Coinbase xác nhận tổn thất $300K trong vụ tấn công bot giao dịch tự động

Aug, 14 2025 6:12
#Coinbase #Tin tặc #Sàn giao dịch tiền điện tử
Coinbase xác nhận tổn thất $300K trong vụ tấn công bot giao dịch tự động

Sàn giao dịch tiền điện tử Coinbase xác nhận hôm thứ Tư rằng họ đã mất khoảng $300,000 phí mã thông báo sau khi các bot giao dịch tự động khai thác sự tương tác bị cấu hình sai giữa một trong những ví công ty của họ và giao thức sàn giao dịch phi tập trung 0x. Sự cố xảy ra khi Coinbase vô tình cấp quyền chi tiêu cho hợp đồng "swapper" của 0x, điều này cho phép các bot giá trị có thể trích xuất tối đa rút tiền ngay lập tức khi phát hiện sự chấp thuận.

Những điều cần biết:

  • Coinbase đã mất $300,000 khi các bot MEV khai thác một ví công ty bị cấu hình sai, vô tình chấp thuận mã thông báo cho hợp đồng swapper của 0x
  • Giám đốc an ninh của sàn giao dịch xác nhận không có quỹ khách hàng bị ảnh hưởng và gọi đây là sự cố riêng lẻ
  • Các bot MEV chờ ví cấp quyền chi tiêu cho hợp đồng bị phơi bày trước khi thực hiện việc rút ngay lập tức

Phân tích kỹ thuật về khai thác

Philip Martin, giám đốc an ninh của Coinbase, thừa nhận mất mát thông qua một bài đăng trên X, mô tả đây là "vấn đề riêng lẻ" phát sinh từ những thay đổi được thực hiện đối với một trong những ví công ty của công ty. Ông nhấn mạnh rằng quỹ khách hàng vẫn không bị ảnh hưởng trong suốt sự cố.

Nhà nghiên cứu an ninh "deeberiroz" từ Venn Network là người đầu tiên xác định sự cố này sáng thứ Tư. Nhà nghiên cứu giải thích rằng Coinbase đã vô tình chấp thuận mã thông báo cho hợp đồng swapper, một công cụ không yêu cầu quyền lực được thiết kế để thực hiện giao dịch nhưng không có ý định giữ lại các khoản cho phép mã thông báo. Sai sót cấu hình này tạo cơ hội cho các bot MEV cơ hội, thường xuyên giám sát các mạng blockchain để tìm các lỗ hổng như vậy.

MEV, viết tắt của "giá trị trích xuất tối đa", mô tả hoạt động trong đó các chương trình tự động thực hiện hoặc sắp xếp lại giao dịch blockchain để đạt được lợi nhuận. Trong trường hợp này, các bot đã thực hiện chuyển mã thông báo trước khi Coinbase có thể hủy bỏ các quyền vô tình đã cấp.

Nhà nghiên cứu đã lưu ý trên X rằng các bot MEV dường như đã "ẩn mình trong bóng tối, chờ người dùng vô tình chấp thuận cho hợp đồng này." Khi Coinbase mắc sai lầm chấp thuận, các bot này đã ngay lập tức tận dụng cơ hội, rút cạn tài khoản chứa phí của sàn giao dịch khỏi các mã thông báo tích lũy.

Những ảnh hưởng rộng hơn đối với an ninh sàn giao dịch

Tính không yêu cầu quyền lực của hợp đồng swapper 0x cho phép bất kỳ bên nào cũng có thể gọi và chuyển mã thông báo được chấp thuận trực tiếp đến các địa chỉ của mình. Tính năng thiết kế này, trong khi cho phép giao dịch phi tập trung, cũng tạo ra lỗ hổng mà các bot MEV đã khai thác chống lại ví của Coinbase.

Mặc dù mất $300,000 thể hiện tổn thất tài chính tối thiểu đối với Coinbase, sự cố này nhấn mạnh cách các sàn giao dịch tiền điện tử lớn vẫn dễ bị tổn thương trước các cuộc khai thác tự động phức tạp.

Ngay cả các nền tảng uy tín cũng có thể là nạn nhân của các hình thức thao túng blockchain nhỏ nhưng kỹ thuật phức tạp.

