У мережі Base зафіксовано експлойт на $219 000
У мережі Base стався злам: 30 жовтня невідомий зловмисник скористався помилкою в одному зі смартконтрактів і вивів близько 55 WETH (на момент події це приблизно $219 тис.).
Ончейн-моніторинг BlockSec Phalcon помітив нетипові переміщення коштів, проаналізував їх і заявив, що проблема пов'язана з тим, як у контракті були налаштовані права доступу. Випадково чи навмисно допущена помилка у перевірці прав дозволила зловмиснику списувати токени завдяки раніше виданим користувачами дозволів (approvals) без будь-якого нового підтвердження з їхнього боку.
Для пересічного користувача Base це виглядає так, ніби кошти з його балансу зникають, хоча він нічого не підтверджував у цей момент. Тому BlockSec Phalcon закликає клієнтів мережі терміново перевірити активні дозволи і за необхідності відкликати їх у адреси проблемного контракту 0xE143b486ab0413Df0D6DAd2caf6d2f61CAC54730.
Це стандартний запобіжний захід, який допомагає запобігти подальшим спробам списання та дає час командам розібратися з вразливістю.
Що важливо винести з цієї історії?
Така атака не пов'язана зі стандартним зламом гаманців — йдеться про прорахунок у логіці конкретного контракту, куди користувачі заздалегідь видали доступ. Коли перевірок недостатньо, такий доступ перетворюється на вікно можливостей для зловмисника. У результаті кошти можна вивести швидше, ніж більшість встигне помітити.
Поки фахівці вивчають деталі, користувачам варто проявити типову гігієну безпеки: ще раз пройтися дозволами, прибрати всі зайві, а на майбутнє уникати безстрокових і «безлімітних» доступів.
Інцидент у Base нагадує, що навіть у великих та надійних екосистемах поодинока помилка в одній ланці може призвести до реальних втрат. Чим уважніше ми ставимося до виданих дозволів, тим менше шансів побачити власні токени серед чужих переказів.
Про те, як це можна зробити, читайте в нашій статті «Як відкликати дозволи смарт-контракту»
Base — це L2 блокчейн Ethereum, запущений за участю Coinbase на платформі OP Stack. Він успадковує безпеку головної мережі, але дає нижчі комісії та швидшу роботу, що зробило його майданчиком для масових додатків та онбордингу новачків. Схожий за суттю експлойт на Base вже фіксувався у вересні 2025 року. Тоді збитки були невеликі: їх оцінювали приблизно у $90 000, але причина (вільний доступ у коді контракту) була ідентична нинішній.
