Portfel

Coinbase potwierdza stratę 300 tys. USD w wyniku ataku zautomatyzowanego bota handlowego

3 godzin temu
#Coinbase #Hakerzy #Giełda kryptowalut
Coinbase potwierdza stratę 300 tys. USD w wyniku ataku zautomatyzowanego bota handlowego

Giełda kryptowalutowa Coinbase potwierdziła w środę, że straciła około 300 000 USD na opłatach tokenowych, gdy zautomatyzowane boty handlowe wykorzystały błędnie skonfigurowane połączenie między jednym z jej portfeli firmowych a zdecentralizowanym protokołem wymiany 0x. Incydent wystąpił, gdy Coinbase błędnie przyznał uprawnienia do wydawania kontraktowi „swappera” 0x, co pozwoliło botom maksymalnej wartości wyciągalnej na natychmiastowe wyssanie środków po wykryciu zgody.

Co należy wiedzieć:

  • Coinbase stracił 300 000 USD, gdy boty MEV wykorzystały błędnie skonfigurowany portfel firmowy, który błędnie zatwierdził tokeny dla kontraktu swappera 0x
  • Główny oficer ds. bezpieczeństwa wymiany potwierdził, że żadne fundusze klientów nie zostały naruszone i nazwał to odosobnionym przypadkiem
  • Boty MEV czekały, aż portfel przyzna prawa wydawania wystawionego kontraktu przed wykonaniem natychmiastowego osuszenia

Techniczne rozbicie exploitu

Philip Martin, główny oficer ds. bezpieczeństwa Coinbase, przyznał się do straty za pomocą wpisu na X, opisując to jako „odosobniony problem” wynikający ze zmian wprowadzonych w jednym z portfeli zdecentralizowanej wymiany firmowej. Podkreślił, że fundusze klientów pozostały nietknięte w trakcie całego incydentu.

Badacz bezpieczeństwa „deeberiroz” z Venn Network jako pierwszy zidentyfikował eksploatację w środę rano. Badacz wyjaśnił, że Coinbase błędnie zatwierdził tokeny dla kontraktu swappera, co jest bez zezwolenia narzędziem zaprojektowanym do wykonywania transakcji, ale nie do przechowywania uprawnień tokenowych. Ten błąd konfiguracji stworzył otwarcie dla oportunistycznych botów MEV, które nieustannie monitorują sieci blockchain pod kątem takich luk.

MEV, skrót od „maximal extractable value”, opisuje praktykę, w której zautomatyzowane programy przodują lub przeprowadzają transakcje na blockchainie w celu uzyskania zysków. W tym przypadku boty wykonały transfery tokenów, zanim Coinbase zdołał odwołać niezamierzone pozwolenia, jakie przyznał.

Badacz zauważył na X, że boty MEV pojawiały się „szczególnie czekając, aż użytkownicy błędnie zatwierdzą różne kontrakty”. Gdy Coinbase popełnił błąd akceptacji, te boty natychmiast skorzystały z okazji, osuszając konto odbiorców opłat giełdy z nagromadzonych tokenów.

Szersze implikacje dla bezpieczeństwa giełdowego

Bezzwrotna natura kontraktu swappera 0x umożliwiła każdej stronie wywołanie go i przekazanie zaakceptowanych tokenów bezpośrednio na własne adresy. Ta cecha projektowa, umożliwiająca zdecentralizowany handel, również stworzyła lukę, którą boty MEV wykorzystały przeciwko portfelowi Coinbase.

Chociaż strata 300 000 USD stanowi minimalny wpływ finansowy dla Coinbase, incydent podkreśla, w jaki sposób duże giełdy kryptowalutowe nadal są podatne na zaawansowane technicznie formy manipulacji blockchainem.

Nawet dobrze ugruntowane platformy mogą paść ofiarą stosunkowo niewielkich, ale zaawansowanych technicznie form manipulacji blockchainem.

Boty MEV ustanowiły się jako uporczywi aktorzy w sieciach Ethereum i innych sieciach blockchain. Generują zyski, wykorzystując uruchomienia tokenów, wydarzenia wybijania NFT i działania związane z udostępnianiem płynności poprzez monitorowanie mempool i możliwości zmiany kolejności transakcji.

Zrozumienie MEV i terminologii DeFi

MEV odnosi się do maksymalnych zysków, jakie walidatorzy blockchain lub operatorzy botów mogą wyciągnąć, włączając, wykluczając lub zmieniając kolejność transakcji w blokach, które produkują. Początkowo nazywany „miner extractable value” w sieciach proof-of-work, termin ewoluował do „maximal extractable value” w miarę jak mechanizmy konsensusu blockchainu się różnicują.

Protokół 0x działa jako zdecentralizowana infrastruktura wymiany, która umożliwia peer-to-peer handel kryptowalutą bez centralnych pośredników. Jego kontrakty swapper ułatwiają wymiany tokenów, ale wymagają ostrożnego zarządzania uprawnieniami w celu zapobiegania nieautoryzowanemu dostępowi do funduszy użytkowników.

Konta odbiorców opłat, takie jak to obsługiwane przez Coinbase, zbierają opłaty transakcyjne i inne wpływy z operacji wymiany. Te portfele często gromadzą znaczące salda tokenów, co czyni je atrakcyjnymi celami dla eksploatujących botów, gdy konfiguracje bezpieczeństwa zawodzą.

W tym przypadku boty po prostu monitorowały portfele o wysokiej wartości, aby błędnie przyznały prawa wydawania wystawionym kontraktom. Gdy odbiorca opłat Coinbase popełnił ten błąd, zautomatyzowane systemy natychmiast wykonały osuszenie funduszy, demonstrując szybkość i wydajność nowoczesnych operacji MEV.

