Coinbase因误将资产授权至0x Project的交换合约，结果导致一台最大可提取价值（MEV）机器人耗尽其公司钱包，损失约30万美元的代币手续费。

Venn Network的安全研究员Deebeez在周三于X平台上发文指出，此事件的发生。他表示，Coinbase的公司钱包与0x的“swapper”合约进行了交互，该合约是一种无许可的兑换工具，旨在执行代币交换，而不应被用于代币授权。

由于任何人都可以调用该合约执行任何操作，因此授权行为可能会立即让资产面临被盗的风险。“这个swapper合约此前在Base链上的Zora项目中曾出现过问题，”该研究员提到，同时关联了之前利用该机制无需攻击合约漏洞便可提取资金的案例。

Deebeez分享的截图显示，Coinbase在周三下午为Amp、MyOneProtocol、DEXTools和Swell Network等代币授予了授权。随后，一台MEV机器人利用swapper合约，将Coinbase手续费接收账户中已授权的代币转移至其自身地址。

MEV机器人暗中等待

Deebeez表示，耗尽Coinbase资金的MEV机器人一直在“暗中等待”，伺机等待用户错误授权合约，从而清空全部资金。“多亏了Coinbase，他们最终如愿以偿，”该研究员表示。

他还指出，这次事件清空了Coinbase手续费接收账户中的所有代币，给团队上了沉重的一课，这是一次“昂贵的教训”。

Coinbase首席安全官Philip Martin证实了这一事件，并表示这源于公司某去中心化交易所（DEX）钱包的配置变更导致的“隔离问题”。

Martin进一步表示：“没有客户资金受到影响。”他补充道，Coinbase已经撤销了相关代币的授权，并将剩余资金转移至新的公司钱包。

MEV机器人漏洞导致18万美元以太坊损失

今年四月，有一台MEV机器人因其访问控制系统的漏洞而损失了18万美元以太币（ETH）。据称，攻击者在同一笔交易中通过恶意创建的资金池将该机器人的ETH兑换成了毫无价值的代币。

在2023年，类似事件也曾发生。一名恶意验证者利用MEV机器人在尝试“夹心交易”时发现漏洞，盗取了价值2500万美元的数字资产，其中包括WBTC、USDC、USDt、DAI和WETH等。

相关推荐：Fundstrat：以太坊（ETH）将成为未来10-15年的"最佳宏观交易标的"