Coinbase đã mất khoảng 300,000 USD khi một bot MEV nhanh chóng rút tiền do cấu hình sai hợp đồng liên quan đến switcher của 0x Project. Không có tài khoản hay quỹ của khách hàng bị ảnh hưởng. Coinbase coi sự cố này là một trường hợp riêng lẻ.
Một lỗ hổng bảo mật mới trong tài chính phi tập trung đã làm nổi bật rủi ro của các giao thức phê duyệt token và chiến lược MEV (giá trị có thể trích xuất tối đa) nhắm vào các sàn giao dịch tiền điện tử.
Khai thác nhanh làm dấy lên lo ngại về an ninh
Vấn đề bắt đầu khi hợp đồng router của Coinbase, được sử dụng cho giao dịch phi tập trung, vô tình phê duyệt tất cả các token thu được dưới dạng phí cho hợp đồng của 0x Project. Kết quả là, các token này đã có sẵn ngay lập tức cho các bot MEV—các chương trình tự động quét các giao dịch blockchain để tìm kiếm các giao dịch có lợi nhuận và lỗ hổng.
Một người quan sát đã giải thích sự kiện này trên X với bài đăng:
“Có vẻ như Coinbase đã bị rút khoảng 300,000 USD sau khi sử dụng @0xProject swapper không đúng cách. Họ đã phê duyệt tất cả các token tích lũy dưới dạng phí cho router của họ, bị rút ngay lập tức bởi các bot MEV,” deeberiroz đã đăng
Sự kiện này cho thấy các bot MEV khai thác lỗi nhỏ nhanh chóng như thế nào. Các bot đã hành động ngay khi các token có sẵn, rút hết số dư trong vài phút. Tự động hóa tăng cường hiệu quả, nhưng cũng mang lại những rủi ro bảo mật mới.
Coinbase đã phản ứng nhanh chóng để kiểm soát sự cố. Lỗ hổng chỉ ảnh hưởng đến quỹ phí của công ty, không phải tài sản của khách hàng, vì vậy người dùng không bị ảnh hưởng. Tuy nhiên, sự cố đã gây ra cuộc tranh luận về sự cần thiết phải xem xét lại tương tác hợp đồng thông minh phi tập trung, đặc biệt là đối với các sàn giao dịch lớn.
Coinbase: Không có quỹ khách hàng bị ảnh hưởng
Sau sự cố, Giám đốc An ninh của Coinbase, Philip Martin, đã trấn an cộng đồng. Ông xác nhận rằng quỹ của khách hàng vẫn an toàn và làm rõ rằng vấn đề này là một trường hợp riêng lẻ. Phản ứng này nhằm xoa dịu lo ngại của người dùng và khôi phục niềm tin vào nền tảng của Coinbase.
“Tôi có thể xác nhận đây là một vấn đề riêng lẻ do thay đổi mà chúng tôi đã thực hiện với một trong những ví DEX của công ty, dẫn đến các giao dịch không được phép. Không có quỹ của khách hàng bị ảnh hưởng. Chúng tôi đang thu hồi các quyền phê duyệt token và chuyển quỹ sang một ví công ty mới,” Martin đã tuyên bố.
Sự kiện này nổi bật vì nhiều người dùng không nhận thức được các rủi ro đặc thù liên quan đến phê duyệt token và các hợp đồng phi tập trung quy mô lớn. Các bot MEV thường hoạt động trong nền, nhưng khả năng của chúng trong việc xác định và khai thác các sai sót nhỏ tạo ra thách thức liên tục cho các nền tảng giao dịch.
Các nhà phân tích trong ngành lưu ý rằng, với việc nhiều sàn giao dịch áp dụng các giao thức DeFi để tăng thanh khoản, bất kỳ sai sót nào trong hợp đồng cũng có thể gây ra ảnh hưởng rộng rãi. Các sàn giao dịch cần củng cố thêm quy trình xem xét của họ trước khi tự động hóa các tích hợp.
Rủi ro bảo mật DeFi được nhấn mạnh
Cuộc tấn công vào Coinbase là một phần của xu hướng rộng lớn hơn. Các hợp đồng thông minh bị cấu hình sai đã gây ra những tổn thất tài chính lớn trong toàn ngành. Các sự cố gần đây nhấn mạnh tầm quan trọng của việc quản lý hợp đồng cẩn thận cho các dự án DeFi và các sàn giao dịch sử dụng chúng.
Đối với các nhà quản lý rủi ro và nhà phát triển, bài học rõ ràng: kiểm tra kỹ lưỡng mọi phê duyệt token và tương tác hợp đồng. Khi các sàn giao dịch chạy đua để ra mắt các tính năng mới, họ phải kết hợp đổi mới với các kiểm tra bảo mật kỹ lưỡng.
Tăng cường bảo mật mạnh mẽ ở cả cấp độ giao dịch và giao thức là điều cần thiết. Khi tự động hóa trong tài chính phi tập trung phát triển, độ phức tạp của các cuộc tấn công có thể sẽ tăng lên, đòi hỏi sự cảnh giác liên tục trong toàn bộ hệ sinh thái.
Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.
