Condividi questo articolo
Coinbase perde 300.000$ in un attacco MEV dopo un errore con il contratto 0x Swapper
I bot hanno semplicemente atteso che un portafoglio di alto valore — come il destinatario delle commissioni di Coinbase — concedesse per errore i diritti di spesa a un contratto esposto, per poi eseguire immediatamente il prelievo.
Rendici preferiti su Google
Cosa sapere:
- Coinbase ha perso circa 300.000 dollari a causa di un'interazione mal configurata con il protocollo 0x, che ha permesso ai bot MEV di sfruttare un portafoglio aziendale.
- L'incidente è stato confermato dal responsabile della sicurezza di Coinbase, che ha sottolineato come nessun fondo dei clienti sia stato compromesso.
- I bot MEV hanno approfittato della situazione prosciugando il portafoglio dopo che Coinbase ha approvato erroneamente token a un contratto swapper.
Lo exchange di criptovalute Coinbase ha perso circa 300.000 dollari in commissioni di token dopo che un’interazione mal configurata con il contratto “swapper” del protocollo di exchange decentralizzato 0x ha permesso ai bot MEV di sottrarre fondi da uno dei suoi wallet aziendali.
Il chief security officer di Coinbase, Philip Martin, ha confermato l'incidente definendolo una “questione isolata” legata a una modifica in uno dei wallet DEX aziendali dell’exchange. Ha sottolineato che nessun fondo dei clienti è stato interessato, secondo un post su X.
La storia continua sotto
Non perderti un'altra storia.Iscriviti alla Newsletter Crypto Daybook Americas oggi. Vedi tutte le newsletter
Il ricercatore di sicurezza “deeberiroz” di Venn Network ha segnalato per la prima volta l’exploit mercoledì, affermando che Coinbase ha erroneamente approvato i token per il contratto swapper — uno strumento senza permessi progettato per eseguire swap ma non destinato a detenere le autorizzazioni sui token.
Quella configurazione ha aperto la porta a bot MEV opportunistici, che hanno immediatamente prosciugato il portafoglio non appena le approvazioni sono state attivate.
MEV, o “valore massimo estraibile,” si riferisce alla pratica di anticipare o riorganizzare le transazioni blockchain per catturare profitti, o in questo caso, eseguire trasferimenti prima che Coinbase potesse revocare l’accesso.
“Sembra che ci sia stato un bot MEV nascosto nell’ombra, in attesa che gli utenti approvassero erroneamente questo contratto — per poi prosciugare tutti i loro fondi,” ha scritto il ricercatore su X. “Beh, il loro sogno è diventato realtà grazie a Coinbase… Hanno fatto un vero colpo prosciugando l’account del ricevitore delle commissioni di Coinbase di tutti i token raccolti.”
Looks like @coinbase was recently drained of ~$300,000 after using @0xProject swapper incorrectly.
— deebeez (@deeberiroz) August 13, 2025
They approved all the tokens accrued as fees to their router, getting drained immediately by MEV bots 🧵 pic.twitter.com/yWNHl8nupg
Poiché il contratto può essere accessibile da chiunque, i bot sono stati in grado di chiamarlo (un termine software che indica la richiesta di servizi da un altro programma) per trasferire i token approvati direttamente ai propri indirizzi.
Sebbene $300.000 siano una cifra irrilevante per Coinbase, la violazione dimostra come anche le principali piattaforme di scambio siano vulnerabili a forme di sfruttamento del trading automatizzato, seppur piccole ma sofisticate.
I bot MEV sono da tempo una presenza consolidata in Ethereum e in altri ecosistemi blockchain, traendo profitto dai lancio di token, dalle mint di NFT e dagli eventi di liquidità sfruttando la visibilità del mempool e il riordo delle transazioni.
In questo caso, i bot hanno semplicemente atteso che un wallet di alto valore — come il ricevitore delle commissioni di Coinbase — concedesse erroneamente diritti di spesa a un contratto esposto, per poi eseguire immediatamente il prelievo.
