Kripto para borsası Coinbase, Çarşamba günü, kurumsal cüzdanlarından birinin 0x merkeziyetsiz borsa protokolüyle hatalı bir etkileşimi nedeniyle, otomatize ticaret botlarının yaklaşık $300,000 kaybettirdiğini doğruladı. Olay, Coinbase'in 0x "swapper" sözleşmesine harcama izinleri yanlışlıkla verdiğinde gerçekleşti; bu durum, en yüksek alınabilir değer botlarının onayı saptadıklarında hemen fonları boşaltmalarına olanak tanıdı.
Bilinmesi Gerekenler:
- Coinbase, MEV botlarının, 0x swapper sözleşmesine izni yanlışlıkla veren yanlış yapılandırılmış bir kurumsal cüzdanı şu şekilde istismar ettiğinde $300,000 kaybetti
- Borsanın güvenlik şefi, olayın münferit olduğunu ve müşteri fonlarının etkilenmediğini doğruladı
- MEV botları, açığa çıkan sözleşmeye harcama haklarının verilmesini bekleyip anında fonların boşaltılmasını sağladı
İstismarın Teknik Çözümü
Coinbase'in güvenlik şefi Philip Martin, kaybı bir X yazısı aracılığıyla kabul etti ve bunun şirketin kurumsal merkeziyetsiz borsa cüzdanlarından birine yapılan değişikliklerden kaynaklanan “münferit bir sorun” olduğunu açıkladı. Olay süresince müşteri fonlarının etkilenmediğini vurguladı.
Venn Network'ten "deeberiroz" rumuzlu bir güvenlik araştırmacısı, Çarşamba sabahı istismarı ilk tespit etti. Araştırmacı, Coinbase'in swapper sözleşmesine yanlışlıkla token onayı verdiğini, bu sözleşmenin izin verilen işlem yapmaya uygun olduğunu ama token izinlerini elinde tutmasının amaçlanmadığını açıkladı. Bu yapılandırma hatası, blockchain ağlarını sürekli olarak bu tür zaafiyetler için izleyen fırsatçı MEV botları için bir fırsat yarattı.
MEV, "en yüksek alınabilir değer" kısaltması olup, otomatize programların blockchain işlemlerini kar elde etmek amacıyla önceliklendirdiği veya yeniden sıraladığı bir uygulamayı tanımlar. Bu durumda botlar, Coinbase yanlışlıkla verdiği izinleri geri almadan önce token transferlerini gerçekleştirdi.
Araştırmacı X’te MEV botlarının “karanlıkta pusuda bekleyip kullanıcıların bu sözleşmeye yanlışlıkla izin vermelerini beklediklerini” belirtti. Coinbase izin verme hatasını yaptığında, botlar bu fırsatı derhal değerlendirdi ve borsanın ücret alıcı hesabını biriktirilen tokenlerden boşalttı.
Borsa Güvenliği için Daha Geniş Çıkarımlar
0x swapper sözleşmesinin izinsiz yapısı, herhangi bir tarafın onu çağırmasına ve onaylanan tokenleri doğrudan kendi adreslerine aktarmasına izin verdi. Merkezsiz ticareti mümkün kılan bu tasarım özelliği, aynı zamanda MEV botlarının Coinbase cüzdanına karşı istismar ettiği zaafiyeti de yarattı.
$300,000 kaybı Coinbase için minimal finansal etki yaratırken, önemli kripto para borsalarının, sofistike otomatik ticaret istismarlarına karşı savunmasız kaldığını gösteriyor.
Hatta iyi kurulmuş platformlar bile nispeten küçük ama teknik olarak gelişmiş blockchain manipülasyonuna kurban gidebilir.
MEV botları, Ethereum ve diğer blockchain ağları genelinde kalıcı aktörler olarak kendilerini kanıtladı. Token lansmanları, NFT basım etkinlikleri ve likidite temin faaliyetleri yoluyla kar elde etmede mempool izlemesi ve işlem yeniden sıraya koyma özellikleri aracılığıyla gelir sağlarlar.
MEV ve DeFi Terminolojisi Anlayışı
MEV, blockchain doğrulayıcılarının veya bot operatörlerinin, ürettikleri bloklar içinde işlemleri dahil ederek, dışlayarak veya yeniden sıraya koyarak elde edebilecekleri maksimum karı ifade eder. Orijinal olarak "madenci tarafından çıkarılabilir değer" olarak adlandırılan terim, blockchain mutabakat mekanizmaları çeşitlendikçe "maksimum çıkarılabilir değer" olarak evrildi.
0x protokolü, merkeziyetsiz borsa altyapısı olarak, merkezi aracılar olmaksızın eşler arası kripto ticaretini mümkün kılar. Swapper sözleşmeleri token değişimi kolaylaştırır ancak kullanıcı fonlarına yetkisiz erişimi önlemek için dikkatli izin yönetimine ihtiyaç duyar.
Coinbase tarafından işletilen gibi ücret alıcı hesapları, işlem ücretleri ve borsa işlemlerinden elde edilen diğer gelirleri toplar. Bu cüzdanlar genellikle önemli token bakiyeleri biriktirir ve güvenlik yapılandırmaları başarısız olduğunda istismarcı botlar için çekici hedefler haline gelir.
Bu durumda, botlar sadece yüksek değerli cüzdanların, açık sözleşmelere yanlışlıkla harcama hakları vermesini gözlemledi. Coinbase’in ücret alıcısı bu hatayı yaptığında, otomatik sistemler anında fon boşaltımını gerçekleştirdi ve modern MEV operasyonlarının hız ve etkinliğini gösterdi.
Kapanış Düşünceleri
Coinbase olayı, borsaların merkeziyetsiz finans protokolleri ile entegre olurken karşılaştığı teknik karmaşıklıkları vurgular. Finansal etkisi sınırlı kalırken ve müşteri fonları tehlikeye girmemişken, istismar, otomatik botların sürekli olarak yapılandırma hatalarını izleyip kısa süreli fırsat pencerelerini değerlendirdiğini ortaya koyuyor.