Coinbase столкнулся с убытками в размере $300,000 из-за неправильного использования смарт-контракта 0xProject, что привлечет внимание к проблемам безопасности на платформе.
Общая информация об инциденте
Согласно исследователю по безопасности с псевдонимом deebeez, Coinbase неудачно использовал контракт 0xProject для получения токенов. Этот контракт является разрешенным, что позволяет любому пользователю взаимодействовать с ним без ограничений. В результате Coinbase осуществил одобрение токенов для нескольких протоколов, что дало MEV боту возможность похитить средства.
Мнение экспертов и реакция Coinbase
Deebeez описал данный инцидент как дорогостоящий урок для команды Coinbase, что подтвердил и главный специалист по безопасности компании Филипп Мартин. Он заверил, что инцидент не затронул средства пользователей, и команда работает над удалением токенов и переносом средств в новый корпоративный кошелек. Некоторые эксперты отметили, что шифрование mempool могло бы предотвратить подобный инцидент, но deebeez подчеркнул, что это не решает всех проблем с MEV атаками.
Проблемы безопасности и прошлые инциденты
Инцидент с Coinbase стал очередной темой для критики платформы, особенно на фоне недавнего кибератаки, последствия которой оценивались в $400 миллионов. Кроме того, в апреля фонды также были похищены из кошелька 0x в результате атаки на механизмы аирдропа Zora, подтвердив существование рисков композиции в интерфейсе системы, когда независимые безопасные компоненты взаимодействуют друг с другом и создают уязвимости.
Таким образом, инцидент с Coinbase подчеркивает важность внимательного подхода к использованию смарт-контрактов и взаимодействия с внешними системами, что может привести к потерям в будущем.
