Intsidendi kokkuvÔte
14. augustil 2025 kasutati Ă€ra suurt krĂŒptovaluutavahetust kuuluvat ettevĂ”tte rahakotti ligikaudu 300 000 dollari vÀÀrtuses. Probleem tekkis juhusliku tokeni loa andmisest 0x protokolli lubamatusse lepingusse. MĂ”ne hetke jooksul pĂ€rast valesti seadistatud heakskiitu tuvastasid MEV-botid tĂ”usnud volitused ja teostasid tehinguid, mis kandsid kogu loa rahakotist vĂ€lja.
RĂŒnnaku mehhanism
Rikkumine juhtus siis, kui vahetuse ettevĂ”tte detsentraliseeritud vahetusrahakoti muudatus ei tĂŒhistanud varasemaid tokeni heakskiite. Turvauurija nimega âdeeberirozâ mĂ€rkas turvaauku esimesena sotsiaalmeedias, nĂ€idates, kuidas botid vĂ”ivad selliseid vĂ”imalusi ootama jÀÀda. Kui luba sai aktiivseks, viisid botid tĂ€navale vaheltulnuna tehingud lĂ€bi, kandes heaks kiidetud tokenid otse rĂŒndajate aadressidele.
MEV-bottide roll
Maksimaalselt ekstraheeritava vÀÀrtuse (MEV) botid on spetsialiseerunud kasumi teenimisele tehingute jÀrjekorra muutmise, eesotsas olemise vÔi kahe vahele panemise kaudu mempoolis. Antud juhul olid botid programmeeritud jÀlgima kÔrge vÀÀrtusega rahakotte, mis lepinguid heaks kiidavad. Kui vÔimalus tekkis, viisid botid samas plokis tehingud lÔpule, jÀttes kÀsitsi sekkumiseks aega olemata.
Vahetuse reaktsioon ja kliendi mÔju
Coinbaseâi peamine turbejuht kinnitas, et rĂŒnnak piirdus ettevĂ”tte tasude vastuvĂ”tu rahakottidega ega kajastunud kliendikontodel. Vahetus tĂŒhistas kohe vigase heakskiidu ja alustas siseauditeid. KĂ”ik mĂ”jutatud tokenid kuulusid tĂ€ielikult vahetusele tasude kogumise protsesside osana ning ĂŒhegi kliendi vara ohtu ei seadnud.
Turvalisuse parimad tavad
Eksperdid soovitavad hoolikat lepingute heakskiitide ja Ă”iguste haldamist. Oluliste meetmete hulka kuuluvad ettevĂ”tte rahakottide eraldamine kuumadest ja kĂŒlmadest hoiustest, automaatsete hoiatussĂŒsteemide rakendamine ebatavaliste tokeni lubade kohta ning kriitiliste heakskiitude puhul riistvaramoodulite kasutamine. Regulaarsete turvaharjutuste ja kolmandate osapoolte lĂ€biviidavate audititega saab haavatavust veelgi vĂ€hendada.
Tööstuse mÔjud
See intsident rĂ”hutab jĂ€tkuvaid vĂ€ljakutseid plokiahelapĂ”histe operatsioonide turvamisel automatiseeritud vastaste eest. Eeldatavasti vaatavad rohkem vahetusi ja DeFi platvorme ĂŒle heakskiiduprotsessid ning lisavad turvameetmeid. MEV-strateegiate kĂŒpsus nĂ”uab paremaid lĂ€bipaistvustööriistu, mis hoiatused annavad kasutajatele, kui heakskiidud erinevad ootuspĂ€rasest.
KokkuvÔte
Kuigi finantsmĂ”ju Coinbaseâile oli tema ĂŒldiste reservidega vĂ”rreldes vĂ€ike, tĂ”i rĂŒnnak esile, kuidas vĂ€ikesed seadistamisvead vĂ”ivad pĂ”hjustada mĂ€rkimisvÀÀrseid kahjusid. Laiem tööstus vĂ”ib tulevikus pöörata rohkem tĂ€helepanu Ă”iguste haldamise raamistikele ja proaktiivsele jĂ€relevalvele sarnaste ohtude vĂ€hendamiseks.
Kommentaarid (0)