Secondo quanto diffuso, Coinbase avrebbe perso circa 300.000 dollari in token fee dopo aver erroneamente approvato degli asset a uno 0x Project smart contract, consentendo a un bot MEV (Maximal Extractable Value) di prosciugare i fondi.
Deebeez, ricercatore di sicurezza presso Venn Network, ha segnalato l'accaduto in un post pubblicato mercoledì su X. Egli ha affermato che il wallet aziendale di Coinbase avrebbe interagito con il contratto “swapper” di 0x, uno strumento senza autorizzazione progettato per eseguire swap ma non per ricevere approvazioni.
Poiché chiunque è in grado di richiamare il contratto per eseguire azioni arbitrarie, concedere approvazioni può esporre gli asset al furto immediato. “Questo stesso swapper è noto per aver causato problemi con le richieste di Zora su Base”, scrive il ricercatore, collegandosi a casi passati in cui la configurazione ha consentito a malintenzionati di sottrarre fondi senza sfruttare vulnerabilità del codice.
Gli screenshot condivisi da Deebeez evidenziano come Coinbase abbia concesso approvazioni per token quali Amp, MyOneProtocol, DEXTools e Swell Network nella giornata di mercoledì pomeriggio. Poco dopo, un bot MEV ha richiamato il contratto dello swapper per trasferire i token approvati dall'account fee receiver di Coinbase ai propri indirizzi.
Bot MEV in agguato
Deebeez riferisce come il bot MEV abbia prosciugato i fondi di Coinbase agendo “nell'ombra”, in attesa che gli utenti approvassero erroneamente il contratto per prosciugare tutti i loro fondi. “Il loro sogno si è avverato grazie a Coinbase”, riporta il ricercatore.
Deebeez sostiene inoltre che l'incidente, che ha prosciugato il fee account di Coinbase di tutti i suoi token, sia stato una “costosa lezione” per il team.
Il chief security officer di Coinbase Philip Martin ha confermato l'incidente, descrivendolo come un “problema isolato” legato a una modifica della configurazione in uno dei wallet DEX aziendali dell'exchange.
“I fondi dei clienti non sono stati compromessi”, sottolinea Martin, precisando che Coinbase ha revocato le autorizzazioni e trasferito i fondi rimanenti su un nuovo wallet aziendale.
L'exploit del MEV bot è costato 180.000$ in Ether
Ad aprile, unMEV bot ha subito una perdita di 180.000$ in Ether (ETH) a seguito dello sfruttamento di una vulnerabilità nel sistema di controllo degli accessi da parte di un hacker. Secondo quanto emerso, l'hacker avrebbe scambiato ETH del bot con un token senza valore tramite un pool dannoso creato all'interno della stessa transazione.
In un caso simile verificatosi nel 2023, un validatore fraudolento ha sfruttato i MEV bot tramite “sandwich trade”, riuscendo a sottrarre 25 milioni di dollari in asset digitali, tra cui WBTC (WBTC), USDC (USDC), USDt (USDT), DAI (DAI) e WETH (WETH).