仮想通貨取引所のCoinbaseは、水曜日に企業ウォレットと0x分散型取引所プロトコルとの誤った相互作用を、自動取引ボットに悪用され、約30万ドルのトークン手数料を失ったと確認しました。事案は、Coinbaseが誤って0xの「スワッパー」契約に支出許可を与えた際に発生し、このために最大抽出可能価値(MEV)ボットが承認を検知すると同時に資金を即座に引き出しました。
重要なポイント:
- Coinbaseは、MEVボットが誤った企業ウォレット承認で0xのスワッパー契約にトークンを誤って承認したことで30万ドルを失いました。
- 交換の最高セキュリティ責任者は、顧客資金には影響がなく、単独の事案であると確認しました。
- MEVボットは、ウォレットが公開契約に移譲権限を与えるのを待ってから、即座に資金を吸い上げました。
攻撃の技術的な内訳
Coinbaseの最高セキュリティ責任者フィリップ・マーティンは、X上の投稿で損失を認め、会社の企業分散型取引所ウォレットに加えられた変更に起因する「単独の問題」と述べました。彼は、顧客の資金が事案の間ずっと影響を受けなかったことを強調しました。
Venn Networkのセキュリティ研究者「deeberiroz」が水曜日の朝に最初にこの攻撃を特定しました。研究者は、Coinbaseがスワッパー契約にトークンを誤って承認したと説明しましたが、これは取引を実行するために設計された許可なしのツールであり、トークンの承認を保持することを意図したものではありません。この構成エラーが、こうした脆弱性を常に監視する機会的なMEVボットに対して入り口を作りました。
MEV、すなわち「最大抽出可能価値」の略は、ブロックチェーン取引を先取りまたは再配置して利益を得る自動化プログラムの実践を指します。この事例では、ボットはCoinbaseが誤って付与した許可を取り消す前にトークンの移動を実行しました。
研究者はXで、MEVボットが「暗闇の中で待ち伏せしており、この契約を誤って承認するのを待っていた」と述べました。Coinbaseが承認エラーを犯した際、これらのボットは即座に機会を活用し、振替手数料受取口座から累積トークンを吸い上げました。
交換セキュリティへの広範な影響
0xスワッパー契約の許可なしの性質は、どのパーティもそれを呼び出し、承認されたトークンを自身のアドレスに直接転送できるようになっていました。この設計機能は、分散型取引を可能にする一方で、Coinbaseのウォレットに対するMEVボットの脆弱性を生み出しました。
30万ドルの損失はCoinbaseにとって最小限の財務的な影響を表しますが、この事案は、主要な仮想通貨取引所が高度な自動取引攻撃に脆弱であることを示しています。
MEVボットは、Ethereumや他のブロックチェーンネットワークで持続的なアクターとして定着しています。彼らはトークン発売、NFTミントイベント、流動性提供活動を利用して利益を得、メンモニタリングや取引の再編成能力を通じて利益を上げています。
MEVとDeFi用語の理解
MEVは、ブロックを生成する際に取引を含めたり、排除したり、並び替えることで、ブロックチェーンバリデーターやロボットオペレーターが抽出できる最大の利益を指します。最初は「マイナー抽出可能価値」として証明作業ネットワークで知られていましたが、ブロックチェーンの合意メカニズムが多様化するにつれて「最大抽出可能価値」という用語に進化しました。
0xプロトコルは、集中型中間者を利用せずにピアツーピアで暗号通貨取引を可能にする分散型取引所インフラとして機能しています。スワッパー契約はトークン交換を促進しますが、ユーザーファンドの不正アクセスを防ぐために慎重な許可管理を必要とします。
振替手数料受取口座は、Coinbaseが運営するアカウントのように取引手数料や取引所運営から得た収益を収集します。これらのウォレットはしばしば大口のトークン残高を積み上げ、安全構成が失敗したときに搾取的なボットの魅力的なターゲットになります。
このケースでは、ボットは単に高値のウォレットが公開されている契約に誤って移譲権を付与するのを監視していました。Coinbaseの振替手数料受取口座がこのエラーを犯した際、これらの自動システムは即座に資金を吸い上げ、現代のMEVオペレーションの速度と効率を示しました。
結論の考察
Coinbase事件は、分散型金融プロトコルと統合する際に取引所が直面する技術的な複雑さを強調しています。財務的な影響は限られ、顧客の資金は危険に晒されなかったものの、この攻撃は、自動ボットが構成エラーを常に監視して、短い機会窓を活用することを示します。