【緊急】コインベースがMEVボット攻撃で30万ドルを損失｜0xプロトコルのコントラクトエラーが原因

仮想通貨取引所の巨人コインベースが、MEV（Maximal Extractable Value）ボットによる攻撃を受け、30万ドル相当の損失を被った。問題の根源は0xプロトコルのスマートコントラクトエラーにあるとみられている。

MEVボットはブロックチェーンのマイナーや検証者がトランザクション順序を操作することで利益を得る手法。今回の事件では、0xプロトコルのコントラクト不備を突かれた形だ。

暗号業界では「コードは法なり」と言われるが、今日ほどその言葉が皮肉に聞こえた日はない。伝統金融なら即座に訴訟が飛び交う金額が、スマートコントラクトのバグ一つで消え去る現実。

コインベースはすでに問題の修正に着手しており、ユーザー資金への影響はないと発表。しかし、DeFiの脆弱性が再び露呈した形だ。

迅速な抽出が安全性への懸念を喚起

問題は、コインベースの分散型取引で使用されるルーター契約が、0xプロジェクトの契約に対して、手数料として蓄積されたすべてのトークンを誤って承認したことから始まった。この結果、MEVボットが即座にこれらのトークンへアクセス可能となった。MEVボットは、利益を生む取引機会や脆弱性を検知・悪用する自動プログラムである。

ある観察者は、この出来事をX上で次のように説明している。

コインベースは最近、@0xProject のスワッパーを誤って使用した後、約30万ドルを失ったようだ。彼らは手数料として蓄積されたすべてのトークンをルーターに承認し、MEVボットによって即座に引き出された

deeberiroz

この事案は、MEVボットがわずかなエラーをどれほど迅速に悪用するかを示している。トークンが利用可能になるや否や、ボットは即座に動き、数分以内に残高を引き出した。自動化は効率を高める一方で、新たなセキュリティリスクも伴う。

コインベースは迅速に対応し、被害を封じ込めた。今回の侵害は同社の手数料資金のみに影響し、顧客資産は無事であった。このため、ユーザーへの影響はなかったが、特に大手取引所における分散型スマートコントラクトの相互作用の管理強化を求める議論が浮上した。

コインベース：顧客資金に影響なし

侵害発覚後、コインベースのチーフセキュリティオフィサーであるフィリップ・マーティン氏は、顧客資金の安全性を保証し、問題が孤立した事例であると説明した。これは、ユーザーの懸念を和らげ、同社プラットフォームへの信頼回復を図るための対応であった。

これは当社の企業用DEXウォレットの一つで行った変更に起因する孤立した問題であり、無許可の転送を引き起こしたことを確認している。顧客資金には影響はなかった。現在、トークン承認を取り消し、新しい企業用ウォレットに資金を移動している

マーティン氏

多くのユーザーは、トークン承認や大規模な分散型契約に潜む特有のリスクを十分に認識していない。MEVボットは目立たない存在でありながら、こうした小さな不備を突く能力は、取引プラットフォームにとって常に課題となっている。

業界アナリストは、流動性確保のためDeFiプロトコルを導入する取引所が増える中、契約ミスが広範な影響を及ぼす可能性があると指摘している。自動化された統合を実装する前に、レビュー体制の一層の強化が必要とされる。

DeFiのセキュリティリスクが顕在化

今回のコインベースの事案は、業界全体で発生している広範な傾向の一部である。誤設定されたスマートコントラクトが巨額の損失を引き起こす事例は後を絶たない。こうした事案は、DeFiプロジェクトやそれを利用する取引所において、契約管理の厳格さがいかに重要であるかを改めて示している。

リスクマネージャーや開発者にとっての教訓は明確だ。全てのトークン承認と契約相互作用を精査すること。新機能導入競争が激化する中でも、革新と綿密なセキュリティチェックを両立させる必要がある。

プロトコルと取引所の双方で堅牢なセキュリティ体制を構築することが不可欠である。分散型金融における自動化が進展するほど、悪用の手口は複雑化し、エコシステム全体での継続的な警戒が求められる。