Une erreur de Coinbase déclenche un exploit de 300 000 $ via le contrat d'échange 0xProject

Une erreur de Coinbase déclenche un exploit de 300 000 $ via le contrat d'échange 0xProject
Coinbase perd 300K$ à cause d'un robot MEV

Coinbase a confirmé avoir perdu environ 300 000 dollars de frais accumulés au profit d'un robot MEV (Maximal Extractable Value) après avoir interagi par erreur avec le contrat intelligent 0xProject swapper.

Cet article a été traduit de l'original. Lisez la version originale de notre correspondant ici.

Le chercheur en sécurité "deebeez" a révélé que le contrat 0xProject est sans permission, ce qui signifie que n'importe qui peut exécuter des actions sans restrictions, ce qui le rend dangereux pour recevoir des approbations de jetons, rapporte Cryptopolitan.

Coinbase aurait initié des approbations pour les jetons de plusieurs protocoles, ce qui a permis au robot MEV de drainer les fonds immédiatement après l'approbation. Le responsable de la sécurité de la bourse, Philip Martin, a reconnu l'incident, le qualifiant de problème isolé lié à des changements dans l'un des portefeuilles DEX de Coinbase et soulignant qu'aucun fonds de client n'a été affecté.

Réactions de la communauté et des experts en sécurité

Les critiques ont qualifié l'erreur de préoccupante pour une bourse américaine de premier plan, en particulier après que Coinbase a révélé une cyberattaque distincte avec des pertes potentielles de 400 millions de dollars au début de l'année. Certains ont suggéré que des mempools cryptés pourraient aider à prévenir de tels exploits, bien que deebeez ait précisé que les attaques MEV et sandwich sont différentes et que le cryptage n'aurait pas empêché ce cas. L'événement a également relancé l'examen des récentes décisions de Coinbase en matière d'inscription, notamment l'ajout du memecoin Solana USELESS, et les pannes techniques signalées par certains utilisateurs.

Risques liés à la composabilité et incidents précédents

L'exploit met en évidence un risque de composabilité plus large dans DeFi, où des systèmes sécurisés individuellement peuvent devenir vulnérables lorsqu'ils sont combinés. Ce n'est pas le premier cas de ce type impliquant des contrats 0xProject. En avril, le contrat de revendication de Zora a accidentellement envoyé des jetons au contrat de colonisation 0x lors d'un airdrop, permettant aux attaquants de revendiquer et de vendre pour 128 000 dollars de jetons. La société de sécurité BlockAid a qualifié cet incident d'"attaque de composabilité", soulignant que l'interaction entre différents protocoles peut créer des situations exploitables même en l'absence de vulnérabilité directe dans le code.

Nous avons récemment écrit qu'en dépit d'une forte hausse de 370 % au cours des dernières 24 heures pour atteindre 88 dollars, le faux jeton Coinbase (COIN) est signalé par les analystes comme un investissement trompeur et à haut risque qui pourrait entraîner des pertes considérables pour les traders.

Ce matériel peut contenir des opinions de tiers, aucune des données et informations sur cette page web ne constitue un conseil en investissement selon notre Avertissement. Bien que nous respections une stricte Intégrité Éditoriale, ce post peut contenir des références à des produits de nos partenaires.