Coinbase, de beursgigant, heeft een pijnlijke blunder begaan: een slordige $300.000 verdampte door domweg tokenmachtigingen te verlenen aan een 0x smart contract. Een MEV-bot rook bloed en greep onmiddellijk zijn kans. Simpelweg gestolen, klaar.

Beveiligingsonderzoeker fileert amateurisme

DeBeez van Venn Network, een beveiligingsonderzoeker, ontmaskerde deze flagrante fout op X. Coinbase’s eigen wallet speelde met 0x’s “Swapper” – een tool die swaps zou moeten faciliteren zonder risico’s. Fout gedacht. Het resultaat? Een open uitnodiging tot diefstal.

DeBeez wijst er fijntjes op dat deze “swapper” al eerder slachtoffers maakte. Dit is geen nieuw lek, maar een herhaling van oude fouten. Kennelijk leert niemand van andermans misère.

MEV-bot: een roofdier in perfecte positie

Coinbase deelde machtigingen uit als snoep, onder meer voor AMP, MyoneProtocol, Dextools en Swell Network. Een MEV-bot, klaar om toe te slaan, activeerde de “swapper” en sluisde de tokens rechtstreeks weg. Een schoolvoorbeeld van hoe naïviteit in de crypto-jungle wordt afgestraft.

DeBeez spaart Coinbase niet: “De bot lag op de loer, wachtend op een blunder.” En Coinbase, blijkbaar, leverde die blunder op een zilveren schoteltje aan.

Coinbase probeert de schade te beperken

Philip Martin, de Chief Security Officer, bagatelliseert het incident als een “geïsoleerd probleem”. Een configuratiefout, niets meer. Lekker makkelijk.

Martin haast zich te benadrukken dat “geen klantfondsen” in gevaar waren. Dat mag dan zo zijn, maar de reputatieschade is aanzienlijk. De machtigingen zijn ingetrokken en de rest van het geld is verplaatst. Schade beperkt, maar de geur van incompetentie blijft hangen.

MEV-aanvallen: een groeiend probleem

Dit incident past in een zorgwekkende trend van MEV-aanvallen. Eerder al verloor een bot $180.000 en werd er zelfs $25 miljoen gestolen door sandwich-transacties. De crypto-wereld is een mijnenveld van potentiële exploits, en Coinbase heeft zojuist een dure les geleerd over het belang van fundamentele beveiliging.