加密貨幣交易所Coinbase於週三確認,在與0x去中心化交易協議互動時,公司一個錢包設定錯誤,被自動交易機械人(MEV bot)攻擊,導致約30萬美元代幣費用被盜。事件起因於Coinbase錯誤地授權0x的「swapper」合約支出權限,令MEV機械人發現後即時抽走資金。
重點資訊:
- Coinbase因MEV機械人利用公司錢包錯誤為0x swapper合約審批代幣而損失30萬美元
- 交易所首席安全官確認並無顧客資金受影響,稱屬單一事件
- MEV機械人耐心等候錢包將支出權限賦予該暴露合約,一發現漏洞即時洗劫資金
技術分析漏洞詳情
Coinbase首席安全官Philip Martin於X發文承認損失,形容成事件為「個別問題」,原因在於公司其中一個去中心化交易錢包進行設定更改。他強調,整個過程中,顧客資金一直安全無受損失。
Venn Network安全研究員「deeberiroz」於週三早上最先發現此漏洞。他解釋Coinbase錯誤地批核代幣給swapper合約,而swapper屬於無需授權即可執行交易的工具,卻不應長期持有代幣授權。這項設定錯誤造成被監控區塊鏈漏洞的MEV機械人乘虛而入的機會。
MEV,全稱「maximal extractable value」,即最大可榨取價值,指自動化程式借前置/重新排序區塊鏈交易以獲利。在今次事件中,機械人於Coinbase撤回誤批權限前即行動,實時轉走代幣。
研究員亦於X指出,MEV機械人一直「潛伏等待有人錯誤批核該合約」。而當Coinbase出現失誤,這些機械人立即入侵,將交易所收費帳戶累積代幣抽走。
對交易所安全更深層次的啟示
0x swapper合約屬於無需授權任何人皆可調用,並直接轉移已授權代幣的設計。此特性為去中心化交易帶來彈性,同時構成MEV機械人攻擊交易所錢包漏洞。
雖然30萬美元損失對Coinbase影響小,但事件反映主流加密交易所同樣容易受高度自動化交易利用技術漏洞而被攻擊。
即使具規模且成熟的平台,仍會因小型但先進的區塊鏈操作失誤而蒙受損失。
MEV機械人於以太坊及其他公鏈廣泛存在,靠監控新幣上線、NFT鑄造及流動性操作等,以重排交易和提前搶跑獲利。
解讀MEV與DeFi相關術語
MEV指區塊鏈驗證者或機械人可透過在自己產生的區塊中插入、排除或重排列交易,以榨取最大利潤。該詞最初於PoW稱「礦工可榨取價值」,隨共識機制演變,已通指「最大可榨取價值」。
0x協議則為去中心化交易基礎設施,支援點對點加密貨幣交易,毋需集中式中介。其swapper合約負責撮合代幣兌換,但需小心處理授權權限,保障用戶資金。
費用收款錢包(例如Coinbase使用者)主要收集交易平台手續費及相關收入,故累積代幣價值甚高,安全配置出錯時,往往成為機械人狙擊目標。
今次事件,機械人持續監控有高額代幣的錢包是否誤批權限,一旦Coinbase收費帳戶出現錯誤,自動程式即時偷走資金,呈現現代MEV手法的速度與效率。
總結
Coinbase事件突顯交易所整合DeFi協議時遇到的技術複雜性。雖然最終損失有限且無顧客資金受損,但漏洞證明自動化機械人一直在市場上搜尋設定失誤,並把握即使極短暫的機會套利。