Coinbase因错误授权资产至0x swapper合约，导致一台MEV机器人耗尽其公司钱包，损失约30万美元的代币手续费。

Coinbase因误将资产授权至0x Project智能合约，导致约30万美元代币手续费被最大可提取价值（MEV）机器人转走。

Venn Network安全研究员Deebeez在周三于X平台发帖指出此事。他表示，Coinbase的公司钱包与0x的“swapper”合约进行了交互，该合约是一种无许可的兑换工具，设计用于执行兑换操作，但不应用于代币授权。

由于任何人都可调用该合约执行任意操作，授权行为可能会使资产立即面临被盗风险。“这个swapper此前已在Base链上的Zora申领中出现过问题，”该研究员写道，并关联了此前利用该机制、无需攻击合约漏洞即可提取资金的案例。

Deebeez分享的截图显示，Coinbase在周三下午为Amp、MyOneProtocol、DEXTools和Swell Network等代币授予了授权。随后，一台MEV机器人调用swapper合约，将Coinbase手续费接收账户中已授权的代币转至其自身地址。

MEV机器人暗中等待

Deebeez表示，耗尽Coinbase资金的MEV机器人一直在“暗中等待”，伺机等待用户错误授权合约，从而清空全部资金。“多亏了Coinbase，他们如愿以偿，”该研究员写道。

该研究员还表示，此次事件清空了Coinbase手续费接收账户中的所有代币，对于团队而言是一堂“昂贵的教训”。

Coinbase首席安全官Philip Martin证实了此次事件，并称这是由于公司某去中心化交易所（DEX）钱包配置变更导致的“孤立问题”。

Martin表示：“没有客户资金受到影响，”并补充称，Coinbase已撤销代币授权，并将剩余资金转移至新公司钱包。

MEV机器人漏洞导致18万美元以太坊损失

今年4月，一台MEV机器人因攻击者利用其访问控制系统漏洞，损失了18万美元以太币（ETH）。据称，攻击者在同一笔交易中，通过恶意创建的资金池将该机器人的ETH兑换成了毫无价值的代币。

2023年还发生过类似事件，一名恶意验证者利用MEV机器人在尝试“夹心交易”时的漏洞，盗取了价值2500万美元的数字资产，包括WBTC（WBTC）、USDC（USDC）、USDt（USDT）、DAI（DAI）和WETH（WETH）。

相关推荐：Fundstrat：以太坊（ETH）将成为未来10-15年的"最佳宏观交易标的"