Coinbase perd 300 000 $ à cause d’un contrat mal configuré sur 0x
ValCoinbase a subi une perte estimée à 300 000 dollars à la suite d'une mauvaise interaction entre l’un de ses wallets corporate décentralisés et un contrat intelligent du protocole 0x. Cette erreur technique a permis à des bots MEV d’exploiter une faille d’autorisation, révélant une fois encore la complexité des interactions entre infrastructures centralisées et outils de la finance décentralisée.
Une erreur d’approbation exploitée par des bots MEV
L'incident repose sur un détail technique lourd de conséquences : Coinbase a approuvé certains tokens (notamment ONDO, AMP, SWELL) pour un contrat swapper utilisé dans le cadre du protocole 0x. Ce type de contrat est conçu pour exécuter des échanges ponctuels, et non pour conserver des autorisations persistantes. En ignorant cette règle de base, le wallet de Coinbase s’est exposé à une attaque automatisée.
Des bots MEV, programmés pour repérer ce genre de faille, ont immédiatement détecté l’opportunité. Ils ont alors exécuté des transactions dans un ordre optimisé afin de détourner les tokens approuvés sans avoir besoin de compromettre la clé privée du portefeuille. En quelques instants, les soldes accessibles ont été siphonnés, entraînant une perte directe pour la société.
Voici comment l'incident s'est déroulé :
Le wallet a approuvé des tokens pour un contrat mal configuré.
Le contrat permettait à n'importe quel utilisateur d'utiliser ces autorisations.
Des bots MEV ont repéré les autorisations et vidé les fonds.
Coinbase a ensuite désactivé les autorisations et transféré les fonds restants vers un nouveau wallet sécurisé.
Philip Martin, directeur de la sécurité chez Coinbase, a confirmé publiquement l’incident, précisant qu’il s’agissait d’un cas isolé lié à une récente modification dans leur infrastructure DEX. La réaction a été rapide, mais l’incident démontre que même une configuration ponctuelle peut suffire à provoquer une perte considérable.
0x : puissance d’un protocole, vulnérabilité d’une mauvaise intégration
Le protocole 0x est une solution open-source largement adoptée dans l’écosystème DeFi pour faciliter les échanges peer-to-peer de tokens ERC-20. Grâce à une architecture modulaire, il permet à de nombreux projets de connecter des sources de liquidité et d’exécuter des swaps en toute transparence, via des contrats intelligents déployés sur Ethereum.
Mais cette flexibilité technique implique aussi une grande rigueur dans son intégration. Dans le cas présent, Coinbase n’a pas correctement limité l’usage du contrat de swap. Le contrat n’était pas prévu pour enregistrer des autorisations permanentes, et son exposition directe au wallet corporate a suffi à créer un point de faiblesse exploitable.
L’incident rappelle plusieurs principes essentiels dans la gestion d’actifs numériques en DeFi :
Un contrat, même audité, peut devenir vulnérable s’il est mal utilisé.
Les approbations de tokens doivent être strictement contrôlées.
Les bots MEV représentent une menace constante pour toute configuration erronée.
Ce cas démontre que l’automatisation dans la DeFi, bien qu’efficace, requiert une surveillance continue. Pour des structures aussi établies que Coinbase, cette mésaventure souligne que les erreurs d'intégration sont encore possibles, même à grande échelle.
ValPassionné de finance, trading et cryptomonnaies, je mets à profit mes 7 ans d'expérience en tant que trader sur les CFDs pour guider les investisseurs à mieux comprendre les marchés et à identifier les projets cryptos les plus prometteurs. Mon parcours m'a conduit à me concentrer sur l'univers des actifs numériques, où je décode les tendances du marché et analyse les projets cryptos les plus prometteurs pour aider les investisseurs à naviguer avec confiance dans ce secteur en constante évolution. Toujours à la recherche de nouveaux défis, je suis animé par la volonté de partager mes connaissances et de contribuer à l'adoption massive des technologies de demain. Retrouvez moi sur LinkedIn.
