El intercambio de criptomonedas Coinbase ha sufrido una pérdida de aproximadamente $300,000 en tokens debido a un error en un contrato inteligente. Este incidente fue el resultado de una transacción mal configurada que involucraba el contrato de “swapper” del protocolo de intercambio descentralizado 0x. Un software automatizado, conocido como bots de Valor Máximo Extraíble (MEV), aprovechó el error y transfirió rápidamente los fondos de la billetera de Coinbase a sus propias cuentas.
Desarrollo y Razones Técnicas
La vulnerabilidad fue identificada por un investigador de seguridad conocido como “deeberiroz”, atribuida a que Coinbase otorgó inadvertidamente la aprobación de tokens al contrato swapper. Los contratos swapper son herramientas de código abierto utilizadas para ejecutar operaciones de intercambio y no están diseñadas para mantener o gastar tokens. Sin embargo, el riesgo surgió cuando una de las billeteras de Coinbase permitió una amplia autorización al contrato.
A través de este agujero de seguridad, los bots MEV comenzaron a transferir rápidamente los tokens aprobados tan pronto como se activaron los permisos. Los bots MEV se han empleado durante mucho tiempo en los mercados de criptomonedas para reordenar transacciones en la blockchain de una manera que beneficia a sus operadores. En este caso, cualquiera con acceso al contrato podría redirigir los tokens a sus propias cuentas.
Explicaciones y Consecuencias
Philip Martin, Jefe de Seguridad de Coinbase, anunció el incidente al público y enfatizó que la pérdida fue aislada y solo afectó la billetera corporativa de la compañía. También aseguró que los fondos de los clientes no estaban en riesgo.
“Quiero aclarar que este es un incidente aislado y los fondos de los clientes no se han visto afectados en absoluto,” declaró Philip Martin.
“Deeberiroz” mencionó que los bots MEV han estado anticipando incorrectas aprobaciones dadas a los contratos swapper durante mucho tiempo y que finalmente lograron su objetivo gracias al error de Coinbase.
“Parece que los bots MEV estaban esperando que los usuarios autorizaran erróneamente este contrato, y lo lograron gracias a Coinbase,” comentó deeberiroz.
Aunque la cantidad perdida por Coinbase no fue significativa, el incidente destacó que incluso los jugadores grandes y centralizados pueden enfrentar riesgos relacionados con la automatización y la seguridad de los contratos. Los expertos señalan que fallas técnicas como estas pueden ser fácilmente detectadas y explotadas por software de automatización avanzado.
Papel de los Bots MEV y el Impacto en la Industria
Los bots MEV pueden beneficiarse de listados de tokens, operaciones de creación de NFT y eventos de liquidez en sistemas blockchain como Ethereum utilizando estrategias similares. Estos bots, monitoreando grupos de transacciones transparentes, pueden apuntar a transacciones de alto valor permitidas accidentalmente por billeteras. En este evento, los bots rastrearon la billetera relevante y ejecutaron la transacción en el momento oportuno.
Los expertos observan que hay una creciente demanda para la detección y gestión preventiva de tales vulnerabilidades. La posibilidad de pérdidas significativas debido a transacciones menores en plataformas importantes subraya la naturaleza crítica de la ciberseguridad.
En general, este incidente ha reiterado la necesidad de una gestión cuidadosa de los permisos de los contratos inteligentes y una supervisión rigurosa de las billeteras corporativas en los sistemas blockchain.
- Coinbase perdió $300,000 en tokens debido a un error de contrato inteligente.
- Bots MEV explotaron la vulnerabilidad para transferir fondos a sus cuentas.
- El incidente resalta la importancia de la ciberseguridad en plataformas centralizadas.
