O pesquisador de segurança da Venn Network, que se apresenta na rede social X como “deebeez”, revelou na quarta-feira (13) que a corretora de criptomoedas Coinbase perdeu aproximadamente US$ 300 mil (R$ 1,6 milhão) em taxas de tokens para bots MEV, devido a uma interação mal configurada com o contrato swapper do projeto 0x.
Segundo ele, a Coinbase interagiu com o smart contract “swapper” — criado para executar trocas (swaps) de tokens na exchange descentralizada 0x. Esse contrato é da modalidade ‘permissionless’, ou seja, sem permissão, onde qualquer pessoa pode realizar ações arbitrárias sem restrições de propriedade. Contudo, ele não foi projetado para receber aprovações de tokens, pois isso expõe os fundos a riscos.
O pesquisador destacou que esse tipo de configuração já havia causado problemas no passado, como no caso de reivindicações de airdrop da Zora na rede Base. Capturas de tela compartilhadas por ele mostram que, por volta das 15h21 de ontem, a Coinbase concedeu aprovação para tokens como Amp, MyOneProtocol, DEXTools e Swell Network.
Como aconteceu o roubo?
“Parece que havia um bot de MEV [valor máximo extraível] à espreita, esperando por usuários que, por engano, aprovassem esse contrato — e depois drenasse todos os seus fundos. Bem, o sonho deles se realizou graças à Coinbase… Eles faturaram alto drenando a conta que recebia as taxas da Coinbase”, escreveu a conta @deeberiroz.
Esses bots, também conhecidos como “snipers”, são programas que exploram brechas na interação de usuários — neste caso, da Coinbase — com contratos inteligentes na blockchain, buscando oportunidades de arbitragem que proporcionem o maior lucro possível. É daí que vem o nome MEV (Maximum Extractable Value, em inglês).
Leia também: Como robôs estão lucrando com as suas transações na rede Ethereum
Como o contrato é aberto, os bots puderam chamá-lo para executar transferências, esvaziando os tokens aprovados da carteira da Coinbase para seus próprios endereços.
O alerta do pesquisador foi confirmado por Philip Martin, diretor de segurança da Coinbase Global. Em resposta ao post no X, ele disse: “Posso confirmar que este é um problema isolado devido a uma mudança que fizemos em uma de nossas carteiras corporativas DEX, o que levou a transferências não autorizadas”.
Martin ressaltou ainda que nenhum fundo de cliente foi afetado e que a empresa agiu revogando as permissões e transferindo os recursos para uma nova carteira corporativa.
No MB, a sua indicação vale Bitcoin para você e seus amigos. Para cada amigo que abrir uma conta e investir, vocês ganham recompensas exclusivas. Saiba mais!
