
تعرض بوت MEV المعروف الخاص بإيثيريوم، JaredFromSubway، للاستنزاف بعد أن استخدم مهاجم عقودًا دفعت نظام التداول الآلي الخاص به إلى منح موافقات الرمز المميز (token approvals)، وفقًا لـ Blockaid.
قالت شركة الأمن إن الحادث لم يكن حالة تصيد احتيالي عادية وليس خطأً مباشرًا في العقد المستهدف.
“هذا ليس هجوم تصيد احتيالي كلاسيكي وليس ثغرة أمنية تقليدية في العقد الذكي للعقد المستهدف” ، قالت Blockaid.
قالت الشركة إن البوت وافق على عقود يسيطر عليها المهاجم أثناء مسارات بدت وكأنها صفقات MEV مربحة.
قالت Blockaid إن المهاجم اختبر في البداية مسارات حيث تم استخدام الموافقات دفعة واحدة، ولم يترك أي سماحية مفتوحة. في وقت لاحق، غير المهاجم تصميم المسار بحيث منح البوت موافقات لم يتم إنفاقها أو إبطالها.
أحد الأمثلة التي ذكرتها Blockaid تضمن موافقة لنحو 92.16 WETH لعقد مساعد تابع للمهاجم. أظهرت بيانات Etherscan الخاصة بالمعاملة أن jaredfromsubway.eth يتفاعل مع عقد MEV Bot 2 الخاص به قبل عملية السحب اللاحقة. أظهر سجل المعاملات أيضًا تحركات رموز ERC-20 مرتبطة بنفس المسار الآلي.
استخدمت المعاملة النهائية الموافقات المفتوحة لسحب WETH و USDC و USDT من عقد بوت JaredFromSubway MEV عبر وظيفة transferFrom. أظهرت Etherscan تحويلات من “jaredfromsubway: MEV Bot 2” إلى محفظة المهاجم التي تبدأ بـ 0x3e37.
قدرت Blockaid المبلغ المستنزف بنحو 7.5 مليون دولار. ادعى حساب JaredFromSubway لاحقًا أن الخسارة بلغت 15 مليون دولار وعرض مكافأة قدرها مليون دولار مقابل استعادة الأموال بالكامل. لم يتم شرح هذا الاختلاف بشكل كامل في المنشورات العامة التي تمت مراجعتها.
يبدو أن الهجوم استهدف سير عمل التداول الخاص بالبوت. تراقب بوتات MEV نشاط إيثيريوم وتتصرف بناءً على المعاملات التي تبدو مربحة. في هذه الحالة، جعلت العقود التي يسيطر عليها المهاجم المسار يبدو مفيدًا بما يكفي للبوت للموافقة على حقوق الإنفاق.
استخدم المهاجم 66 عقد رمز مميز مزيف (fake token contracts) نسخت مظهر ووظيفة WETH و USDC و USDT. تم إقران هذه العقود مع مجمعات سيولة مزيفة (fake liquidity pools). دفع هذا الإعداد البوت نحو الموافقات التي أصبحت لاحقًا المسار لعملية الاستنزاف.
يعد JaredFromSubway أحد بوتات الساندويتش (sandwich bots) الأكثر مراقبة في إيثيريوم. في هجوم الساندويتش، يضع البوت صفقات قبل وبعد مبادلة المستخدم. يمكن أن يؤدي ذلك إلى حصول المستخدم على سعر أسوأ بينما يستحوذ البوت على الفرق (spread).
كما أفادت crypto.news سابقًا، استهدف JaredFromSubway مبادلة صغيرة قام بها المؤسس المشارك لإيثيريوم فيتاليك بوتيرين في أبريل، مستخدمًا حوالي 1.14 مليون دولار من حجم WETH عبر SushiSwap و Uniswap V2. أفادت crypto.news أيضًا في عام 2023 أن البوت استخدم 455 ETH كرسوم غاز (gas) في غضون 24 ساعة وشكل حوالي 7% من استخدام غاز إيثيريوم خلال تلك الفترة.
يسلط هذا الاستغلال الآن الضوء على موافقات الرمز المميز (token approvals) التي تستخدمها الأنظمة الآلية. توضح هذه الحالة كيف يمكن لنظام مبني للعمل بسرعة على بيانات السوق المفتوحة أن يُوجَّه نحو أذونات غير آمنة عندما تكون الضوابط المحيطة بالموافقات ضعيفة. كما يضيف فصلاً جديدًا إلى النقاش الأوسع حول MEV، وتداولات الساندويتش، وحماية المستخدمين على إيثيريوم.
في الوقت الحالي، تظل التفاصيل العامة الرئيسية منقسمة بين سلسلة Blockaid التقنية، والسجلات على السلسلة (on-chain records)، والمنشورات من حساب JaredFromSubway. لم يتم تأكيد أي استرداد في التحديثات التي تمت مراجعتها.