ABD merkezli en büyük kripto para borsası Coinbase, 0xProject’in “swapper” sözleşmesiyle yaşanan yanlış bir etkileşim sonucu yaklaşık 300 bin dolarlık token kaybı yaşadı. Olayın, borsanın kurumsal cüzdanlarından birinde yapılan yanlış yapılandırmadan kaynaklandığı ve fırsatı değerlendiren MEV botlarının devreye girerek fonları boşalttığı bildirildi.
Anonim güvenlik araştırmacısı Deebeez, X (eski Twitter) üzerinden yaptığı paylaşımda Coinbase’in 0x “swapper” kontratına token onayı verdiğini ortaya çıkardı. Normalde token takas işlemleri için kullanılan bu izin, kontratın sınırsız token transfer yetkisine sahip olmasına yol açtı. Bu açık, Coinbase’in router adresinde işlem ücretlerinden biriken tokenların tamamının MEV botları tarafından çekilmesine neden oldu.
Coinbase’den açıklama
Coinbase Güvenlik Direktörü Philip Martin, olayın izole bir vaka olduğunu ve yalnızca bir kurumsal DEX cüzdanındaki değişiklikten kaynaklandığını belirtti. Martin, müşteri varlıklarının etkilenmediğini, tüm token izinlerinin iptal edildiğini ve fonların yeni bir kurumsal cüzdana taşındığını açıkladı.
Borsanın yaşadığı bu olay, son aylarda karşılaştığı ikinci büyük güvenlik sorunu oldu. Daha önce yaklaşık 70 bin kullanıcının kişisel bilgilerinin sızdırıldığı içeriden kaynaklı bir veri ihlali yaşanmış, faillerin 20 milyon dolarlık Bitcoin talep ettiği bildirilmişti. Coinbase, o olay sonrası güvenlik protokollerini sıkılaştırdığını ve ilgili çalışanların işine son verdiğini açıklamıştı.
MEV botlarının rolü
MEV (maximal extractable value) botları, blockchain işlemlerini yeniden sıralayarak veya öne alarak kâr elde etmeye yarayan otomasyon araçlarıdır. Bu botlar genellikle token lansmanları, NFT mint’leri ve likidite etkinliklerinde fırsat kollasa da, bu olayda Coinbase’in hatalı onay işlemi sonrası kurumsal cüzdandan tüm fonları çekerek kâr sağladı.
Uzmanlara göre, bu tür saldırılar blok zinciri üzerinde yeni bir risk sınıfı olarak görülen “bileşebilirlik saldırıları”nın bir örneği olabilir. Bileşebilirlik saldırılarında, tek başına güvenli olan akıllı sözleşmelerin birbirleriyle beklenmedik şekilde etkileşime girmesi, güvenlik açığı oluşturabiliyor. 0x sözleşmesiyle daha önce de benzer bir olay yaşanmış ve Zora isimli bir proje 128 bin dolarlık ETH kaybı yaşamıştı.
Her ne kadar olay müşteri varlıklarını etkilememiş olsa da, Coinbase’in büyüklüğüne rağmen böyle bir hatanın yaşanması sosyal medyada eleştirilere neden oldu. Bazı kullanıcılar, borsanın son dönemde yaşadığı teknik sorunlar ve tartışmalı token listelemeleriyle birlikte güvenilirliğinin zedelendiğini savundu.
Piyasa verilerine göre Coinbase, küresel işlem hacminde %5,8 pay ile dünyanın dokuzuncu, ABD’nin ise en büyük kripto para borsası konumunda.
