资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
美国最大加密货币交易所Coinbase因智能合约授权失误损失近30万美元
美国最大加密货币交易所Coinbase(股票代码:COIN)近日因智能合约授权操作失误,导致价值约30万美元(约合4.17亿韩元)的代币手续费被恶意窃取。此次事故源于对0x项目Swapper合约的错误处理,MEV(最大可提取价值)机器人利用该漏洞转移了资金。
安全漏洞技术分析
区块链安全分析公司Ben Network研究员Deebeez于当地时间3日在社交平台披露了事件细节。据其分析,Coinbase通过企业钱包对0x项目智能合约进行了资产授权操作。该Swapper合约虽设计为代币交换工具,但开发时并未考虑常规授权功能的应用场景。
由于采用无许可(Permissionless)设计模式的Swapper合约允许任何人调用,当授权功能被错误激活时,立即成为恶意攻击者的目标。Deebeez特别指出:"该Swapper合约此前在Base链上就发生过与Zora代币申领相关的安全事件,本次又出现了类似形式的未授权资金转移。"
攻击过程还原
公开的交易截图显示,Coinbase先后对Amp、MyOneProtocol、DEXTools以及Swell Network等多个代币执行了手续费账户授权操作。MEV机器人随即利用这些权限调用Swapper合约,将资金瞬间转移至其他地址完成窃取。
行业安全警示
这起事件暴露出对智能合约安全基本原则的忽视。专家指出,向可公开调用的合约开放授权权限,本质上等同于直接移交加密货币资产控制权。业内对Coinbase等专业机构犯下此类基础性错误表示担忧,强调必须建立更严格的智能合约交互验证机制。
