MEV-бот вивів $300 000 з Coinbase через помилку з дозволами
Coinbase втратила близько $300 000 в комісійних токенах після того, як помилково надала дозвіл на використання активів смартконтракту 0x swapper. Це дало MEV-боту змогу вивести кошти з корпоративного гаманця біржі.
Looks like @coinbase was recently drained of ~$300,000 after using @0xProject swapper incorrectly.
— deebeez (@deeberiroz) August 13, 2025
They approved all the tokens accrued as fees to their router, getting drained immediately by MEV bots 🧵 pic.twitter.com/yWNHl8nupg
За словами дослідника безпеки з Venn Network під ніком Deebeez, корпоративний гаманець Coinbase взаємодіяв із контрактом «swapper» від 0x — permissionless-інструментом для виконання обмінів. Він додав, що цей контракт вже викликав проблеми з Zora у мережі Base.
Оскільки будь-хто може викликати контракт для виконання довільних дій, надання цьому контракту дозволу на використання активів відкриває шлях до їх негайного викрадення.
Coinbase надала дозволи на токени Amp, MyOneProtocol, DEXTools та Swell Network 13 серпня. Невдовзі після цього MEV-бот викликав контракт swapper, щоб переказати схвалені токени з акаунта-отримувача комісій Coinbase на власні адреси.
Директор з безпеки Coinbase Філіп Мартін підтвердив інцидент, назвавши його «ізольованою проблемою», пов’язаною зі зміною конфігурації одного з корпоративних DEX-гаманців біржі.
Thanks for flagging. I can confirm this is an isolated issue due to a change we made with one of our corporate DEX wallets, which led to unauthorized transfers. No customer funds were impacted. We’re revoking token allowances and are moving funds to a new corporate wallet. Big…
— Philip Martin (@SecurityGuyPhil) August 13, 2025
Мартін наголосив, що кошти клієнтів не постраждали, а компанія відкликала дозволи на використання токенів і перевела залишки на новий корпоративний гаманець.
Нагадаємо, на думку спеціалістів Flashbots, MEV є ключовим бар’єром для масштабування криптомереж.