Puntos Clave de la Noticia
- Error costoso: Coinbase perdió cerca de $300.000 en comisiones de tokens después de aprobar erróneamente activos al contrato de swapper de 0x, lo que permitió a un bot MEV drenar fondos de su wallet corporativa de recepción de comisiones a los pocos minutos del cambio.
- Mecánica del exploit: El bot explotó el acceso con permisos sin fallas en el código, apuntando a tokens aprobados como Amp y DEXTools a través de la función de llamada arbitraria de 0x, lo que resalta los riesgos de composability en la infraestructura de DeFi.
- Conclusiones de seguridad: El incidente refuerza la necesidad de wallets aisladas, límites de aprobación estrictos, protocolos de revocación rápidos y simulaciones previas al despliegue como defensas principales contra la actividad oportunista de MEV.
Coinbase perdió aproximadamente $300.000 en comisiones de tokens después de que un cambio de configuración provocara que su wallet DEX corporativa aprobara múltiples tokens al contrato de “swapper” sin permisos de 0x, una herramienta diseñada para ejecutar swaps, no para mantener permisos. En cuestión de minutos, un bot MEV oportunista explotó las aprobaciones existentes, drenando activos de la cuenta de recepción de comisiones de la bolsa.
El investigador de seguridad “Deebeez” fue el primero en identificar el incidente, y el director de seguridad de Coinbase lo confirmó como aislado y enfatizó que no había fondos de clientes involucrados.
Looks like @coinbase was recently drained of ~$300,000 after using @0xProject swapper incorrectly.
They approved all the tokens accrued as fees to their router, getting drained immediately by MEV bots 🧵 pic.twitter.com/yWNHl8nupg
— deebeez (@deeberiroz) August 13, 2025
Cómo se capitalizó el bot MEV
El swapper de 0x permite a cualquier usuario realizar llamadas arbitrarias, lo que significa que otorgarle permisos de token es, en efecto, una invitación abierta para el movimiento de activos. Coinbase recibió aprobaciones para tokens como Amp, MyOneProtocol, DEXTools y Swell Network.
Un bot MEV en espera llamó rápidamente al contrato, transfiriendo los saldos aprobados sin explotar ninguna vulnerabilidad de código, puramente a través de la arriesgada combinación de permisos abiertos y la composability on-chain.
La respuesta rápida de Coinbase
Tras la detección, Coinbase revocó los permisos y migró los activos restantes a una nueva wallet corporativa. La respuesta limitó las pérdidas a las comisiones acumuladas propiedad de la bolsa y evitó el impacto en los fondos de los clientes.
Los observadores de la industria señalaron que el oportunismo de MEV ha sido durante mucho tiempo un peligro. En abril, un bot perdió $180.000 en Ether a manos de otro agente MEV, y en 2023, un validador deshonesto interceptó sandwich trades por valor de $25 millones.
Lecciones para la seguridad en DeFi
El episodio subraya cómo el diseño sin permisos magnifica la necesidad de una configuración hermética. El riesgo puede reducirse aislando las wallets de recepción de comisiones de las rutas experimentales, estableciendo por defecto políticas de aprobación de «denegar todo» con límites estrictos, simulando transacciones antes del despliegue y ensayando protocolos de revocación rápida. Si bien continúan los debates sobre la mitigación de MEV, como el cifrado de mempool, la gestión disciplinada de permisos sigue siendo la primera línea de defensa.
