Veuillez noter que certains liens présents dans ce guide peuvent être des liens d'affiliation, mais que cela n'impacte pas l'objectivité de notre contenu. 
Les erreurs qui conduisent à des pertes définitives sont plus ou moins fréquentes on-chain. Des détenteurs de cryptos peuvent parfois perdre de l’argent à tout jamais en envoyant leurs jetons à des adresses inactives ou des adresses de burn.
Il est beaucoup plus rare que des institutions établies commettent de telles erreurs. Pourtant, Coinbase vient de perdre 300 000 $ en interagissant mal avec un bot de liquidité universel.
Comprendre le fonctionnement du swapper de Project 0x
En décembre 2019, la plateforme d’échange décentralisée Project 0x a déployé la toute dernière version de son contrat intelligent public. Il crée une pool de liquidité universelle on-chain et off-chain. Grâce à ce contrat “swapper”, les prix les plus bas sont garantis pour une énorme variété de pairs d’actifs crypto.
C’est un contrat intelligent que tout développeur peut solliciter grâce à l’API de Project 0x afin d’optimiser ses échanges. Le contrat est sans permissions et permet l’exécution des commandes sans restriction de propriété. En somme, c’est un contrat intelligent public déployé sur Ethereum auquel tout le monde a accès.
La particularité de ce contrat, c’est qu’il n’est pas censé recevoir des approbations d’aucune sorte. Approuver des jetons sur ce contrat intelligent pourrait rendre les fonds du wallet vulnérables étant donné la nature “sans permissions” et “sans propriété” du contrat. Pourtant, c’est bien l’erreur que Coinbase a commise.
Coinbase fait une bourde à 300 000 $
Dans une publication sur X, le chercheur en sécurité Web3 @deeberiroz a signalé l’incident. Il s’avère que le wallet de Coinbase a été drainé de 300 000 $ après avoir mal interagit avec le contrat “swapper” de Project 0x.
Looks like @coinbase was recently drained of ~$300,000 after using @0xProject swapper incorrectly.
They approved all the tokens accrued as fees to their router, getting drained immediately by MEV bots 🧵 pic.twitter.com/yWNHl8nupg
— deebeez (@deeberiroz) August 13, 2025
Dans ce cas précis, ce n’est pas un bug ou une vulnérabilité des systèmes qui a été exploité. Ni Coinbase, ni Project 0x n’ont été exploités. C’est plutôt l’interaction entre les deux systèmes qui a donné naissance à l’opportunité que les acteurs malicieux attendaient.
Après que Coinbase a autorisé le contrat “swapper” à accéder à son portefeuille, des bots MEV sont entrés en jeu. D’après le chercheur en cybersécurité, ces programmes MEV étaient certainement dormants et attendaient que de telles approbations se produisent un jour. L’opportunité s’est ainsi présentée grâce à l’erreur de Coinbase.
Des menaces dormantes sur la Web3
Les bots MEV (Maximum Extractable Value) sont des programmes autonomes qui sont conçus pour extraire la valeur maximale possible lors des transactions sur la blockchain. En quelques instants, le portefeuille de Coinbase a été vidé de son contenu.
Il est fort heureux que le wallet ne contenait que les jetons accumulés comme frais. En tout, ce sont 300 000 $ qui ont été drainés par les bots MEV. Le responsable de la sécurité chez Coinbase a confirmé les trouvailles de @deeberiroz avant de rassurer que les fonds de clients n’ont pas été affectés.
Thanks for flagging. I can confirm this is an isolated issue due to a change we made with one of our corporate DEX wallets, which led to unauthorized transfers. No customer funds were impacted. We’re revoking token allowances and are moving funds to a new corporate wallet. Big…
— Philip Martin (@SecurityGuyPhil) August 13, 2025
Il a également souligné que c’était un incident isolé causé par un changement au niveau des portefeuilles du géant du Web3. Depuis, toutes les autorisations ont été révoquées et les fonds seront désormais orientés vers un nouveau wallet.
Typiquement, avec des wallets intelligents, il est possible de marquer des adresses spécifiques et d’être avertis des approbations potentiellement dangereuses. Par exemple, le projet Best Wallet va déployer de tels mécanismes d’analyse des adresses et des demandes d’autorisation afin de protéger vos fonds. Vous pouvez acheter le jeton Best Wallet dès maintenant à 0,0225 $ seulement !
Les crypto-actifs représentent un investissement risqué.
Sources : theblock.co
Cet article ne représente en aucun cas un conseil en investissement. Les informations fournies ici ne doivent pas être utilisées comme base pour prendre des décisions financières. Les investissements en crypto-monnaie comportent des risques et peuvent entraîner des pertes importantes. Il convient d’investir uniquement ce que vous pouvez vous permettre de perdre et d’effectuer vos propres recherches avant de prendre toute décision d’investissement.
