Wiodąca giełda kryptowalut Coinbase niedawno doświadczyła straty finansowej w wysokości około 300 000 dolarów, wynikającej z błędnej konfiguracji jednego ze swoich portfeli korporacyjnych – incydentu szybko wykorzystanego przez boty Maximal Extractable Value (MEV). To zdarzenie podkreśla złożone luki w zabezpieczeniach nieodłącznie związane z szybko ewoluującym ekosystemem zdecentralizowanych finansów (DeFi).
- Giełda Coinbase straciła ok. 300 000 USD z powodu błędnej konfiguracji portfela korporacyjnego.
- Szybkie wykorzystanie luki nastąpiło za sprawą botów Maximal Extractable Value (MEV).
- Incydent polegał na nieprawidłowym zatwierdzeniu transferów tokenów do kontraktu 0x zdecentralizowanej giełdy (DEX).
- Philip Martin, dyrektor ds. bezpieczeństwa Coinbase, potwierdził, że środki klientów pozostały nienaruszone.
- Giełda podjęła natychmiastowe działania, cofając uprawnienia i przenosząc dotknięte aktywa.
- Zdarzenie to podkreśla ciągłą potrzebę rygorystycznych audytów bezpieczeństwa w ekosystemie DeFi.
Szczegóły Incydentu i Mechanizm Wykorzystania
Incydent, ujawniony przez badacza bezpieczeństwa „deeberiroz” z Venn Network, dotyczył portfela korporacyjnego, który błędnie zatwierdził transfery tokenów do kontraktu zdecentralizowanej giełdy 0x, który nie był przeznaczony do takich uprawnień. Jak szczegółowo opisano w poście na x.com z dnia 13 sierpnia 2025 r. autorstwa „deeberiroz”, portfel nieumyślnie zatwierdził wszystkie tokeny zgromadzone jako opłaty na swoim routerze. Kontrakt swappera 0x, znany ze swojej nieograniczonej możliwości wywoływania, stał się natychmiastowym celem dla botów MEV zaprogramowanych do wykrywania i wykorzystywania błędnych operacji. Po zatwierdzeniu różnych tokenów, w tym Amp, MyOneProtocol, DEXTools i Swell Network, boty MEV natychmiast przelały około 300 000 dolarów z konta akumulacji opłat giełdy.
Philip Martin, dyrektor ds. bezpieczeństwa w Coinbase, potwierdził zdarzenie, przypisując stratę bezpośrednio zmianie konfiguracji w portfelu korporacyjnym. Podkreślił, że środki klientów pozostały nienaruszone, klasyfikując zdarzenie jako incydent izolowany.
Reakcja i Szersze Implikacje dla Bezpieczeństwa DeFi
W odpowiedzi, Coinbase szybko cofnęło uprawnienia dla problematycznych tokenów i przeniosło dotknięte aktywa do nowego portfela korporacyjnego, co było środkiem mającym na celu zapobieżenie powtórzeniu się incydentu. Ten incydent, choć opanowany, na nowo rozpala dyskusje wśród ekspertów na temat nieodłącznych ryzyk związanych ze zautomatyzowanymi interakcjami inteligentnych kontraktów i wszechobecnej podatności na ataki botów MEV w szerszym krajobrazie DeFi.
Wyzwanie stwarzane przez boty MEV wykracza poza pojedyncze wykorzystania luk. Badacze z Flashbots wcześniej zidentyfikowali MEV jako znaczną przeszkodę dla skalowalności blockchain, podkreślając jego systemowy wpływ na efektywność sieci i koszty transakcji. Takie zdarzenia służą jako krytyczne przypomnienia zarówno dla użytkowników, jak i deweloperów o ciągłej potrzebie rygorystycznych audytów bezpieczeństwa, czujnego monitorowania i solidnych najlepszych praktyk w zarządzaniu aktywami cyfrowymi w złożonym i połączonym środowisku Web3.
Jarosław Kosmaty to człowiek, który przypadkowo trafił do świata mediów, bo zamiast biegać za kryptowalutami, postanowił je opisywać – i zrobił to z takim zapałem, że nikt już nie wyobraża sobie BitGate.pl bez jego humorystycznych komentarzy. Urodzony w małej wiosce, gdzie jedyną kryptowalutą były ziarna kukurydzy, Jarosław od najmłodszych lat miał smykałkę do wyszukiwania okazji (i żartów) tam, gdzie inni widzieli jedynie szarość dnia codziennego.