15.08.2025 02:25

Önemli bir güvenlik olayı sonucu Coinbase, token ücretlerinde 300.000 dolarlık bir kayıp yaşadı. Venn Network güvenlik araştırmacısı Deebeez'in X'te (eski adıyla Twitter) vurguladığı olay, Coinbase'in kurumsal cüzdanı ile bir 0x Project akıllı sözleşmesi arasında hatalı bir etkileşimden kaynaklandı. Bu etkileşim, kasıtsız olarak kötü amaçlı bir maksimum çıkarılabilir değer (MEV) botuna erişim sağladı.

Güvenlik açığı, token takasları için tasarlanmış ancak token onaylarını almak için tasarlanmamış 0x Project içindeki izinsiz bir "takasçı" sözleşmesinden yararlandı. Bu tasarım hatası, MEV botunun Coinbase'in yanlışlıkla varlıkları onaylamasının ardından fonları boşaltmasını sağladı. Deebeez'in gönderisi, Coinbase'in cüzdanından Amp, MyOneProtocol, DEXTools ve Swell Network gibi token'ların onayını, hırsızlıktan hemen önce gösteren ekran görüntülerini içeriyordu. Araştırmacı ayrıca, bu özel takasçı sözleşmesinin daha önce benzer kurulumların yetkisiz fon çekimini kolaylaştırdığı durumlar gösterilerek, istismar geçmişine sahip olduğunu belirtti.

Bu, karmaşık bir istismar değildi; daha ziyade MEV botu basit bir gözden kaçırmanın avantajını kullandı. Deebeez, botu böyle bir fırsatı sabırla bekleyen "karanlıkta gizlenen" biri olarak tanımladı. Araştırmacıya göre, Coinbase'in ücret alıcı hesabını boşaltan başarılı soygun, pahalı bir ders oldu.

Coinbase'in baş güvenlik sorumlusu Philip Martin, olayı doğruladı ve bunu borsanın merkeziyetsiz borsa (DEX) kurumsal cüzdanlarından birindeki yanlış yapılandırmadan kaynaklanan izole bir sorun olarak nitelendirdi. Hiçbir müşteri fonunun tehlikeye girmediğini vurguladı. Olayı takiben Coinbase, yetkisiz token izinlerini derhal iptal etti ve kalan varlıkları yeni bir kurumsal cüzdana taşıyarak güvence altına aldı. Olay, izinsiz akıllı sözleşmelerle etkileşimde bulunmanın içerdiği riskleri ve köklü kripto para borsaları için bile sağlam güvenlik protokollerinin önemini vurguluyor.