Anasayfa
Canlı Borsa
Borsa
Döviz Kurları
Altın
Hisse Senetleri
Endeksler
Kripto Paralar
Döviz Hesaplama
Döviz Çevirici
Kredi Arama
admin
Coinbase, varlıkları yanlışlıkla 0x Project akıllı sözleşmesine onayladıktan sonra yaklaşık 300.000$ değerinde token ücreti kaybetti. Bu durum, maksimal çıkarılabilir değer (MEV) botunun fonları boşaltmasına izin verdi.
Venn Network’ten güvenlik araştırmacısı Deebeez, olayı Çarşamba günü X platformunda paylaştığı bir gönderide açıkladı. Coinbase’in kurumsal cüzdanının, takas işlemleri gerçekleştirmek için tasarlanmış ancak token onaylarını almak için olmayan 0x’in “swapper” sözleşmesiyle etkileşime girdiğini belirtti.
Herhangi bir kişi sözleşmeyi çağırarak keyfi işlemler yapabildiğinden, onay vermek varlıkların anında çalınmasına yol açabilir. Araştırmacı, “Bu aynı swapper’ın Base üzerindeki Zora talepleriyle ilgili sorunları olduğu biliniyor” diyerek, bu yapı sayesinde kötü niyetli aktörlerin kod açıklarını kullanmadan fonları çektiği önceki vakalara bağlantı verdi.
Deebeez’in paylaştığı ekran görüntüleri, Coinbase’in Çarşamba öğleden sonra Amp, MyOneProtocol, DEXTools ve Swell Network gibi tokenlar için onay verdiğini gösterdi. Kısa süre sonra bir MEV botu, swapper sözleşmesini çağırarak onaylanan tokenları Coinbase’in ücret alıcı hesabından kendi adreslerine transfer etti.
İlgili:
Karanlıkta pusuya yatmış MEV botu
Deebeez, Coinbase’den boşaltılan fonların “karanlıkta pusuya yattığını” ve kullanıcıların sözleşmeyi yanlışlıkla onaylamasını beklediğini söyledi. “Hayalleri Coinbase sayesinde gerçek oldu” diye ekledi araştırmacı.
Olayın, Coinbase’in ücret alıcı hesabındaki tüm tokenların boşaltılmasıyla sonuçlandığını ve ekip için “pahalı bir ders” olduğunu belirtti.
Coinbase’in baş güvenlik sorumlusu Philip Martin, olayı “izole bir sorun” olarak nitelendirdi ve bunun borsanın kurumsal DEX cüzdanlarından birindeki yapılandırma değişikliğiyle bağlantılı olduğunu açıkladı.
“Hiçbir müşteri fonu etkilenmedi,” diyen Martin, Coinbase’in token izinlerini iptal ettiğini ve kalan fonları yeni bir kurumsal cüzdana taşıdığını ekledi.
İlgili:
MEV botu açığı Ether’de 180.000$ kayba yol açtı
Nisan ayında, bir MEV botu, erişim kontrol sistemindeki bir açığı kullanan saldırgan tarafından Ether (ETH) cinsinden 180.000$ kaybetti. Saldırganın, aynı işlem içinde oluşturulan kötü niyetli bir havuz aracılığıyla botun ETH’sini değersiz bir token ile değiştirdiği bildirildi.
2023’te benzer bir olayda, kötü niyetli bir doğrulayıcı “sandviç işlemleri” yapmaya çalışırken 25 milyon dolar değerinde dijital varlık çaldı. Bu varlıklar arasında WBTC (Wrapped Bitcoin), USDC, USDt, DAI ve WETH (Wrapped Ether) bulunuyordu.
Dergi:
