加密货币交易所Coinbase周三确认,由于一个配置错误导致的企业钱包 与0x去中心化交易协议之间的交互失误,被自动化交易机器人利用, 损失约30万美元的代币费用。事件发生的原因在于, Coinbase错误地授予0x的“交换器”合同支出权限, 从而使最大可提取价值(MEV)机器人在检测到批准后立即耗尽资金。
需知事项:
- Coinbase在一个错误配置的企业钱包错误批准了0x的交换器合同
- 交易所的首席安全官确认没有客户资金受到影响,并称其为孤立事件
- MEV机器人等待钱包授予暴露的合同支出权,然后立即执行提取
攻击技术细节
Coinbase的首席安全官Philip Martin在X的一篇文章中承认了损失, 描述这起事件是由于公司一个企业去中心化交易钱包的更改引发的“孤立问题”。 他强调,事件期间客户资金未受影响。
来自Venn Network的安全研究员“deeberiroz”周三上午首次发现了这一漏洞。 研究员解释称,Coinbase错误地批准了代币到交换器合同, 该许可工具旨在执行交易,而不是持有代币许可。这一配置错误为不断监控 区块链网络的机会主义MEV机器人创造了机会。
MEV,全称“最大可提取价值”,描述的是自动化程序通过抢先或重新排序 区块链交易以获取利润的做法。在此实例中,机器人在Coinbase能撤销 无意的权限之前立即执行代币转移。
研究员在X上注意到,MEV机器人似乎一直“在暗中潜伏, 等待用户误批准这一合同”。当Coinbase犯下批准错误时,这些机器人 立即抓住机会,耗尽了交易所费率账户中的累积代币。
对交易所安全的更广泛影响
0x交换器合同的无许可性质允许任何参与方调用并将批准的代币直接转到自己的地址。 虽然这种设计功能支持去中心化交易,但也创造了MEV机器人可利用的漏洞。
虽然30万美元的损失对Coinbase的财务影响微乎其微,但这一事件 凸显了主要加密货币交易所如何仍容易遭受复杂的自动化交易攻击。
即使是成熟的平台也可能成为相对较小但技术先进的区块链操控手法的受害者。
MEV机器人已经在Ethereum和其他区块链网络中建立了常驻角色。 它们通过利用代币发布、NFT铸造事件和流动性提供活动, 通过内存池监控和交易重新排序功能获利。
了解MEV和DeFi术语
MEV指的是区块链验证者或机器人操作员通过在其生成的区块中 包含、排除或重新排序交易可以提取的最大利润。原被称为工作量证明网络上的 “矿工可提取价值”,随着区块链共识机制多样化,该术语演变为 “最大可提取价值”。
0x协议作为去中心化交易基础设施,支持点对点加密货币交易, 无需中心化中介。其交换器合同推动代币交换,但要求仔细的权限管理 以防止对用户资金的未经授权访问。
费率接收账户,如Coinbase运营的账户,收集交易费和其他 交易收入。此类钱包通常积累大量代币余额, 使得它们在安全配置失效时成为剥削机器人有吸引力的目标。
在这种情况下,机器人只需监控高价值钱包,误授予暴露的 合同支出权利。一旦Coinbase的费率接收方犯下此错误, 自动化系统便即时执行资金提取,展示了现代MEV操作的速度和效率。
终结思考
Coinbase事件强调了交易所在整合去中心化金融协议时面临的 技术复杂性。尽管财务影响有限且没有客户资金遭到破坏, 但该攻击揭示出自动化机器人如何持续扫描配置错误以利用 即使是短暂的机会窗口。