Một nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng tiêm lệnh trong AgentKit của Coinbase, cho phép kẻ tấn công thực hiện các chuyển token trái phép mà không cần xác nhận từ con người. Lỗ hổng này đã được xác minh trên mạng thử nghiệm Base Sepolia, đồng thời còn tiết lộ một quy trình phê duyệt vô hạn đối với các token ERC-20 và cho phép truy cập vào các máy chủ từ xa trong bối cảnh thực thi của agent. Mặc dù được phân loại là mức độ nghiêm trọng trung bình với phần thưởng 2.000 USD, nhà nghiên cứu cho rằng tác động của lỗ hổng này bị đánh giá thấp. Lỗ hổng này đã được báo cáo cho chương trình thưởng lỗi của Coinbase vào tháng Hai và đã được xác nhận chính thức. Khả năng của lỗ hổng vượt ra ngoài việc rút tiền từ ví đã làm dấy lên lo ngại về các tác động bảo mật rộng hơn đối với các hạ tầng bị ảnh hưởng, mặc dù các hệ thống cụ thể có nguy cơ không được nêu chi tiết trong báo cáo.