Cartera

Coinbase confirma una pérdida de $300K en ataque de bot de trading automatizado

hace 3 horas
#Coinbase #Hackers #Intercambio de Criptomonedas
Coinbase confirma una pérdida de $300K en ataque de bot de trading automatizado

El intercambio de criptomonedas Coinbase confirmó el miércoles que perdió aproximadamente $300,000 en tarifas de tokens después de que bots de trading automatizado explotaran una interacción mal configurada entre una de sus billeteras corporativas y el protocolo de intercambio descentralizado 0x. El incidente ocurrió cuando Coinbase otorgó por error permisos de gasto al contrato "swapper" de 0x, lo cual permitió a los bots de valor extraíble máximo drenar fondos inmediatamente al detectar la aprobación.

Qué saber:

  • Coinbase perdió $300,000 cuando los bots MEV explotaron una billetera corporativa mal configurada que aprobó incorrectamente tokens al contrato swapper de 0x.
  • El jefe de seguridad del intercambio confirmó que no se vieron afectados fondos de clientes y lo describió como un incidente aislado.
  • Los bots MEV esperaron a que la billetera otorgara derechos de gasto al contrato expuesto antes de ejecutar un drenaje instantáneo.

Descomposición Técnica del Explot

Philip Martin, jefe de seguridad de Coinbase, reconoció la pérdida mediante un post en X, describiéndolo como "un problema aislado" debido a cambios realizados en una de las billeteras de intercambio descentralizado corporativo de la empresa. Enfatizó que los fondos de los clientes permanecieron intactos durante todo el incidente.

El investigador de seguridad "deeberiroz" de Venn Network identificó el explot el miércoles por la mañana. El investigador explicó que Coinbase aprobó incorrectamente tokens al contrato swapper, una herramienta sin permisos diseñada para ejecutar operaciones pero no para mantener asignaciones de tokens. Este error de configuración creó una oportunidad para los bots MEV oportunistas que monitorean constantemente las redes blockchain en busca de tales vulnerabilidades.

MEV, abreviatura de "valor extraíble máximo", describe la práctica donde programas automatizados adelantan o reordenan transacciones de blockchain para capturar ganancias. En este caso, los bots ejecutaron transferencias de tokens antes de que Coinbase pudiera revocar los permisos inadvertidos que había otorgado.

El investigador señaló en X que los bots MEV parecían haber estado "acechando en la oscuridad, esperando que los usuarios aprobaran erróneamente este contrato". Cuando Coinbase cometió el error de aprobación, estos bots capitalizaron inmediatamente la oportunidad, drenando la cuenta receptora de tarifas del intercambio de tokens acumulados.

Implicaciones más amplias para la seguridad del intercambio

La naturaleza sin permisos del contrato swapper de 0x permitió a cualquier parte llamarlo y transferir tokens aprobados directamente a sus propias direcciones. Esta característica de diseño, mientras que facilita el comercio descentralizado, también creó la vulnerabilidad que los bots MEV explotaron contra la billetera de Coinbase.

Aunque la pérdida de $300,000 representa un impacto financiero mínimo para Coinbase, el incidente destaca cómo los grandes intercambios de criptomonedas siguen siendo susceptibles a explotaciones sofisticadas de trading automatizado.

Incluso las plataformas bien establecidas pueden ser víctimas de formas pequeñas pero técnicamente avanzadas de manipulación de blockchain.

Los bots MEV se han establecido como actores persistentes en Ethereum y otras redes blockchain. Generan ganancias explotando lanzamientos de tokens, eventos de acuñación de NFT y actividades de provisión de liquidez mediante la monitorización de mempool y la capacidad de reordenamiento de transacciones.

Comprendiendo MEV y terminología DeFi

MEV se refiere al beneficio máximo que los validadores de blockchain u operadores de bots pueden extraer al incluir, excluir o reordenar transacciones dentro de los bloques que producen. Originalmente llamado "valor extraíble por minero" en redes de prueba de trabajo, el término evolucionó a "valor extraíble máximo" a medida que los mecanismos de consenso de blockchain se diversificaron.

El protocolo 0x opera como una infraestructura de intercambio descentralizado que permite el comercio de criptomonedas entre pares sin intermediarios centralizados. Sus contratos swapper facilitan el intercambio de tokens pero requieren una gestión cuidadosa de los permisos para evitar el acceso no autorizado a los fondos de los usuarios.

Las cuentas receptoras de tarifas, como la que operaba Coinbase, recogen tarifas de transacción y otros ingresos de operaciones de intercambio. Estas billeteras a menudo acumulan balances significativos de tokens, lo que las hace objetivos atractivos para bots explotadores cuando fallan las configuraciones de seguridad.

