یک اشتباه ساده، یک درس پرهزینه برای کوین‌بیس: زیان ۳۰۰ هزار دلاری در پی خطای یک قرارداد هوشمند

به گزارش هفت صبح، صرافی ارز دیجیتال کوین‌بیس به دلیل یک خطای عملیاتی و تأیید دسترسی اشتباه به یک قرارداد هوشمند پروژه 0x، متحمل زیان ۳۰۰ هزار دلاری شد. این اشتباه به یک ربات سودجوی MEV اجازه داد تا به سرعت کیف پول شرکتی این صرافی را که حاوی کارمزدهای دریافتی بود، تخلیه کند. مدیر ارشد امنیت کوین‌بیس ضمن تأیید این رخداد، آن را یک مسئله محدود خواند و اطمینان داد که هیچ‌گونه آسیبی به دارایی‌های کاربران وارد نشده است.

این حادثه روز چهارشنبه زمانی رخ داد که کیف پول شرکتی کوین‌بیس به اشتباه به یک قرارداد هوشمند swapper متعلق به پروژه 0x، مجوز دسترسی به توکن‌های خود را اعطا کرد. به گفته دیبیز، یک محقق امنیتی، این نوع قراردادها برای اجرای آنی مبادلات طراحی شده‌اند و نباید به آن‌ها مجوز دسترسی دائمی به دارایی‌ها داده شود. این اقدام اشتباه، راه را برای یک ربات MEV (ارزش قابل استخراج حداکثری) که در کمین چنین خطاهایی بود، هموار کرد تا بلافاصله تمام توکن‌های تأییدشده از جمله Amp، DEXTools و MyOneProtocol را به آدرس خود منتقل کند.

فیلیپ مارتین، مدیر ارشد امنیت کوین‌بیس، این اتفاق را تأیید کرد و آن را یک درس پرهزینه و مسئله‌ای ایزوله توصیف کرد که در نتیجه یک تغییر در پیکربندی یکی از کیف پول‌های غیرمتمرکز شرکتی رخ داده است. او تأکید کرد:

«هیچ یک از وجوه مشتریان تحت تأثیر قرار نگرفته است.»

این صرافی بلافاصله پس از شناسایی مشکل، مجوزهای دسترسی مذکور را لغو و موجودی باقی‌مانده را به یک کیف پول جدید منتقل کرده است.

این نوع حملات که در آن ربات‌های خودکار از آسیب‌پذیری‌ها یا خطاهای انسانی در اکوسیستم دیفای سوءاستفاده می‌کنند، بی‌سابقه نیست. در سال ۲۰۲۳، یک اعتبارسنج متقلب با بهره‌برداری از ضعف ربات‌های MEV، موفق به سرقت ۲۵ میلیون دلار دارایی دیجیتال شد. این حوادث بار دیگر اهمیت حیاتی دقت و بررسی چندباره مجوزهای دسترسی در تعامل با قراردادهای هوشمند را به فعالان این حوزه یادآوری می‌کند.