BCGAME - Bônus diário grátis de 5BTC!- Coinbase perde US$ 300 mil por interação com swapper 0x
- Philip Martin confirma incidente sem impacto em clientes
- Bots MEV exploraram aprovações indevidas de tokens
A Coinbase registrou uma perda de aproximadamente US$ 300.000 em taxas acumuladas de tokens devido a uma configuração incorreta ao interagir com o contrato “swapper” do Projeto 0x. O episódio foi relatado por “deeberiroz”, pesquisador de segurança da Venn Network, que destacou que a exchange acabou aprovando inadvertidamente o contrato para receber determinados tokens, algo que não fazia parte de seu uso previsto.
Looks like @coinbase was recently drained of ~$300,000 after using @0xProject swapper incorrectly.
They approved all the tokens accrued as fees to their router, getting drained immediately by MEV bots 🧵 pic.twitter.com/yWNHl8nupg
— deebeez (@deeberiroz) August 13, 2025
O “swapper” é um contrato inteligente voltado para facilitar trocas descentralizadas de forma permissionless, ou seja, qualquer usuário pode interagir com ele sem restrições de propriedade. No entanto, ele não foi projetado para receber aprovações de tokens, já que isso pode expor fundos a riscos de exploração. Casos semelhantes já haviam ocorrido anteriormente, como no episódio envolvendo reivindicações de airdrop da Zora na rede Base Layer 2.
Segundo as capturas de tela compartilhadas, por volta das 15h21, a Coinbase aprovou tokens como Amp, MyOneProtocol, DEXTools e Swell Network para o contrato. Essa brecha teria sido aproveitada por bots MEV, que aguardavam aprovações equivocadas para então drenar os fundos.
“Parece ter havido um bot MEV à espreita, esperando que os usuários aprovassem este contrato por engano — e então drenassem todos os seus fundos”, escreveu o pesquisador. “Bem, o sonho deles se tornou realidade graças à Coinbase… Eles lucraram bastante drenando da conta do recebedor de taxas da Coinbase todos os tokens que coletaram.”
Com as aprovações concedidas, os bots teriam executado chamadas ao contrato para transferir os ativos diretamente da carteira corporativa da exchange para endereços sob seu controle.
O caso foi confirmado por Philip Martin, diretor de segurança da Coinbase, que explicou: “Posso confirmar que este é um problema isolado devido a uma alteração que fizemos em uma de nossas carteiras DEX corporativas, o que levou a transferências não autorizadas.” Ele reforçou que nenhum fundo de cliente foi afetado.
Thanks for flagging. I can confirm this is an isolated issue due to a change we made with one of our corporate DEX wallets, which led to unauthorized transfers. No customer funds were impacted. We’re revoking token allowances and are moving funds to a new corporate wallet. Big…
— Philip Martin (@SecurityGuyPhil) August 13, 2025
A Coinbase respondeu revogando todas as aprovações concedidas e migrando os ativos para uma nova carteira corporativa, em uma tentativa de mitigar riscos futuros decorrentes desse tipo de falha operacional.
