据报道，Coinbase因错误将资产授权至0x的swapper合约，导致一台MEV机器人耗尽了其公司钱包，损失约30万美元的代币手续费。

Coinbase在错误将资产授权至0x Project的智能合约后，遭到一台MEV（最大可提取价值）机器人转移约30万美元的代币手续费。

Venn Network的安全研究员Deebeez在周三于X平台上发帖指出，Coinbase的公司钱包与0x的“swapper”合约进行了互动。该合约是一种无许可的兑换工具，设计用于执行代币兑换，而不应当用于授权代币。

由于该合约可以被任何人调用，因此授予授权的行为可能导致资产面临被盗风险。“该swapper之前在Base链上的Zora申领中就出现过问题，”该研究员提到，并列举了类似情况的案例，表明在不攻击合约漏洞的情况下也能提取资金。

Deebeez分享的截图显示，Coinbase在周三下午为多个代币（包括Amp、MyOneProtocol、DEXTools和Swell Network等）授予了授权。随后，一台MEV机器人利用swapper合约，将Coinbase手续费接收账户中已授权的代币转移至其自身地址。

MEV机器人的潜伏

Deebeez表示，耗尽Coinbase资金的MEV机器人一直在“暗中等待”，寻找用户错误授权合约的机会，从而清空资金。“他们的策略成功得益于Coinbase的失误，”该研究员评论道。

此次事件导致Coinbase手续费接收账户中的所有代币被清空，对团队而言是一堂“昂贵的教训”。

Coinbase首席安全官Philip Martin确认了这一事件，并表示这是由于公司某去中心化交易所（DEX）钱包配置变更造成的“孤立问题”。

Martin指出：“没有客户资金受到影响，”并补充称Coinbase已撤销代币授权，并将剩余资金转移至新的公司钱包。

MEV机器人漏洞曾导致18万美元以太坊损失

今年4月，另一台MEV机器人因攻击者利用其访问控制系统的漏洞，损失了18万美元以太币（ETH）。攻击者通过恶意创建的资金池，将该机器人的ETH兑换成了毫无价值的代币。

2023年也曾出现了类似事件，一名恶意验证者利用MEV机器人在尝试“夹心交易”时的漏洞，盗取了价值2500万美元的数字资产，包括WBTC（WBTC）、USDC（USDC）、USDt（USDT）、DAI（DAI）和WETH（WETH）。

相关推荐：Fundstrat认为以太坊（ETH）将成为未来10-15年的“最佳宏观交易标的”。