Coinbase ซึ่งเป็นตลาดซื้อขายแลกเปลี่ยนที่ใหญ่ที่สุดในสหรัฐอเมริกา รายงานว่าสูญเสียเงิน 300,000 ดอลลาร์สหรัฐให้กับบอท MEV หลังจากการตั้งค่าที่ไม่ถูกต้องซึ่งเกี่ยวข้องกับแพลตฟอร์มการแลกเปลี่ยนโทเค็นของ 0xProject เมื่อวันที่ 13 สิงหาคม นักวิจัยด้านความปลอดภัยที่ไม่เปิดเผยตัวตน Deebeez เปิดเผยว่า Coinbase ใช้ตัวแลกเปลี่ยนของ 0x เพื่ออนุมัติโทเค็นโดยไม่ได้ตั้งใจ ซึ่งเป็นฟังก์ชันที่ไม่เคยถูกออกแบบมาเพื่อสิ่งนั้น เขาตั้งข้อสังเกตว่า: “0x มีตัวแลกเปลี่ยนที่ไม่ควรได้รับการอนุมัติ ตัวแลกเปลี่ยนนี้เป็นที่ทราบกันดีว่ามีปัญหากับการเคลม Zora บน Base เนื่องจากอนุญาตให้ผู้ใช้ทำการเรียกโดยพลการได้” ตามที่เขาบอก การอนุมัตินี้ให้สิทธิ์การเข้าถึงโทเค็นที่สะสมเป็นค่าธรรมเนียมในเราเตอร์ของตลาดซื้อขายแลกเปลี่ยนอย่างไม่จำกัด สร้างช่องทางให้ถูกแสวงหาผลประโยชน์
บอท MEV ดูดเงินจาก Coinbase (ที่มา: X/Deebeez)
จากความผิดพลาดนี้ บอท MEV ได้ดูดโทเค็นที่สะสมทั้งหมดออกจากบัญชีผู้รับค่าธรรมเนียมของ Coinbase เขาเสริมว่า: “ดูเหมือนว่าจะมีบอท MEV แอบซุ่มซ่อนอยู่ในความมืด รอให้ผู้ใช้เผลออนุมัติสัญญาฉบับนี้ และจากนั้นก็ดูดเงินทั้งหมดของพวกเขาไป ความฝันของพวกเขากลายเป็นจริงได้ด้วย Coinbase”
การตอบสนองของ Coinbase
Philip Martin ประธานเจ้าหน้าที่ฝ่ายรักษาความปลอดภัยของ Coinbase ยืนยันว่าการละเมิดนี้เป็นเหตุการณ์ที่เกิดขึ้นเฉพาะ เขาอธิบายว่าเหตุการณ์ดังกล่าวมีสาเหตุมาจากการเปลี่ยนแปลงล่าสุดในกระเป๋าเงินดิจิทัลแบบกระจายอำนาจ (DEX) ของบริษัท ซึ่งนำไปสู่การโอนโทเค็นโดยไม่ได้รับอนุญาต ในขณะเดียวกัน เขาย้ำว่าเหตุการณ์นี้ไม่ได้ส่งผลกระทบต่อทรัพย์สินของลูกค้า Martin กล่าวเพิ่มเติมว่าตลาดซื้อขายแลกเปลี่ยนได้เพิกถอนการอนุมัติโทเค็นและย้ายการถือครองไปยังกระเป๋าเงินดิจิทัลขององค์กรใหม่เพื่อป้องกันความสูญเสียเพิ่มเติม
เหตุการณ์ด้านความปลอดภัยนี้เกิดขึ้นหลังจากการละเมิดข้อมูลภายในที่เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้เกือบ 70,000 ราย Coinbase รายงานว่าผู้กระทำความผิดพยายามขู่กรรโชกเงิน 20 ล้านดอลลาร์สหรัฐใน Bitcoin พวกเขายังใช้ข้อมูลที่ถูกขโมยไปเพื่อแอบอ้างเป็นพนักงานของบริษัทในแผนการวิศวกรรมสังคมขั้นสูง ซึ่งรายงานว่านำไปสู่การโจรกรรมเงินหลายล้านดอลลาร์สหรัฐ ตั้งแต่นั้นมา Coinbase กล่าวว่าได้เสริมสร้างความแข็งแกร่งให้กับโปรโตคอลความปลอดภัยเพื่อป้องกันการโจมตีในอนาคต และเลิกจ้างพนักงานที่เกี่ยวข้องกับการละเมิดนั้น