Coinbase pierde $300.000 por error en wallet corporativa a causa de un MEV bot

Coinbase sufrió una pérdida aproximada de USD 300.000 en tarifas de tokens después de haber aprobado erróneamente permisos a un contrato «swapper» de 0xProject, lo que permitió que un bot de valor extraíble máximo (MEV, por sus siglas en inglés) drenara los fondos sin complicación.

El error fue identificado por el investigador Deebeez, quien describió el incidente como una «lección costosa». Afortunadamente, no se vieron afectados los fondos de los clientes.

Looks like @coinbase was recently drained of ~$300,000 after using @0xProject swapper incorrectly.

They approved all the tokens accrued as fees to their router, getting drained immediately by MEV bots 🧵 pic.twitter.com/yWNHl8nupg

— deebeez (@deeberiroz) August 13, 2025

¿Cómo ocurrió el exploit y qué permitió el ataque en Coinbase?

Coinbase otorgó permisos de gasto para múltiples tokens (como Amp, DEXTools, MyOneProtocol, Swell Network, entre otros) al contrato «swapper» de 0xProject; conocida como una herramienta de intercambio diseñada para ejecutar swaps, no para recibir autorizaciones.

Este contrato es permissionless, lo que implica que cualquier actor puede invocarlo para realizar acciones arbitrarias si tiene permisos activos.

Un MEV bot, «acechando en las sombras», detectó la oportunidad y transfirió los tokens de la wallet de comisiones de Coinbase a su propia dirección en cuestión de minutos.

Philip Martin, jefe de seguridad de Coinbase, calificó el incidente como aislado, confirmó que no hubo afectación de fondos de usuarios, revocó los permisos y migró los activos restantes a una nueva cartera corporativa. Todo esto, en respuesta a la publicación realizada por Deebeez.

Thanks for flagging. I can confirm this is an isolated issue due to a change we made with one of our corporate DEX wallets, which led to unauthorized transfers. No customer funds were impacted. We’re revoking token allowances and are moving funds to a new corporate wallet. Big…

— Philip Martin (@SecurityGuyPhil) August 13, 2025

Lección técnica sobre riesgos en DeFi

Este suceso resalta el riesgo inherente al ecosistema DeFi: no se trató de una vulnerabilidad en el código, sino de una configuración inadecuada de la wallet.

Los bots MEV monitorean constantemente la red en busca de errores de autorización como este para actuar en milisegundos, provocando pérdidas incluso en plataformas con alta seguridad.

• Ciberataques, fallos y disputas legales sacuden al ecosistema cripto

Impacto del ataque y respuestas estratégicas

Aunque $300.000 pueda parecer una cifra menor para Coinbase, el episodio pone en evidencia la sofisticación de los MEV bots y la premura con la que detectan errores en configuraciones. Este evento es un recordatorio de que, incluso en grandes plataformas, un descuido puede tener consecuencias financieras.

Coinbase actuó con rapidez y transparencia, minimizando el impacto y reafirmando la solidez de sus protocolos de seguridad. Sin embargo, este incidente vuelve a poner sobre la mesa la necesidad de auditorías constantes, validaciones exhaustivas y límites estrictos en permisos de contratos inteligentes, especialmente en infraestructuras con capacidades DeFi y transacciones automatizadas.

En definitiva, la resiliencia operativa dependerá de combinar medidas preventivas y monitoreo continuo para reducir al mínimo la ventana de explotación de este tipo de ataques.