Actus Crypto

Les robots Mev drainent 300 000 $ de Coinbase Portefeuille suivant l’erreur de swapper 0x

Par Leo

Publié le

Retour à l'accueil > Actus Crypto > Les robots Mev drainent 300 000 $ de Coinbase Portefeuille suivant l’erreur de swapper 0x
Principaux à retenir

  • Un bot Mev a exploité une erreur Swapper 0x pour égoutter 300 000 $ de CoinbaseDex portefeuille d’entreprise.
  • La perte provenait des approbations de jetons erronées sur le contrat Swapper du projet 0x.
  • Coinbase confirmé qu’aucun fonds client n’a été affecté et le problème a été contenu.

Une approbation de jeton erronée à toker du contrat Swapper du projet 0x a permis à un bot MEV (valeur maximale d’extraction) de s’écouler environ 300 000 $ d’un Coinbase portefeuille Dex d’entreprise.

L’erreur a effectivement remis à l’attaquant que l’attaquant dépensait les droits à des jetons recueillis, qui ont été immédiatement tirés sur la chaîne.

Ce qui a mal tourné

Le contrat Swapper 0x est un routeur sans état sans permission pour les échanges de jetons – pas un coffre-fort.

Par conception, il ne devrait pas contenir les approbations, car tout le monde peut l’appeler et exécuter des swaps arbitraires à l’aide de jetons pré-approuvés.

Dans ce cas, CoinbaseLe portefeuille d’entreprise – qui perçoit les frais de protocole – a accordé à tort l’approbation de jetons accumulés au Swappeur.

Une fois approuvés, les chercheurs de Mev ont détecté l’allocation dans le mempool, construit des faisceaux rentables autour de lui et exécuté des transactions qui ont drainé le portefeuille.

La nature ouverte du contrat a rendu l’attaque triviale: aucun compromis de clé privé n’était nécessaire, juste le bon appel à un contrat déjà autorisé à dépenser des jetons.

L’absence de protections anti-mev ou de glissement a signifié que le portefeuille était entièrement exposé.

Avertissement d’experts

La chercheuse en sécurité Dee Beez a signalé Que le même Swapper 0x avait déjà été maltraité dans le flux de revendication de Zora de Base, avertissant que «ce swapper n’est jamais censé obtenir des approbations».

Il permet des appels externes arbitraires, ce qui signifie qu’une fois les approbations définies, tout acteur – y compris les bots MEV – peut acheminer les transactions pour drainer les fonds.

CoinbaseRéponse de

Philip Martin, CoinbaseLe directeur de la sécurité, a confirmé que la perte était limitée à un portefeuille Dex d’entreprise et qu’aucun fonds client n’était menacé.

Coinbase a depuis révoqué des allocations de jetons et migré les actifs restants vers une configuration de portefeuille durci.

L’extraction de Mev reste l’une des surfaces d’attaque les plus persistantes de Defi. En 2021, une attaque de sandwich uniswap V3 a rapporté 10 à 20 millions de dollars pour les chercheurs; En 2022, un exploit de routage Sushiswap a entraîné près de 300 000 $ en pertes.

Le Coinbase L’incident renforce que même les grandes institutions ne sont pas à l’abri des risques opérationnels d’interaction avec l’infrastructure Defi sans autorisation.

Partenaires sécurisés recommandés

Écrit par Leo

Rédacteur en chef sur Cryptopump depuis 2022. Premier pied crypto en 2017.

Dans la même catégorie

ASTANA Exchange répertorie le premier spot de Bitcoin ETF d’Asie centrale

Upbit Parent Dunamu pour fournir un support technologique et conformité pour le premier échange de crypto national du Vietnam

Contacter CryptoPump

Si vous souhaitez nous envoyer un mail pour une demande de partenariat, netlinking ou simplement nous aide, envoyez nous un mail.

Nous contacter
Cryptopump.fr


Un condensé de l'information dont vous avez besoin pour comprendre et saisir les bonnes opportunités du Web3

Liens utiles

Cours Crypto

Analyses Crypto

Avis Wallet

Comparatif Wallet

Avis Plateformes

Comparatif Plateformes

© 2026 - Tous droits réservés.

Le contenu disponible sur Cryptopump.fr ne constitue pas un conseil financier.