Z winy bota stracili tysiące dolarów. Gigant branży krypto liczy straty
Kryptowaluty

Z winy bota stracili tysiące dolarów. Gigant branży krypto liczy straty

Przez Tomasz Kropiwnicki 3 681

Giełda kryptowalut Coinbase odnotowała straty w wysokości około 300 000 dolarów w opłatach za tokeny w wyniku pomyłki, która umożliwiła zautomatyzowanemu botowi drenaż jej firmowego portfela.

Jak informuje Coinbase, problem dotyczył błędnej interakcji pomiędzy firmowym portfelem Coinbase a inteligentnym kontraktem „swapper” z protokołu 0x.

Co poszło nie tak?

Protokół 0x to otwarty protokół, który umożliwia zdecentralizowaną wymianę tokenów na blockchainie Ethereum i jest często używany do zasilania zdecentralizowanych giełd (DEX). Kontrakt „swapper” jest narzędziem, które pozwala na wykonywanie wymian, ale nie jest przeznaczony do otrzymywania zatwierdzeń na dysponowanie tokenami. Zasadniczo, jest to narzędzie, z którego można korzystać, ale nie powinno się mu powierzać kontroli nad swoimi aktywami.

Jak zauważył internauta ukrywający się pod pseudonimem Deebeez, Coinbase przez pomyłkę udzieliło kontraktowi uprawnień do zarządzania swoimi tokenami. Umożliwiło to każdemu, kto mógł wywołać ten kontrakt, na wykonanie dowolnej akcji – w tym na transfer tokenów.

źrodło: X

Deebeez opublikował zrzuty ekranu, które pokazywały, że Coinbase zatwierdziło różnorodne tokeny, takie jak Amp, MyOneProtocol, DEXTools i Swell Network.

Po zatwierdzeniu tokenów przez Coinbase do akcji wkroczył bot Maximal Extractable Value (MEV). W tym miejscu wyjaśnijmy, że boty MEV są programami, które skanują oczekujące transakcje w mempoolu (publicznym obszarze, gdzie transakcje czekają na potwierdzenie) i próbują wykorzystać okazje do zysku, często poprzez zmianę kolejności transakcji w bloku. W tym przypadku, bot „czekał w ukryciu”, jak to ujął Deebeez, wypatrując portfela o dużej wartości, który przypadkowo udzieliłby nieodpowiednich uprawnień. Marzenie bota się spełniło, gdy Coinbase zatwierdziło transakcję. Natychmiast po tym, bot MEV wywołał kontrakt „swapper”, aby przenieść wszystkie zatwierdzone tokeny z konta Coinbase na swoje własne adresy.

Zjawisko MEV często jest porównywane do „niewidzialnego podatku” w świecie kryptowalut. Choć niektóre jego formy, jak arbitraż, mogą zwiększać efektywność rynku, to te wykorzystujące błędy użytkowników, jak w przypadku Coinbase, są bezlitosne i natychmiastowe. Atak nie wymagał skomplikowanego exploitowania luk w kodzie; wystarczył prosty błąd ludzki, na który bot był gotowy.

Reakcja Coinbase i szerszy kontekst

Philip Martin, dyrektor ds. bezpieczeństwa w Coinbase, potwierdził, że doszło do incydentu. Jednocześnie określił go mianem „odosobnionego problemu” związany ze zmianą konfiguracji w jednym z firmowych portfeli DEX. Jak zapewnił, żadne fundusze klientów nie zostały naruszone – Coinbase natychmiast unieważniło zatwierdzenia i przeniosło pozostałe środki do nowego portfela. Mimo że straty finansowe w wysokości 300 000 dolarów są marginalne dla giganta giełdowego, incydent pokazuje, że nawet najbardziej zaawansowane zespoły są podatne na błędy, które mogą być natychmiastowo wykorzystane przez zautomatyzowane systemy.

Przypadek Coinbase nie jest zresztą odosobniony. W przeszłości dochodziło do podobnych zdarzeń z udziałem botów MEV. Na przykład w kwietniu inny bot MEV stracił 180 000 dolarów w Ethereum, gdy jego własny system kontroli dostępu został wykorzystany. Jeszcze wcześniej, w 2023 roku, nieuczciwy walidator blockchaina okradł boty MEV próbujące dokonać „sandwich tradingu” na kwotę 25 milionów dolarów.

Dziękujemy, że przeczytałeś/aś nasz artykuł do końca. Obserwuj nas w Wiadomościach Google i bądź na bieżąco!
Kryptowaluty bezpiecznie kupisz lub sprzedasz w sieci kantorów i bitomatów FlyingAtom
Sprawdź!
Tomasz Kropiwnicki

Dziennikarstwo to jego hobby. Przez wiele lat pracował w branży nieruchomości, zajmował się również kwestiami gospodarczymi. Pasjonują go nowoczesne technologie i ich praktyczne zastosowanie. W zespole BitHub.pl pogłębia swoją wiedzę na temat kryptowalut, starając się przedstawić Czytelnikom tę sferę naszego dzisiejszego świata w najbardziej przystępnej formie.