Coinbase verliest $300.000 na fout in tokenmachtigingen door 0x-smart contract

De Amerikaanse crypto-exchange Coinbase heeft naar schatting $300.000 verloren nadat per ongeluk tokenmachtigingen werden verleend aan een smart contract van het 0x-project. Door deze fout kon een zogenoemde Maximal Extractable Value (MEV) bot de tokens direct weghalen.

Beveiligingsonderzoeker ontdekt lek

Het incident werd aan het licht gebracht door beveiligingsonderzoeker DeBeez van Venn Network in een bericht op X. Volgens hem had de bedrijfswallet van Coinbase interactie met het “Swapper”-contract van 0x — een tool waarmee zonder expliciete toestemming swaps kunnen worden uitgevoerd, maar waarbij geen tokenmachtigingen verstrekt zouden moeten worden.

Omdat iedereen het contract kan aanroepen voor willekeurige acties, kan het verlenen van machtigingen leiden tot directe diefstal van cryptocurrency. DeBeez verwees naar eerdere incidenten waarbij dezelfde swapper werd misbruikt, onder meer bij Zora-claims, zonder dat er sprake was van een codekwetsbaarheid.

MEV-bot sloeg onmiddellijk toe

Uit gedeelde screenshots blijkt dat Coinbase machtigingen verleende voor onder meer AMP, MyoneProtocol, Dextools en Swell Network. Kort daarna activeerde een MEV-bot het swapper-contract om de goedgekeurde tokens vanaf de vergoedingsrekening van Coinbase naar eigen adressen over te maken.

Volgens DeBeez “lag de bot op de loer in het donker” en wachtte hij tot gebruikers het contract verkeerd zouden goedkeuren. “Hun droom kwam uit dankzij Coinbase,” schreef de onderzoeker.

Coinbase: geen klantfondsen getroffen

Philip Martin, Chief Security Officer van Coinbase, bevestigde het incident en noemde het een “geïsoleerd probleem” veroorzaakt door een configuratiewijziging in een van de DEX-portefeuilles van het bedrijf.

“Er zijn geen klantfondsen getroffen,” benadrukte Martin. Hij gaf aan dat de tokenmachtigingen inmiddels zijn ingetrokken en de resterende bedrijfsfondsen zijn overgezet naar een nieuwe bedrijfswallet.

Eerdere MEV-aanvallen in de cryptowereld

Het incident past in een reeks recente aanvallen waarbij MEV-bots het doelwit waren. In april verloor een MEV-bot $180.000 aan Ethereum na misbruik van een zwak toegangscontrolesysteem. In 2023 wist een malafide validator zelfs $25 miljoen aan digitale activa te stelen door zogenoemde sandwich-transacties te gebruiken.

Claim vandaag nog €10 gratis en betaal geen handelskosten over de eerste €10.000!

Grijp deze unieke kans met Newsbit en Bitvavo door nu een account aan te maken via de knop hieronder. Stort slechts €10 en ontvang direct €10 gratis. Bovendien kun je 7 dagen lang zonder kosten handelen over je eerste €10.000 aan transacties. Start vandaag nog en profiteer direct van de groeiende populariteit van crypto!

Maak je account en Claim je €10 gratis.

Mis deze kans niet om direct te profiteren van de groeiende populariteit van Crypto!