Un fallo de aprobación en un contrato “swapper” de 0x permitió a un bot MEV drenar el monedero corporativo de la compañía.
El error que costó cientos de miles de dólares
Coinbase perdió aproximadamente $300.000 en comisiones de tokens tras aprobar por error activos hacia un contrato de 0x Project destinado a realizar intercambios (swaps), pero no diseñado para recibir permisos de gasto.
El incidente fue detectado por el investigador de seguridad Deebeez de Venn Network, quien explicó que el monedero corporativo de Coinbase interactuó con el contrato “swapper” de 0x, el cual es permissionless, es decir, cualquiera puede invocarlo para ejecutar acciones arbitrarias.
Esta característica implica que, si se otorgan aprobaciones de tokens, cualquier tercero puede transferir esos activos inmediatamente, sin necesidad de vulnerar el código.
La oportunidad para el bot MEV
Entre los tokens aprobados por Coinbase estaban Amp, MyOneProtocol, DEXTools y Swell Network. Minutos después, un bot MEV (Maximal Extractable Value) detectó la oportunidad y ejecutó una transacción que movió todos los tokens aprobados desde la cuenta receptora de comisiones de Coinbase hacia sus propias direcciones.
Según Deebeez, este bot llevaba tiempo “al acecho” esperando que usuarios cometieran el error de aprobar este contrato para drenar los fondos: “Su sueño se cumplió gracias a Coinbase”, comentó irónicamente.
Respuesta de Coinbase
Philip Martin, director de seguridad de Coinbase, confirmó el suceso y lo calificó como un “problema aislado” derivado de un cambio de configuración en uno de los monederos corporativos de la empresa usados para operar en DEX.
El directivo subrayó que ningún fondo de clientes se vio afectado, y que Coinbase ya revocó todas las aprobaciones y trasladó los fondos restantes a un nuevo monedero corporativo.
Incidentes similares en el pasado
- Abril 2025: un bot MEV perdió $180.000 en ETH cuando un atacante explotó una vulnerabilidad en su sistema de control de acceso, intercambiando el ETH por un token sin valor.
- 2023: un validador malicioso aprovechó operaciones de tipo “sandwich trade” contra bots MEV, robando $25 millones en activos como WBTC, USDC, USDT, DAI y WETH.
Estos casos evidencian que los bots MEV y los contratos permissionless siguen siendo un vector de ataque crítico en el ecosistema cripto, incluso para actores institucionales.