Các bot MEV đã tự khẳng định mình là những đối thủ liên tục trên các mạng Ethereum và blockchain khác. Chúng tạo ra lợi nhuận bằng cách khai thác các đợt phát hành mã thông báo, sự kiện đúc NFT và các hoạt động cung cấp thanh khoản thông qua giám sát mempool và khả năng sắp xếp lại giao dịch.

Hiểu về MEV và Thuật ngữ DeFi

MEV đề cập đến lợi nhuận tối đa mà các người xác thực blockchain hoặc các nhà điều hành bot có thể trích xuất bằng cách bao gồm, loại trừ hoặc sắp xếp lại các giao dịch trong các khối họ tạo ra. Ban đầu được gọi là "giá trị trích xuất bởi thợ đào" trên các mạng bằng chứng công việc, thuật ngữ này đã phát triển thành "giá trị trích xuất tối đa" khi các cơ chế đồng thuận blockchain đa dạng hóa.

Giao thức 0x hoạt động như một cơ sở hạ tầng sàn giao dịch phi tập trung cho phép giao dịch tiền điện tử ngang hàng mà không cần các trung gian tập trung. Các hợp đồng swapper của nó tạo điều kiện cho việc trao đổi mã thông báo nhưng yêu cầu quản lý phép chi cẩn thận để ngăn chặn truy cập trái phép vào quỹ người dùng.

Các tài khoản nhận phí, như tài khoản mà Coinbase vận hành, thu phí giao dịch và các doanh thu khác từ hoạt động sàn giao dịch. Những ví này thường tích lũy số dư mã thông báo đáng kể, khiến chúng trở thành mục tiêu hấp dẫn cho các bot khai thác khi các cấu hình an ninh thất bại.

Trong trường hợp này, các bot chỉ đơn giản giám sát các ví có giá trị cao để vô tình cấp quyền chi tiêu cho các hợp đồng bị phơi bày. Một khi tài khoản nhận phí của Coinbase mắc lỗi này, hệ thống tự động thực hiện việc rút quỹ ngay lập tức, minh chứng cho tốc độ và hiệu quả của các hoạt động MEV hiện đại.

Kết luận

Sự cố của Coinbase nhấn mạnh những phức tạp kỹ thuật mà các sàn giao dịch gặp phải khi tích hợp với các giao thức tài chính phi tập trung. Mặc dù tác động tài chính vẫn còn hạn chế và không có quỹ khách hàng nào bị thiệt hại, cuộc tấn công cho thấy cách các bot tự động liên tục quét tìm lỗi cấu hình để tận dụng ngay cả các cửa sổ cơ hội ngắn ngủi.

