资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
MEV机器人套现Coinbase三十万美元
因误将资产授权给0x项目智能合约,Coinbase损失约30万美元代币费用。该操作使最大可提取价值(MEV)机器人得以转移资金。事件最初由Venn Network安全研究员Deebeez发现,其在社交媒体披露Coinbase企业钱包与0x的"swapper"合约产生交互。这种无需许可的工具本应用于执行代币交换而非接收授权,此类授权会导致资产面临即时被盗风险。
合约漏洞遭恶意利用
由于任何人都可调用该交换合约执行任意操作,资产授权等同于为恶意行为者开启转移代币的绿灯。研究员指出,该合约此前就与Base链上Zora申领问题相关,类似设置曾导致资金被提取。曝光的截图显示,周三下午Coinbase先后授权了Amp、MyOneProtocol等代币权限,MEV机器人随后立即调用合约,将获批代币从Coinbase费用接收账户转移至其控制地址。
Deebeez形容该机器人长期"潜伏在暗处"等待此类失误,本次事件为攻击者提供了绝佳机会。全部代币被转移的费用接收账户,为Coinbase上了"昂贵的一课"。
官方回应与行业现状
Coinbase首席安全官菲利普·马丁证实此事系"独立事件",源于交易所某个企业DEX钱包的配置变更。他强调用户资金未受影响,已撤销代币授权并将剩余资金转移至新企业钱包。近年来MEV机器人相关攻击激增:四月某机器人因访问控制系统遭利用,18万美元ETH被兑换为无价值代币;2023年恶意验证者通过三明治交易攻击MEV机器人,窃取包括WBTC在内价值2500万美元资产。
以太坊核心开发者遭遇钱包窃取
与此同时,以太坊核心开发者扎克·科尔披露自己成为恶意代码助手的攻击目标。他安装了名为"contractshark.solidity-lang"的Cursor ai扩展程序,该程序看似正规——具有精美图标、详细说明及超5.4万次下载量。该扩展暗中读取其.env文件获取私钥并发送至攻击者服务器,导致其热钱包在周日被清空前已被控制三天。
安全防护建议
拥有十年加密货币经验的科尔表示这是首次因黑客攻击受损,由于使用小额项目专用热钱包测试,仅损失"数百美元"ETH,主要资产仍存储在硬件设备中。他认为匆忙部署合约时疏忽安全检查是主因。区块链安全公司Cyvers的安全主管哈坎·乌纳尔建议开发者应严格审查扩展程序、避免明文存储敏感信息、使用硬件钱包并在隔离环境中工作。
值得注意的是,AMLBot四月报告显示,钱包窃取器正以服务形式出售。诈骗者甚至可用100美元USDT租用,使其获取门槛创历史新低。此类攻击呈现上升趋势:2024年9月谷歌商店假冒WalletConnect应用存活五个月,窃取投资者超7万美元。特别是针对开发者的恶意VS Code扩展,常通过仿冒发布者和域名仿拼诱导安装。
