No dia 13 de setembro, um pesquisador de segurança da Venn Network, que utiliza o nome “deebeez” nas redes sociais, trouxe à tona uma situação preocupante envolvendo a corretora de criptomoedas Coinbase. Segundo ele, a empresa teria perdido cerca de US$ 300 mil (aproximadamente R$ 1,6 milhão) em taxas de tokens devido a uma falha na configuração do contrato swapper do projeto 0x.
O problema se originou quando a Coinbase interagiu com um smart contract chamado “swapper”. Esse contrato, que permite a realização de trocas de tokens em uma exchange descentralizada, é do tipo permissionless. Isso significa que qualquer um pode interagir com ele, realizando ações sem a necessidade de autorização. No entanto, esse formato acaba criando uma vulnerabilidade, pois não está preparado para receber aprovações de tokens, o que aumenta o risco de perda de fundos.
O pesquisador mencionou que situações assim já ocorreram antes, como no caso das reivindicações de airdrop da Zora na rede Base. Ele compartilhou imagens que mostram que, por volta das 15h21, a Coinbase havia aprovado tokens como Amp, MyOneProtocol, DEXTools e Swell Network, o que deixou a empresa vulnerável a ataques.
Como aconteceu o roubo?
De acordo com a análise de “deebeez”, um bot de MEV (Maximum Extractable Value) estava “de olhos atentos”, aguardando que usuários, sem querer, aprovassem esse contrato, permitindo que esvaziassem suas contas. O pesquisador mencionou que, graças à Coinbase, os bots conseguiram drenar as taxas que a empresa estava gerando.
Bots como esses, conhecidos como “snipers”, são programas projetados para identificar oportunidades na interação dos usuários com contratos inteligentes. Eles buscam brechas para realizar arbitragem e garantir lucros altos, explorando essas interações na blockchain.
Como o contrato é aberto, esses bots puderam acioná-lo para transferências, esvaziando os tokens que haviam sido aprovados a partir da carteira da Coinbase para outras contas.
Philip Martin, que é diretor de segurança da Coinbase Global, confirmou essa informação em uma resposta ao post na rede X. Ele explicou que o problema foi isolado e surgiu devido a uma alteração que a empresa fez em uma de suas carteiras. Essa mudança resultou em transferências não autorizadas.
Martin garantiu que nenhum fundo de cliente foi afetado e que a corretora atuou rapidamente, retirando as permissões e transferindo os recursos para uma nova carteira corporativa.
Esses casos nos lembram a importância de sempre estar atento às permissões dadas em transações com criptomoedas, já que as consequências podem ser significativas.
