Vorfälle
Die Sicherheitslücke wirft ein Schlaglicht auf ein breiteres Kompositionsrisiko bei DeFi, bei dem individuell sichere Systeme anfällig werden können, wenn sie kombiniert werden. Dies ist nicht der erste derartige Fall, der 0xProject-Verträge betrifft. Im April schickte der Claim-Vertrag von Zora während eines Airdrops versehentlich Token an den 0x-Settler-Vertrag, wodurch Angreifer Token im Wert von 128.000 US-Dollar einfordern und verkaufen konnten. Das Sicherheitsunternehmen BlockAid bezeichnete dies als "Composability Attack" (Kompatibilitätsangriff), was unterstreicht, wie die Interaktion zwischen verschiedenen Protokollen ausnutzbare Situationen schaffen kann, auch ohne eine direkte Schwachstelle im Code.
Kürzlich schrieben wir, dass der gefälschte Coinbase-Token (COIN) trotz eines starken Anstiegs von 370 % in den letzten 24 Stunden auf 88 US-Dollar von Analysten als hochriskante und trügerische Investition bezeichnet wird, die Händlern erhebliche Verluste bescheren könnte.
Neueste Coinbase Nachrichten
- Forex
- Crypto