加密貨幣交易所 Coinbase 週三證實,公司約損失 30 萬美元代幣費用,原因是一個企業錢包與 0x 去中心化交易協議出現錯誤結合時,被自動化交易機器人利用。事發當時,Coinbase 錯誤授權 0x「swapper」合約開支權限,使最大可提取價值(MEV)機器人在發現授權後立即清空資金。
重要重點:
- Coinbase 因 MEV 機器人利用一個錯誤配置的企業錢包,錯誤批准代幣給 0x「swapper」合約,損失 30 萬美元
- 交易所資訊安全長證實未有客戶資金受影響,並稱此為個案
- MEV 機器人等待該錢包開放合約的開支權限後,立即進行搶奪
技術細節解析
Coinbase 資訊安全長 Philip Martin 在 X 上發文表示,這是一項公司企業去中心化交易錢包變更導致的「個別事件」,客戶資金在整個事件中均未受影響。
Venn Network 資安研究員 "deeberiroz" 週三率先偵測到此攻擊。研究員解釋 Coinbase 錯誤地批准了 swapper 合約的代幣,該合約設計為無許可外部執行交易,但本不應有持有代幣授權。這種配置錯誤讓專門監控區塊鏈漏洞的 MEV 機器人有機可乘。
MEV,即最大可提取價值,是指自動化程式可以搶先或重排區塊鏈交易來獲利的手法。本次發生時,機器人在 Coinbase 能撤銷授權前即完成代幣轉移。
研究人員於 X 指出,MEV 機器人「潛伏」等待用戶誤將授權給此合約。一旦 Coinbase 出現認證錯誤,這些機器人便立刻抓住機會,清空交易所費用接收帳戶累積的代幣。
交易所安全更廣泛的含義
0x swapper 合約為無需許可類型,任何人皆可調用將獲授權的代幣直接轉至自身地址。這一設計促成去中心化交易的同時,也形成了 MEV 機器人對 Coinbase 錢包的攻擊漏洞。
雖然損失金額對 Coinbase 而言財務衝擊不大,此事件突顯主流加密貨幣交易所亦難免遭遇自動化交易攻擊。
就算是大型平台也可能受到技術先進但規模較小的區塊鏈操作手法攻擊。
MEV 機器人已在以太坊等區塊鏈持續活動,靠監控新幣發行、NFT 鑄造和流動性提供等場景、透過交易池重排序持續獲利。
認識 MEV 及 DeFi 術語
MEV 指區塊鏈驗證者或機器人操作者可在產生區塊時,透過插入、排除、重排交易順序提取最大利潤。此詞最初為工作量證明系統下的「miner extractable value」,隨不同共識出現演變為「maximal extractable value」。
0x 協議為支持點對點加密貨幣交易的去中心化基礎設施,無需中心仲介。其 swapper 合約便於代幣兌換,但授權權限管理需嚴謹,以防未經授權存取用戶資金。
費用接收帳戶如 Coinbase 調用者,會累積平台費用與收益,因此常持有大量代幣,一旦安全配置出錯,就成為機器人追蹤的主要標的。
本案中,機器人僅需守候高資產錢包誤授權給風險合約,一旦 Coinbase 費用接收帳戶犯下錯誤,自動化系統即閃電盜取資產,顯現現代 MEV 行動之速度與效率。
結語
此事件反映交易所與 DeFi 協議整合時的技術複雜度。儘管財損有限且無客戶資金受害,事件揭示自動化機器人正不斷掃描設置錯誤,利用每個短暫機會。