عنوان پست

کوین‌بیس حدود ۳۰۰٬۰۰۰ دلار در کارمزد توکن‌ها از دست داد پس از اینکه به اشتباه دارایی‌ها را به یک قرارداد هوشمند پروژه 0x تأیید کرد، که این اجازه را به یک ربات ارزش استخراج حداکثری (MEV) داد تا این وجوه را تخلیه کند.

دی‌بیز، یک محقق امنیتی در شبکه ون، این حادثه را در پستی در روز چهارشنبه در ایکس اعلام کرد. او گفت کیف پول شرکتی کوین‌بیس با قرارداد «سواپر» 0x تعامل داشت، ابزاری بدون نیاز به اجازه طراحی شده برای اجرای تعویض‌ها اما نه برای دریافت تأییدیه توکن‌ها.

از آنجایی که هر کسی می‌تواند قرارداد را فراخوانی کند تا اقدامات دلخواه انجام دهد، دادن تأییدیه‌ها ممکن است دارایی‌ها را در معرض سرقت فوری قرار دهد. «این همان سواپر است که شناخته شده مشکلاتی با ادعاهای زورا در Base داشته است»؛ این محقق نوشت و به مواردی گذشته لینک داد که در آن تنظیمات به بازیگران مخرب اجازه داده بود حتی بدون بهره‌برداری از آسیب‌پذیری‌های کد، وجوه استخراج کنند.

عکس‌های صفحه‌ای که توسط دی‌بیز به اشتراک گذاشته شده، نشان می‌داد کوین‌بیس در ظهر چهارشنبه تأییدیه‌هایی برای توکن‌هایی از جمله Amp، MyOneProtocol، DEXTools و Swell Network صادر کرده است. کمی بعد یک ربات MEV از قرارداد سواپر استفاده کرد تا توکن‌های تأیید شده را از حساب دریافت کارمزد کوین‌بیس به آدرس‌های خود منتقل کند.

مرتبط: ربات‌های MEV در اتریوم به طور فزاینده‌ای متمرکز شده‌اند

ربات MEV در تاریکی کمین کرده

دی‌بیز گفت ربات MEV که وجوه را از کوین‌بیس تخلیه کرد «در تاریکی کمین کرده بود»، منتظر بود تا کاربران به اشتباه به قرارداد برای تخلیه تمام دارایی‌هایشان اجازه دهند. «رویاشان با کمک کوین‌بیس محقق شد»؛ این محقق نوشت.

او افزود که این حادثه که حساب دریافت کارمزد کوین‌بیس را از تمامی توکن‌ها خالی کرد، «یک درس گران‌قیمت» برای تیم بود.

فیلیپ مارتین، مدیر ارشد امنیتی کوین‌بیس، این حادثه را تأیید کرد و آن را یک «مسئله ایزوله» دانست که به تغییر پیکربندی در یکی از کیف پول‌های شرکتی DEX این صرافی مرتبط بود.

مارتین گفت: «هیچ وجوهی از مشتریان تحت تأثیر قرار نگرفت» و افزود کوین‌بیس مجوزهای توکن را لغو کرد و وجوه باقی‌مانده را به کیف پول شرکتی جدید منتقل نمود.

مرتبط: ربات MEV کریپتو، ربات معاملاتی کریپتو را برای معامله‌گران فردی و سازمانی راه‌اندازی کرد

هزینه اکسپلویت ربات MEV برابر با ۱۸۰٬۰۰۰ دلار در اتر

در آوریل، یک ربات MEV پس از اینکه یک مهاجم از آسیب‌پذیری در سیستم کنترل دسترسی آن سوءاستفاده کرد، ۱۸۰٬۰۰۰ دلار اتر (ETH) از دست داد. گزارش شده که مهاجم، ETH ربات را با یک توکن بی‌ارزش از طریق یک استخر مخرب ایجاد شده در همان تراکنش معاوضه کرده بود.

در یک حادثه مشابه در سال ۲۰۲۳، یک اعتبارسنج خرابکار از ربات‌های MEV که تلاش برای انجام «معاملات ساندویچ» داشتند سوءاستفاده کرد و ۲۵ میلیون دلار دارایی دیجیتال از جمله WBTC (WBTC)، USDC (USDC)، USDt (USDT)، DAI (DAI) و WETH (WETH) سرقت کرد.

مجله: هک کوین‌بیس نشان می‌دهد قانون احتمالاً از شما محافظت نخواهد کرد — دلیلش این است