Coinbase ยืนยันการสูญเสีย $300K จากการโจมตีของบอทซื้อขายอัตโนมัติ

กระดานเทรดคริปโต Coinbase ยืนยันเมื่อวันพุธว่าการสูญเสียประมาณ $300,000 ในค่าธรรมเนียมโทเคนหลังจากบอทซื้อขายอัตโนมัติใช้ประโยชน์จากการโต้ตอบผิดพลาดระหว่างหนึ่งในกระเป๋าเงินบริษัทของมันกับโปรโตคอล 0x ของการแลกเปลี่ยนแบบกระจายศูนย์ เหตุการณ์เกิดขึ้นเมื่อ Coinbase ผิดพลาดในการให้สิทธิ์การใช้งานกับสัญญา "swapper" ของ 0x ซึ่งอนุญาตให้บอท maximal extractable value ถอนเงินได้ทันทีเมื่อตรวจพบการอนุมัติ

สิ่งที่ต้องรู้:

• Coinbase สูญเสีย $300,000 เมื่อบอท MEV ใช้ประโยชน์จากกระเป๋าเงินบริษัทที่ตั้งค่าผิดพลาดซึ่งอนุมัติโทเคนให้กับสัญญา swapper ของ 0x ผิดพลาด
• หัวหน้าฝ่ายความปลอดภัยของการแลกเปลี่ยนยืนยันว่าไม่มีเงินของลูกค้าได้รับผลกระทบและเรียกว่าเป็นกรณีแยกเดียว
• บอท MEV รอให้กระเป๋าเงินให้สิทธิ์การใช้จ่ายถูกต้องสัญญาที่เปิดโปงก่อนที่จะดำเนินการถอนทันที

การวิเคราะห์ทางเทคนิคของการโจมตี

Philip Martin, หัวหน้าฝ่ายความปลอดภัยของ Coinbase, ยอมรับการสูญเสียผ่านโพสต์ใน X โดยเขียนหน้าที่เป็น "ปัญหาแยกเดียว" ที่เกิดจากการเปลี่ยนแปลงที่ทำกับหนึ่งในกระเป๋าเงิน decentralized exchange ของบริษัท เขาเน้นย้ำว่าเงินของลูกค้าไม่ได้รับผลกระทบตลอดเหตุการณ์นี้

นักวิจัยด้านความปลอดภัย "deeberiroz" จาก Venn Network เป็นผู้ค้นพบการโจมตีครั้งแรกในเช้าวันพุธ นักวิจัยอธิบายว่า Coinbase อนุมัติโทเคนให้กับสัญญา swapper ผิดพลาด ซึ่งเป็นเครื่องมือที่ไม่ต้องขออนุญาตซึ่งออกแบบมาเพื่อการค้าขาย แต่ไม่ได้ถูกสร้างเพื่อถือการอนุมัติโทเคน ข้อผิดพลาดในการกำหนดค่านี้สร้างช่องว่างให้กับบอท MEV ที่มักจะจับตามองเน็ตเวิร์คบล็อคเชนเพื่อตรวจจับช่องโหว่เช่นนี้

MEV ที่ย่อมาจาก "maximal extractable value" อธิบายถึงการที่โปรแกรมอัตโนมัติบั่นทอนหรือจัดลำดับการทำธุรกรรมบล็อกเชนเพื่อสร้างผลกำไร ในกรณีนี้ บอทดำเนินการโอนโทเคนก่อนที่ Coinbase จะสามารถเพิกถอนการอนุมัติที่ผิดพลาดได้

นักวิจัยชี้ให้เห็นบน X ว่าบอท MEV ดูเหมือนจะ "แอบแฝงในมืดรอเมื่อผู้ใช้อนุมัติผิดพลาดต่อสัญญานี้" เมื่อ Coinbase ทำผิดพลาดในการอนุมัติ บอทเหล่านี้ใช้ประโยชน์จากโอกาสทันทีทันใด ถอนเงินจากบัญชีรับค่าธรรมเนียมของการแลกเปลี่ยนออกได้ทันที

ผลกระทบในวงกว้างต่อความปลอดภัยของการแลกเปลี่ยน

ลักษณะที่ไม่ต้องขออนุญาตของสัญญา swapper ของ 0x อนุญาตให้หน่วยงานใดๆ เรียกใช้และโอนโทเคนที่อนุมัติแล้วไปยังที่อยู่ของตัวเองได้ คุณลักษณะการออกแบบนี้ แม้ว่าจะทำให้การค้าขายแบบ decentralized เป็นไปได้ แต่ก็สร้างช่องโหว่ที่บอท MEV ใช้ประโยชน์กับกระเป๋าเงินของ Coinbase

