Coinbase因误将资产授权至0x Project智能合约，导致约30万美元代币手续费被最大可提取价值（MEV）机器人转走。

Venn Network安全研究员Deebeez在周三于X平台发帖指出此事。他表示，Coinbase的公司钱包与0x的“swapper”合约进行了交互，该合约是一种无许可的兑换工具，设计用于执行兑换操作，但不应用于代币授权。

由于任何人都可调用该合约执行任意操作，授权行为可能会使资产立即面临被盗风险。“这个swapper此前已在Base链上的Zora申领中出现过问题，”该研究员写道，并关联了此前利用该机制、无需攻击合约漏洞即可提取资金的案例。

Deebeez分享的截图显示，Coinbase在周三下午为Amp、MyOneProtocol、DEXTools和Swell Network等代币授予了授权。随后，一台MEV机器人调用swapper合约，将Coinbase手续费接收账户中已授权的代币转至其自身地址。

Deebeez表示，耗尽Coinbase资金的MEV机器人一直在“暗中等待”，伺机等待用户错误授权合约，从而清空全部资金。“多亏了Coinbase，他们如愿以偿，”该研究员写道。

该研究员还表示，此次事件清空了Coinbase手续费接收账户中的所有代币，对团队而言是一堂“昂贵的教训”。

Coinbase首席安全官Philip Martin证实了此次事件，并称这是由于公司某去中心化交易所（DEX）钱包配置变更导致的“孤立问题”。

Martin表示：“没有客户资金受到影响，”并补充称，Coinbase已撤销代币授权，并将剩余资金转移至新公司钱包。

今年4月，一台MEV机器人因攻击者利用其访问控制系统漏洞，损失了18万美元以太币（ETH）。据称，攻击者在同一笔交易中，通过恶意创建的资金池将该机器人的ETH兑换成了毫无价值的代币。

2023年出现过类似事件，一名恶意验证者利用MEV机器人尝试“夹心交易”时的漏洞，盗取了价值2500万美元的数字资产，包括WBTC（WBTC）、USDC（USDC）、USDt（USDT）、DAI（DAI）和WETH（WETH）。

相关推荐：Fundstrat：以太坊（ETH）将成为未来10-15年的"最佳宏观交易标的"

原文: 《 “昂贵教训”：Coinbase因0x合约漏洞损失30万美元代币手续费 》

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。