Tuyên bố miễn trừ trách nhiệm: Thông tin được cung cấp trong bài viết này chỉ nhằm mục đích giáo dục và không được coi là lời khuyên tài chính hoặc pháp lý. Luôn tự nghiên cứu hoặc tham khảo ý kiến chuyên gia khi giao dịch với tài sản tiền điện tử.
Tin Tức Liên Quan
Hacker Chuyển Đổi 42,5 Triệu USD Bitcoin Sang Ethereum Sau Khi Có Rò Rỉ Dữ Liệu Coinbase Ảnh Hưởng 97K
Vụ rò rỉ nội bộ nổi bật của Coinbase đã bùng nổ thành một cuộc điều tra rộng lớn với sự tham gia của Bộ Tư pháp Hoa Kỳ, theo dõi hoạt động rửa tiền điện tử.
Âm mưu Kỹ thuật Xã hội bị Ngăn chặn tại Binance và Kraken Sau Hệ lụy từ Lỗ hổng An ninh của Coinbase
May 19, 2025
Fosdoffefffdof Coordinated social engineering attacks at top exchanges underscore increasing threat sophistication and vulnerable security frameworks.
Sự cố rò rỉ dữ liệu của Coinbase lộ thông tin người dùng, làm gia tăng lo ngại về an ninh tiền điện tử tập trung
Rò rỉ dữ liệu Coinbase tiết lộ thông tin người dùng, gây lo ngại về bảo mật tiền điện tử tập trung. Phản ứng từ cộng đồng là rất lớn.
Coinbase bị kiện về hối lộ nhân viên hỗ trợ và rò rỉ thông tin khách hàng
May 19, 2025
**[Coinbase] là đối tượng pháp lý ngày càng căng thẳng sau khi tiết lộ vi phạm dữ liệu do hối lộ làm lộ thông tin cá nhân của người dùng...
Người dùng Coinbase mất 300 triệu USD hàng năm do lừa đảo xã hội: ZachXBT
Feb 04, 2025
Trong hai tháng qua, người dùng Coinbase đã mất hơn 65 triệu USD do các chiêu trò lừa đảo kỹ thuật xã hội, với thiệt hại hàng năm ước tính khoảng 300
Bài viết nghiên cứu liên quan
Cách Tạo Sàn Giao Dịch DeFi Vào Năm 2025: Hướng Dẫn Toàn Diện Cho Các Doanh Nhân Tiền Điện Tử
Hướng dẫn đầy đủ về cách xây dựng sàn giao dịch DeFi của bạn vào năm 2025. Tìm hiểu về các chiến lược, nền tảng, và mô hình doanh thu.
Lừa đảo tiền điện tử vào năm 2025 đạt mức cao kỷ lục: Từ deepfake trên YouTube đến các trò lừa đảo "pig butchering"
Các trò lừa đảo tiền điện tử ngày càng tinh vi với những thủ thuật mới lạ, từ giả mạo deepfake đến hợp đồng thông minh độc hại.
Top 10 thủ đoạn lừa đảo Crypto sử dụng AI năm 2025 và cách bảo vệ tài sản của bạn
AI đang làm tăng nhanh các vụ lừa đảo crypto, trong đó đơn khiếu nại từ giữa 2024 đến giữa 2025 đã tăng 456%.
Sự bùng nổ của các công ty Quỹ Ethereum: Ai nắm giữ ETH nhiều nhất và điều đó có ý nghĩa gì cho thị trường Ethereum
Các công ty đại chúng đang tích lũy lượng lớn Ether (ETH), mở rộng tiếp cận tới nhiều nhà đầu tư hơn mà không cần nắm giữ trực tiếp.
Bảo mật Ethereum chống lại máy tính lượng tử: Cuộc cách mạng blockchain tối giản cho một tương lai an toàn
Các nhà phát triển Ethereum đang chuẩn bị cho một tương lai nơi máy tính lượng tử có thể phá vỡ mã hóa ngày nay. Họ đang thúc đẩy Lean Ethereum, một nỗ lực tối giản hóa kiến trúc kỹ thuật của Ethereum và bảo mật nó trước lượng tử.
Bài viết học tập liên quan
Bảo Vệ Tài Khoản Trao Đổi Tiền Điện Tử Của Bạn: Chiến Lược An Ninh Nâng Cao Được Giải Thích
Tấn công kỹ thuật xã hội khai thác lỗ hổng nhận thức, tạo kịch bản đe dọa tâm lý để chiếm đoạt tài sản trong không gian tiền điện tử.
5 Cách Hàng Đầu Để Ngăn Chặn Các Cuộc Tấn Công Front-Running Trên Blockchain Bạn Nên Biết
Jan 11, 2025
Trong tất cả các nguy hiểm mà hệ sinh thái phi tập trung này phải đối mặt, các cuộc tấn công front-running là một trong những nguy hại nhất và cấp thi
Hướng dẫn Về Sự Cố Sập Bất Ngờ Của Tiền Điện Tử: Những Điều Mọi Nhà Giao Dịch Cần Biết
Jan 28, 2025
Khi thị trường tiền điện tử sập bất ngờ hôm qua, cuốn sạch $850 triệu từ các vị thế sử dụng đòn bẩy liên quan đến DeepSeek AI chatbot của Trung Quốc v
Các cuộc tấn công Kỹ thuật Xã hội trong Crypto: 10 Mẹo Hiệu Quả để Bảo Vệ Tài Sản Kỹ Thuật Số của Bạn
May 13, 2025
Hướng dẫn bảo mật khỏi kỹ thuật xã hội; hiểu tâm lý, hành vi tấn công và cách bảo vệ tài sản kỹ thuật số khỏi các mối đe dọa phổ biến nhất.
Flash Loan Arbitrage Là Gì? Hướng Dẫn Tận Dụng Lợi Nhuận Từ Các Khai Thác DeFi
Flash loan arbitrage tạo ra lợi nhuận đáng kể trong DeFi với sự cạnh tranh gay gắt.