แม้ว่าการสูญเสีย $300,000 จะเป็นผลกระทบทางการเงินที่น้อยสำหรับ Coinbase แต่มันชี้ว่าแลกเปลี่ยนคริปโตขนาดใหญ่ยังคงเสี่ยงต่อการโจมตีโดยการแลกเปลี่ยนอัตโนมัติที่ซับซ้อน

แม้กระดานเทรดที่ถูกก่อตั้งไว้อย่างดีก็สามารถตกเป็นเหยื่อของการควบคุมบล็อกเชนที่เล็กแต่ซับซ้อน

บอท MEV ได้ก่อตั้งตัวเองเป็นผู้เล่นที่วางแผนในเน็ตเวิร์ค Ethereum และบล็อคเชนอื่น ๆ พวกมันสร้างผลกำไรโดยการใช้ประโยชน์จากการเปิดตัวโทเคน, กิจกรรมการสร้าง NFT, และกิจกรรมการจัดหาสภาพคล่องผ่านการติดตาม mempool และความสามารถในการจัดลำดับการทำธุรกรรม

ความเข้าใจใน MEV และคำศัพท์ DeFi

MEV หมายถึงกำไรสูงสุดที่สามารถสกัดออกมาได้โดยผู้ตรวจสอบบล็อกเชนหรือผู้ดำเนินการบอทโดยการรวม, ยกเลิก หรือจัดลำดับการทำธุรกรรมภายในบล็อกที่พวกเขาผลิต ในตอนต้นถูกเรียกว่า "miner extractable value" ในเน็ตเวิร์ค proof-of-work, คำดังกล่าวพัฒนาเป็น "maximal extractable value" เมื่อกลไกความเห็นพ้องของบล็อกเชนมีความหลากหลาย

โปรโตคอล 0x ดำเนินการเป็นโครงสร้างพื้นฐานของการแลกเปลี่ยนแบบ decentralized ที่อนุญาตให้เกิดการค้าขายคริปโตเคอร์เรนซีแบบ peer-to-peer โดยไม่มีตัวกลางที่ถูกควบคุม สัญญา swapper ของมันเอื้อให้เกิดการแลกเปลี่ยนโทเคนแต่ต้องการการจัดการสิทธิ์การใช้งานอย่างระมัดระวังเพื่อหลีกเลี่ยงการเข้าถึงเงินทุนของผู้ใช้โดยไม่ได้รับอนุญาต

บัญชีรับค่าธรรมเนียม, เช่นเดียวกับที่ Coinbase ดำเนินการ, รวบรวมค่าธรรมเนียมการทำธุรกรรมและรายได้อื่น ๆ จากการดำเนินงานของการแลกเปลี่ยน กระเป๋าเหล่านี้มักมีการสะสมยอดดุลโทเคนมากทำให้พวกมันเป็นเป้าหมายที่น่าสนใจสำหรับบอทที่ใช้ประโยชน์จากข้อผิดพลาดในการตั้งค่าความปลอดภัย

ในกรณีนี้ บอทแค่เฝ้าจับตามองกระเป๋าที่มีมูลค่าสูงที่จะยื่นสิทธิ์การใช้จ่ายให้กับสัญญาที่เปิดโปง เมื่อบัญชีรับค่าธรรมเนียมของ Coinbase ทำข้อผิดพลาดนี้ ระบบอัตโนมัติดำเนินการถอนเงินทันที แสดงให้เห็นถึงความเร็วและประสิทธิภาพของการดำเนินการ MEV ในปัจจุบัน

ปิดท้าย

เหตุการณ์ Coinbase เน้นถึงความซับซ้อนทางเทคนิคที่การแลกเปลี่ยนต้องเผชิญเมื่อผสานรวมกับโปรโตคอลการเงินแบบ decentralized แม้ว่าผลกระทบทางการเงินจะจำกัดและไม่มีเงินของลูกค้าได้รับผลกระทบ การโจมตีนี้เปิดเผยว่าบอทอัตโนมัติสแกนข้อผิดพลาดในการกำหนดค่าอย่างต่อเนื่องเพื่อใช้ประโยชน์จากแม้กระทั่งหน้าต่างโอกาสที่สั้นที่สุด