自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
20.00% 80.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

Coinbase因0xProject交换器漏洞遭MEV机器人攻击,损失30万美元

2025-08-14 19:31:02
收藏

Coinbase因操作失误损失30万美元手续费

在与0xProject兑换智能合约交互过程中,Coinbase因使用不当导致累计30万美元手续费被MEV机器人获取。匿名安全研究员deebeez在社交平台披露了这一事件。

合约权限设置缺陷引发风险

Deebeez指出,0xProject合约作为无需许可的兑换工具,允许任何人无限制执行操作,因此不适合用于接收代币授权。然而Coinbase似乎未意识到这一点,其为DEXTools、Swell Network等七个协议代币设置授权后,导致MEV机器人可立即提取所有资金。

"有MEV机器人在暗中潜伏,等待用户错误授权后清空资金——得益于Coinbase的操作,它们如愿以偿。"研究员表示。这被视作Coinbase团队付出的昂贵教训,其首席安全官Philip Martin确认事件源于企业DEX钱包变更导致的孤立问题,客户资金未受影响,目前团队已着手撤销代币授权并将资金转移至新钱包。

行业争议与平台质疑

尽管未波及用户资产,该事件仍引发对Coinbase运营能力的质疑。批评者指出,作为头部交易所接连出现操作失误值得警惕——数月前其披露的网络安全事件可能造成高达4亿美元损失。同时有用户反映近期遭遇登录故障,并对平台将Solana迷因币列入资产清单提出异议。

据行业数据统计,Coinbase仍以5.8%市占率保持美国最大交易所地位,全球排名第九位。

可组合性风险引发新型攻击

这并非0x钱包首次遭遇资金流失。4月份Zora空投事件中,攻击者通过将代币分配至0x结算合约,窃取价值12.8万美元的ETH。安全公司BlockAid将其定义为"可组合性攻击"——当独立安全的系统以意外方式交互时,无需系统本身存在漏洞即可创造可利用条件。

具体而言,Zora的空投领取机制未区分外部账户与智能合约地址,导致0x结算合约地址也能获取代币。当Zora误将生态代币发送至该合约后,了解交互机制的攻击者便可轻易获取资产。

展开阅读全文
更多新闻