Coinbase perdió alrededor de 300.000 dólares en comisiones por tokens tras aprobar por error activos para un contrato inteligente del Proyecto 0x, lo que permitió a un bot de valor extraíble máximo (MEV) vaciar los fondos.
Deebeez, investigador de seguridad de Venn Network, señaló el incidente en una publicación del miércoles en X. Afirmó que el monedero corporativo de Coinbase interactuó con el contrato “swapper” de 0x, una herramienta sin permisos diseñada para ejecutar intercambios (o swaps), pero no para recibir aprobaciones de tokens.
Dado que cualquiera puede pedir al contrato que realice acciones arbitrarias, conceder aprobaciones puede exponer los activos a un robo inmediato. “Se sabe que este mismo swapper ha tenido problemas con las reclamaciones de Zora en Base”, escribió el investigador, enlazando con casos anteriores en los que la configuración permitió a actores maliciosos extraer fondos sin explotar vulnerabilidades del código.
Las capturas de pantalla compartidas por Deebeez mostraban que Coinbase concedió aprobaciones para tokens como Amp, MyOneProtocol, DEXTools y Swell Network el miércoles por la tarde. Poco después, un bot MEV llamó al contrato swapper para transferir los tokens aprobados de la cuenta receptora de comisiones de Coinbase a sus direcciones.
El bot MEV acechaba en la oscuridad
Deebeez dijo que el bot MEV que drenó los fondos de Coinbase había estado “acechando en la oscuridad”, esperando a que los usuarios aprobaran por error el contrato para drenar todos sus fondos. “Su sueño se hizo realidad gracias a Coinbase”, escribió el investigador.
El investigador añadió que el incidente, que drenó la cuenta receptora de comisiones de Coinbase de todos sus tokens, fue una “lección cara” para el equipo.
El director de seguridad de Coinbase, Philip Martin, confirmó el incidente y lo describió como un “problema aislado” relacionado con un cambio de configuración en uno de los monederos de DEX corporativos del exchange.
“No se vieron afectados los fondos de los clientes”, dijo Martin, y añadió que Coinbase revocó las asignaciones de tokens y trasladó los fondos restantes a un nuevo monedero corporativo.
El exploit del bot MEV cuesta 180.000 dólares en Ether
En abril, un bot MEV perdió 180.000 dólares en Ether (ETH) después de que un atacante explotara una vulnerabilidad en su sistema de control de acceso. Según se informa, el atacante cambió el ETH del bot por un token sin valor a través de un pool malicioso creado dentro de la misma transacción.
En un incidente similar en 2023, un validador malintencionado explotó los bots MEV que intentaban realizar “operaciones sándwich”, robando 25 millones de dólares en activos digitales, incluidos WBTC (WBTC), USDC (USDC), USDt (USDT), DAI (DAI) y WETH (WETH).