加密货币交易所Coinbase因与去中心化交易协议0x的“交换器”合约的错误配置交互，损失了大约30万美元的代币费用，导致MEV机器人从其一个企业钱包中 siphon 资金。

Coinbase的首席安全官Philip Martin确认了这一失误，并称其为与交易所的一个企业DEX钱包的变更相关的“孤立事件”。他强调，根据X的帖子，没有客户资金受到影响。

安全研究员“deeberiroz”来自Venn Network，周三首次标记了这一漏洞，称Coinbase错误地批准了代币给交换器合约——这是一个无权限的工具，旨在执行交换，但不打算持有代币授权。

这种设置为机会主义的MEV机器人打开了大门，一旦批准生效，它们立即抽走了钱包中的资金。

MEV，或“最大可提取价值”，指的是通过前置交易或重新排序区块链交易来捕获利润的做法，或者在这种情况下，在Coinbase撤销访问权限之前执行转账。

“似乎有一个MEV机器人潜伏在黑暗中，等待用户错误地批准这个合约——然后抽走他们所有的资金，”这位研究员在X上写道。“好吧，感谢Coinbase，他们的梦想成真了……他们通过抽走Coinbase费用接收账户中的所有代币赚了一笔。”

由于该合约可以被任何人访问，这些机器人能够调用它（一个请求其他程序服务的软件术语），将批准的代币直接转移到他们自己的地址。

虽然30万美元对Coinbase来说并不重要，但这一漏洞显示出即使是领先的交易所也容易受到小型但复杂的自动化交易剥削的影响。

MEV机器人长期以来一直是以太坊和其他区块链生态系统的固定存在，通过利用内存池可见性和交易重新排序，从代币发行、NFT铸造和流动性事件中获利。

在这种情况下，这些机器人只是等待一个高价值钱包——如Coinbase的费用接收者——错误地授予对一个暴露合约的支出权限，然后立即执行抽取。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。