CoinBase 因授權漏洞遭 MEV 攻擊損失 30 萬美元，加密貨幣安全再拉警報

根據區塊鏈安全公司 Ben Network 的研究員 Deebeez 於 3 日（當地時間）在 X 上公開的資訊，美國最大加密貨幣交易所 CoinBase(COIN) 因授權設定失誤，遭最大可提取價值（MEV）機器人利用安全漏洞攻擊，損失價值約 30 萬美元（約新臺幣 417 萬元）的代幣。「加密貨幣」、「CoinBase」、「智能合約」、「授權漏洞」與「MEV」皆為本事件關鍵詞。

據了解，CoinBase 在使用企業級錢包與去中心化交易協議 0x 的 Swapper 智能合約互動時，提供了資產授權。該合約採用「無需許可」（Permissionless）方式設計，任何人皆可對其發出呼叫指令，使其在未精細控管授權情況下暴露於潛在攻擊中。這次事故的關鍵問題，正是 CoinBase 未對授權邏輯做出適當審查與限制。

Deebeez 指出，這份授權名單中牽涉多個代幣，包括 Amp、MyOneProtocol、DEXTools 和 Swell Network 等。MEV 機器人透過已授權的合約權限，快速觸發操作，成功將部分代幣轉移至外部地址，使得 CoinBase 賬戶資產被惡意挪用。這類 MEV 攻擊常見於以太坊(ETH)等區塊鏈上，特別是當智能合約存在交易排序優勢或邏輯疏漏時，更容易成為攻擊目標。

這已非 Swapper 合約首次釀成資金漏洞。Deebeez 補充，先前在 Base 區塊鏈處理 Zora 代幣領取（claim）流程時，也曾因類似機制誤用導致資產損失。

評論：專家普遍認為，這起事件反映出即便是如 CoinBase 般技術實力雄厚的機構，在智能合約互動過程中依然可能因操作或審核不周而導致安全事故。評論指出，將授權開放至具「可自主管理」特質的合約，若未配置存取控制，幾乎等同於主動移交資產給他人。

目前，業界呼籲交易平台與機構應針對資產授權與智能合約操作，建立更完善的檢查與驗證機制，以杜絕此類事故再次發生。這不僅關涉機構本身聲譽，也攸關區塊鏈生態的整體安全性。