En este caso, los bots simplemente monitorearon billeteras de alto valor para que otorgaran erróneamente derechos de gasto a contratos expuestos. Una vez que el receptor de tarifas de Coinbase cometió este error, los sistemas automatizados ejecutaron el drenaje de fondos instantáneamente, demostrando la velocidad y eficiencia de las operaciones modernas de MEV.

Pensamientos finales

El incidente de Coinbase subraya las complejidades técnicas que enfrentan los intercambios al integrarse con protocolos financieros descentralizados. Aunque el impacto financiero fue limitado y no se comprometieron fondos de clientes, el explot revela cómo los bots automatizados escanean continuamente en busca de errores de configuración para capitalizar incluso en breves ventanas de oportunidad.

Descargo de responsabilidad: La información proporcionada en este artículo es solo para fines educativos y no debe considerarse asesoramiento financiero o legal. Siempre realice su propia investigación o consulte a un profesional al tratar con activos de criptomonedas.
Noticias Relacionadas
Hacker convierte $42.5M Bitcoin a Ethereum tras violación de datos en Coinbase afecta a 97K
La infracción ha causado conmoción en la industria cripto y círculos regulatorios, resaltando la fragilidad de la seguridad interna en plataformas centralizadas.
Trama de ingeniería social frustrada en Binance y Kraken tras las consecuencias de la violación de Coinbase
May 19, 2025
Binance y Kraken frustran ataques de soborno en su personal, mientras los incidentes de ingeniería social en Coinbase revelan vulnerabilidades crecientes.
Coinbase demandado por soborno del personal de soporte e información de clientes filtrada
May 19, 2025
Demandan a Coinbase por fallos de seguridad tras la filtración de datos de usuarios y soborno de personal. Involucra millones de dólares y múltiples juicios.
Brecha de Datos en Coinbase Expone Información de Usuarios, Alimentando Preocupaciones sobre la Seguridad Centralizada en Criptomonedas
Brecha en Coinbase desencadenada por empleado deshonesto, criticada por la comunidad cripto, destaca riesgos de custodia centralizada.
Usuarios de Coinbase pierden $300 millones anuales en estafas sociales: ZachXBT
Feb 04, 2025
En los últimos dos meses, los usuarios de Coinbase han perdido colectivamente más de $65 millones en estafas de ingeniería social, con pérdidas anuale
Artículos de investigación relacionados
Fraude cripto en 2025 alcanza niveles récord: de deepfakes en YouTube a estafas de esquemas "Pig Butchering"
Estafas cripto de 2025 son alarmantemente sofisticadas, combinando ingeniería social, tecnología y fraudes financieros.
Cómo crear un intercambio DeFi en 2025: Guía completa para emprendedores de criptografía
Guía narrativa para desarrollar un intercambio DeFi, desde su importancia hasta su creación y tendencias futuras en 2025 (máximo 150 caracteres).
Las 10 Principales Estafas Criptográficas Impulsadas por IA de 2025 y Cómo Proteger tus Fondos
Las estafas criptográficas habilitadas por IA han explotado – los informes de estafas asistidas por IA generativa aumentaron un 456%.
Vigilancia de criptomonedas en 2025: Cómo Chainalysis, el FBI y la IA rastrean tu billetera
La criptomoneda prometía anonimato y libertad financiera. Para 2025, las agencias usaban herramientas avanzadas para rastrear identidades reales.
Las 10 principales tecnologías que están redefiniendo el cumplimiento blockchain
Jul 01, 2025
Entre abril y junio de 2025, la industria criptográfica descubrió que "cumplimiento por diseño" ya no es solo un eslogan; es un cambio hacia las cadenas principales y más.
Artículos de aprendizaje relacionados
Proteja su cuenta de intercambio de criptomonedas: estrategias de seguridad avanzadas explicadas
Aprenda formas clave de proteger sus activos digitales contra acceso no autorizado y ataques psicológicos, críticas para todos los inversores.
Ataques de Ingeniería Social en Cripto: 10 Consejos Comprobados para Mantener Seguros tus Activos Digitales
May 13, 2025
La ingeniería social ha emergido como la principal amenaza en el ecosistema de criptomonedas, explotando la psicología humana más que vulnerabilidades técnicas.
Las 5 mejores maneras de prevenir los ataques de frontrunning en blockchain que deberías conocer
Jan 11, 2025
De todos los peligros que enfrenta este ecosistema descentralizado, los ataques de frontrunning son de los peores y más urgentes. ¿Qué son los ataques
Guía sobre la caída repentina de criptomonedas: Lo que todo comerciante debería saber
Jan 28, 2025
Como el mercado de criptomonedas sufrió una caída repentina ayer, eliminando posiciones de apalancamiento de $850 millones sobre el lanzamiento del ch
¿Qué es el arbitraje de préstamos flash? Una guía para obtener beneficios de las explotaciones DeFi
Los préstamos flash son uno de los mecanismos más innovadores y controvertidos de las finanzas descentralizadas, permitiendo a los traders...