Coinbase, 0x Projesi Akıllı Sözleşmesi Hatası Nedeniyle 300.000 Dolar Kaybetti

Kripto para borsası Coinbase, 0x Projesi akıllı sözleşmesine yanlışlıkla onay vererek yaklaşık 300.000 dolar değerinde token kaybetti. Güvenlik araştırmacısı Deebeez, X'teki bir gönderide olayı duyurdu. Coinbase'in kurumsal cüzdanının, takas işlemleri için tasarlanan ancak token onaylarını almak üzere tasarlanmayan bir araç olan 0x'in "swapper" sözleşmesiyle etkileşime girdiği belirtildi. Bu durum, yetkisiz kişilerin sözleşmeyi çağırarak rastgele işlemler gerçekleştirmesine olanak tanıdığından, onayların verilmesi, varlıkların derhal çalınmasına yol açabiliyor.

Deebeez'in paylaştığı ekran görüntülerinde, Coinbase'in Çarşamba günü Amp, MyOneProtocol, DEXTools ve Swell Network dahil olmak üzere tokenler için onaylar verdiği görüldü. Kısa bir süre sonra, bir MEV botu, onaylanmış tokenleri Coinbase'in ücret alıcısı hesabından kendi adreslerine aktarmak için swapper sözleşmesini çağırdı. Deebeez, Coinbase'den fonları çeken MEV botunun, kullanıcıların sözleşmeyi yanlışlıkla onaylamasını ve tüm fonlarını çekmesini beklediğini ifade etti. Araştırmacı, olayın Coinbase ekibi için "pahalı bir ders" olduğunu ekledi.

Coinbase'in güvenlik şefi Philip Martin, olayı doğrulayarak, bunun borsanın kurumsal DEX cüzdanlarından birindeki bir yapılandırma değişikliğiyle ilgili "izole bir sorun" olduğunu belirtti. Martin, "Müşteri fonları etkilenmedi" dedi ve Coinbase'in token izinlerini iptal ettiğini ve kalan fonları yeni bir kurumsal cüzdana taşıdığını ekledi. Ayrıca, Nisan ayında bir MEV botunun, erişim kontrol sistemindeki bir güvenlik açığından yararlanan bir saldırgan tarafından yaklaşık 180.000 dolar kaybettiği ve 2023'teki benzer bir olayda, bir kötü niyetli doğrulayıcının "sandwich trades" girişiminde bulunan MEV botlarını sömürerek WBTC, USDC, USDT, DAI ve WETH dahil 25 milyon dolarlık dijital varlık çaldığı belirtildi.

Sonuç olarak, bu olay, Coinbase'in 0x Projesi akıllı sözleşmesiyle etkileşiminde yapılan bir hata sonucu gerçekleşti ve önemli miktarda finansal kayba yol açtı. Müşteri fonlarının etkilenmemesi sevindirici olsa da, bu olay, kripto para platformlarında güvenlik açıklarının ve MEV botlarının oluşturduğu riskleri bir kez daha gözler önüne seriyor.