币圈子(120BTC.COm)讯:全球最大加密货币交易所之一Coinbase,近期因企业钱包的设定疏失,意外将代币授权给去中心化交易协议0x Project的「swapper」合约,结果被潜伏已久的MEV机器人立刻锁定并执行转移,导致约30万美元代币的资金损失。
失误开端:Swapper合约授权风波
事情源于Coinbase与去中心化交易协议0x Project的互动,该协议提供一个名为「swapper」的智能合约,属于无需特定权限(permissionless)类型,任何人都能呼叫。
简单来说,这个permissionless合约原本设计只是用来执行代币交换,并不应该接收长期的代币授权(token approvals),因为这会赋予合约持有与转移资金的能力,带来安全风险。
根据Venn Network安全研究员deeberiroz披露,Coinbase在近期某次操作中,错误地向该合约授权了多种代币,包括Amp、MyOneProtocol、DEXTools与Swell Network。由于该合约任何人都能呼叫操作,该授权相当于公开丢出一串宝库钥匙。
Coinbase一时疏忽,MEV机器人捕猎成功
此时,MEV机器人早已潜伏多时,等待高价值钱包出现错误授权的机会。当Coinbase的授权交易被打包上链,机器人便立即呼叫swapper合约,将授权的代币直接转入自身地址。
由于这一切是自动化执行,整个过程几乎在瞬间完成,Coinbase根本没有时间撤销授权或阻止转移。
正如deeberiroz形容:「他们一直在等有人犯错,一旦发生就会立刻把钱搬走。Coinbase的这次失误,让他们赚得盆满钵满。」
作为区块链世界最恶名昭彰的存在,MEV机器人能监控交易池(mempool)中的所有交易,并透过抢跑交易(front-running)或重排(reordering)的方式,最大化自身利益。
Coinbase紧急止血:用户资金无虞
Coinbase资安长Philip Martin随后在X平台回应,表示这是他们在变更某企业钱包时的单一事件,该钱包仅用于累积手续费收入,并没有任何客户资金受到影响。
目前,公司已经立刻采取补救措施,包括撤销(revoke)所有错误授权,并将资金转移至新的企业钱包,以避免同样情况再次发生。
虽然对Coinbase来说,30万美元可以说是微不足道,但这起事件仍是一次代价不小的警示,凸显规模再大的交易所,仍需要进行几堂资安讲习。
警讯:定期取消不必要授权
这起事件反映了加密资产安全的一个关键脆弱点:「代币授权管理」。在链上世界,任何一次错误的授权,都可能让对方在合约允许的范围内,完全掌控用户资产。更因为链上行为是公开透明且不可逆的,资金几乎不可能追回。
此事也为个人用户带来警讯:「定期检查并撤销不再需要的授权,是链上资安防护的基本动作。」实用工具如授权撤销网站Revoke等,都能帮助用户及时清理潜在风险。