Криптовалютна біржа Binance підтвердила у середу, що втратила приблизно $300,000 у вигляді токен-комісій після того, як автоматизовані торгові боти скористалися неправильно налаштованою взаємодією між її корпоративним гаманцем і децентралізованим протоколом біржі 0x. Інцидент стався, коли Binance випадково надала права на витрати контракту "swapper" від 0x, що дало ботам максимального видобутку можливість негайно зливати кошти після виявлення затвердження.
Що потрібно знати:
- Binance втратила $300,000, коли MEV-боти скористалися неправильно налаштованим корпоративним гаманцем, який помилково затвердив токени для swapper контракту 0x
- Головний директор з безпеки біржі підтвердив, що кошти клієнтів не були порушені, назвавши це ізольованим інцидентом
- MEV-боти чекали на надання прав на витрати для відкритого контракту перед виконанням миттєвого злому
Технічний аналіз експлуатації
Філіп Мартін, головний директор з безпеки Binance, визнав втрату в пості на X, описуючи це як "ізольовану проблему", що виникла через зміни, внесені в один з корпоративних децентралізованих гаманців біржі. Він наголосив, що кошти клієнтів залишалися безпечно захищеними під час інциденту.
Дослідник з безпеки "deeberiroz" з Venn Network вперше ідентифікував експлуатацію у середу вранці. Дослідник пояснив, що Binance неправильно затвердив токени для swapper контракту, бездозвільного інструмента, призначеного для виконання торгів, але не призначеного для зберігання дозволів на токени. Ця конфігураційна помилка створила відкриття для опортуністичних MEV-ботів, які постійно моніторять блокчейн-мережі на наявність таких вразливостей.
MEV означає "максимальна видобувна цінність" і описує практику, коли автоматизовані програми передують або реорганізують транзакції в блокчейні, щоб захопити прибутки. У цьому випадку боти виконали передачу токенів до того, як Binance змогла відкликати ненавмисно надане затвердження.
Дослідник зазначив на X, що MEV-боти, схоже, "перебували в темряві, чекаючи, коли користувачі помилково нададуть дозвіл цьому контракту." Коли Binance припустилася помилки затвердження, ці боти відразу скористалися можливістю, зливши токени з рахунку приймача комісій біржі.
Ширші наслідки для безпеки біржі
Без дозволу природи swapper контракту 0x дозволила будь-якій стороні викликати його та передати затверджені токени безпосередньо на свої адреси. Ця особливість дизайну, хоча й забезпечує децентралізовану торгівлю, також створила вразливість, яку MEV-боти використали проти гаманця Binance.
Хоча втрати у розмірі $300,000 не мають значного фінансового впливу для Binance, інцидент виділяє те, як великі криптовалютні біржі залишаються вразливими до складних автоматизованих торгових експлуатацій.
Навіть добре встановлені платформи можуть стати жертвами відносно невеликих, але технічно розвинених форм маніпуляції блокчейном.
MEV-боти закріпилися як постійні діячі на Ethereum та інших блокчейн-мережах. Вони генерують прибутки, експлуатуючи запуски токенів, події карбування NFT та діяльність надання ліквідності через моніторинг мемпулів та здатності до перерахування транзакцій.
Розуміння термінології MEV та DeFi
MEV відноситься до максимальної вигоди, яку можуть видобути валідатори блокчейну або оператори ботів, включаючи, виключаючи, або реорганізовуючи транзакції в межах блоків, які вони випускають. Спочатку називалося "цінністю видобутку майнера" у мережах proof-of-work, термін еволюціонував до "максимальної видобутної цінності" в міру диверсифікації механізмів консенсусу блокчейн.
Протокол 0x працює як інфраструктура децентралізованої біржі, що дозволяє здійснювати торгівлю криптовалютами peer-to-peer без централізованих посередників. Його контрактами swapper сприяють обміну токенами, але вимагають ретельного керування дозволами, щоб запобігти несанкціонованому доступу до коштів користувачів.
Рахунки приймача комісій, такі як той, яким керувала Binance, збирають комісії за транзакції та інші доходи від операцій біржі. Ці гаманці часто накопичують значні баланси токенів, роблячи їх привабливими цілями для експлуатативних ботів, коли налаштування безпеки не виявляться.
У цьому випадку боти просто слідкували за високовартісними гаманцями, щоб ті помилково дали права на витрати відкритим контрактам. Щойно рахунок приймача комісій Binance здійснив цю помилку, автоматизовані системи миттєво виконали злив коштів, демонструючи швидкість і ефективність сучасних операцій MEV.
Заключні думки
Інцидент підкреслює технічні складності, з якими стикаються біржі при інтеграції з протоколами децентралізованих фінансів. Хоча фінансовий вплив залишився обмеженим, і кошти клієнтів не були скомпрометовані, експлуатація вказує на те, як автоматизовані боти безперервно сканують на наявність помилок у конфігураціях, щоб скористатися навіть короткочасними можливостями.