Podsumowując

Incydent Coinbase uwydatnia techniczne złożoności, przed jakimi stoją giełdy przy integracji z protokołami zdecentralizowanych finansów. Chociaż wpływ finansowy pozostał ograniczony, a fundusze klientów nie zostały naruszone, exploit ujawnia, jak zautomatyzowane boty nieustannie szukają błędów konfiguracji, aby wykorzystać nawet krótkie okna możliwości.

Zastrzeżenie: Informacje zawarte w tym artykule mają charakter wyłącznie edukacyjny i nie powinny być traktowane jako porada finansowa lub prawna. Zawsze przeprowadzaj własne badania lub skonsultuj się z profesjonalistą podczas zarządzania aktywami kryptowalutowymi.
Powiązane wiadomości
Haker konwertuje Bitcoin o wartości $42,5M na Ethereum po wycieku danych z Coinbase, który dotknął 97 tys.
Atak wpływa na 97,000 użytkowników, kiniejsce szybkie dochodzenia i naciski na bezpieczniejsze operacje.
Udział w Oszustwie Socjotechnicznym Udaremniony w Binance i Kraken po Naruszeniu Zabezpieczeń w Coinbase
May 19, 2025
Binance i Kraken udaremniły ataki socjotechniczne przez przekupstwo. Wskazuje to na rosnące zagrożenia insiderowe w kryptowalutach.
Naruszenie danych Coinbase ujawnia informacje o użytkownikach, zwiększając obawy dotyczące scentralizowanego bezpieczeństwa kryptowalut.
Opis naruszenia danych przez pracownika Coinbase. Problemy z bezpieczeństwem wewnętrznym i scentralizowanymi platformami.
Coinbase pozwany za przekupstwo personelu wsparcia i wyciek informacji o klientach
May 19, 2025
Coinbase ujawnia, że naruszenie danych napędzane łapówkami zagroziło ich użytkownikom, co skutkuje przynajmniej sześcioma pozwami i krytyką bezpieczeństwa.
Użytkownicy Coinbase tracą 300 mln USD rocznie na oszustwa społeczne: ZachXBT
Feb 04, 2025
W ciągu ostatnich dwóch miesięcy użytkownicy Coinbase stracili łącznie ponad 65 milionów dolarów w wyniku oszustw związanych z inżynierią społeczną, a
Powiązane artykuły badawcze
Oszustwa kryptowalutowe w 2025 osiągają rekordowe poziomy: Od deepfake'ów na YouTube do oszustw typu "pig butchering"
Oszustwa kryptowalutowe w 2025 roku osiągają niespotykane poziomy, oszuści używają deepfake'ów, phishingu i technologii, aby okraść użytkowników.
Nadzór nad kryptowalutami w 2025 roku: Jak Chainalysis, FBI i AI śledzą Twoją portfel cyfrowy
Kryptowaluty kiedyś były uważane za ostoję anonimowości, ale w 2025 roku ktoś prawdopodobnie obserwuje Twój portfel.
Koniec giełd kryptowalut? Przewidywanie wzrostu protokołów typu Peer-to-Peer DeFi
Zdecentralizowane giełdy przejęły ponad 20% całkowitego wolumenu handlu kryptowalutami w styczniu 2025 roku, pierwszy raz w historii sekto-
Sezon Ethereum? Jak ETH może poprowadzić następny wybuch altcoina i przekształcić sieci Layer-2 w 2025 roku
Cena Ethereum w 2025 roku wzrosła, osiągając około $4,600. Czy jest to nowy sezon altcoinów, czy tylko sezon Ethereum?
Jak stworzyć giełdę DeFi w 2025 roku: Kompletny przewodnik dla przedsiębiorców w kryptowalutach
Przewodnik krok po kroku dla entuzjastów kryptowalut na temat budowy giełdy DeFi, od znaczenia DeFi po trendy w 2025 roku.
Powiązane artykuły edukacyjne
Ochrona konta na giełdzie kryptowalut: Wyjaśnione zaawansowane strategie bezpieczeństwa
Zrozumienie mechanizmów inżynierii społecznej jest kluczowe - od indywidualnych posiadaczy po duże giełdy.
Ataki socjotechniczne w kryptowalutach: 10 sprawdzonych wskazówek, jak chronić swoje cyfrowe aktywa
May 13, 2025
Naucz się zabezpieczać swoje kryptowaluty przed oszustwami socjotechnicznymi dzięki sprawdzonym poradom.
Top 5 sposobów na zapobieganie atakom front-runningowym w blockchain, o których powinieneś wiedzieć
Jan 11, 2025
Spośród wszystkich zagrożeń, jakie napotyka ten zdecentralizowany ekosystem, ataki front-runningowe należą do najpoważniejszych i najpilniejszych. Czy
Czym jest arbitraż pożyczek błyskawicznych? Przewodnik po zarabianiu na exploity DeFi
Arbitraż pożyczek błyskawicznych generuje wysokie zyski i straty w ekosystemie DeFi, tworząc konkurencyjne środowisko.
Przewodnik dla początkujących po pożyczkach DeFi: Samouczek krok po kroku, jak zdobywać pasywny dochód przy użyciu kryptowalut
Aug 11, 2025
Dowiedz się, jak pożyczanie DeFi zrewolucjonizowało sposób zarabiania odsetek na kryptowalutach, oferując nowe możliwości i wyzwania. Ograniczenie do 150 znaków.