Coinbase verliert $300.000 nach einem Fehler bei den Token-Genehmigungen durch einen 0x-Smart-Contract

Die US-amerikanische Krypto-Börse Coinbase hat schätzungsweise $300.000 verloren, nachdem versehentlich Token-Berechtigungen an einen Smart Contract des 0x-Projekts erteilt wurden. Durch diesen Fehler konnte ein sogenannter Maximal Extractable Value (MEV)-Bot die Token unmittelbar abziehen.

Sicherheitsforscher entdeckt Sicherheitslücke

Der Vorfall wurde vom Sicherheitsforscher DeBeez vom Venn Network in einem Beitrag auf X ans Licht gebracht. Seinen Angaben zufolge interagierte die Unternehmens-Wallet von Coinbase mit dem “Swapper”-Contract von 0x — einem Tool, mit dem ohne explizite Zustimmung Swaps ausgeführt werden können, bei dem jedoch keine Token-Berechtigungen erteilt werden sollten.

Da jeder den Smart Contract für beliebige Aktionen aufrufen kann, kann das Erteilen von Berechtigungen zu unmittelbarem Diebstahl von Kryptowährungen führen. DeBeez verwies auf frühere Vorfälle, bei denen derselbe swapper missbraucht wurde, unter anderem bei Zora-Claims, ohne dass eine Code-Schwachstelle vorlag.

MEV-Bot schlug sofort zu

Aus geteilten Screenshots geht hervor, dass Coinbase unter anderem für AMP, MyoneProtocol, Dextools und Swell Network Berechtigungen erteilte. Kurz darauf aktivierte ein MEV-Bot den swapper-Contract, um die genehmigten Token vom Gebührenkonto von Coinbase auf eigene Adressen zu übertragen.

DeBeez zufolge “lauerte der Bot im Dunkeln” und wartete darauf, dass Nutzer den Contract falsch genehmigen würden. “Ihr Traum wurde dank Coinbase wahr,” schrieb der Forscher.

Coinbase: Keine Kundengelder betroffen

Philip Martin, Chief Security Officer von Coinbase, bestätigte den Vorfall und nannte ihn ein “isoliertes Problem”, verursacht durch eine Konfigurationsänderung in einer der DEX-Wallets des Unternehmens.

“Es sind keine Kundengelder betroffen,” betonte Martin. Er gab an, dass die Token-Berechtigungen inzwischen widerrufen wurden und die verbleibenden Unternehmensmittel in eine neue Unternehmens-Wallet überführt wurden.

Frühere MEV-Angriffe in der Krypto-Welt

Der Vorfall reiht sich in eine Serie jüngster Angriffe ein, bei denen MEV-Bots ins Visier gerieten. Im April verlor ein MEV-Bot $180.000 in Form von Ethereum, nachdem ein schwaches Zugriffskontrollsystem ausgenutzt worden war. 2023 gelang es einem böswilligen Validator sogar, $25 Millionen an digitalen Vermögenswerten zu stehlen, indem er sogenannte Sandwich-Transaktionen nutzte.

Sichern Sie sich jetzt Ihren 10 € Bonus – exklusiv mit Bitvavo powered by Hyphe

Profitieren Sie von der einzigartigen Partnerschaft zwischen Newsbit und Bitvavo powered by Hyphe: Eröffnen Sie über den Button unten Ihr Konto, tätigen Sie eine Einzahlung von nur 10 € – und erhalten Sie sofort 10 € geschenkt.

Zusätzlich handeln Sie 7 Tage lang gebührenfrei bis zu einem Transaktionsvolumen von 10.000 €. Dieses Angebot gilt nur für kurze Zeit – also nicht zögern!

Jetzt Konto eröffnen und 10 € Startguthaben sichern.

Verpassen Sie nicht die Gelegenheit, von der boomenden Welt der Kryptowährungen direkt zu profitieren!