Coinbase因误批准资产给0x项目智能合约损失约30万美元的代币费用

Coinbase因错误地批准资产到0x项目智能合约，导致损失约30万美元的代币费用。该批准使得一个最大可提取价值（MEV）机器人能够从交易所的企业钱包中转移资金。

安全研究员Deebeez来自Venn Network，在周三通过X报告了此事件。据他透露，Coinbase的企业钱包与0x的“交换器”合约进行了互动。该工具旨在执行交换，但并不设计为接收代币批准。

向此类合约授予批准可能会使资产面临被任何调用它的人立即转移的风险。Deebeez指出，同样的交换器合约早前在Base上引发了与Zora索赔相关的问题，类似的批准使第三方能够在不利用代码缺陷的情况下转移资金。

MEV机器人从Coinbase的费用接收账户转移代币

Deebeez发布的截图显示，Coinbase批准了包括Amp（AMP）、MyOneProtocol（MYOP）、DEXTools（DEXT）和Swell Network（SWELL）在内的代币的批准。这些批准是在周三下午进行的。

不久之后，一个MEV机器人触发了交换器合约，将批准的代币从Coinbase的费用接收账户转移到其自己的地址。Deebeez表示，该机器人一直在“黑暗中潜伏”，等待这样的批准。他指出：“多亏了Coinbase，他们的梦想成真了。”

这一事件导致费用接收账户中的代币被完全抽空。没有利用任何代码中的漏洞，损失完全来自于批准的失误。

Coinbase安全主管确认并回应

Coinbase的首席安全官Philip Martin确认了这一事件。他将其描述为由交易所的一个企业去中心化交易所（DEX）钱包的配置更改引起的“孤立问题”。

过去的MEV机器人利用事件突显风险

该事件进一步增加了与MEV相关事件的不断增长的列表。2025年4月，一只MEV机器人在攻击者利用其访问控制系统中的漏洞后损失了18万美元的以太坊（ETH）。攻击者通过在同一交易中创建的恶意池将机器人的ETH交换成了毫无价值的代币。

在2023年，一名流氓验证者利用执行“夹击交易”的MEV机器人，盗取了包括Wrapped Bitcoin（WBTC）、USD Coin（USDC）、Tether（USDT）、DAI和Wrapped Ether（WETH）在内的2500万美元资产。