El conocido bot MEV de Ethereum, JaredFromSubway, fue vaciado después de que un atacante utilizara contratos que hicieron que su sistema de comercio automatizado otorgara aprobaciones de tokens, según Blockaid.
La firma de seguridad afirmó que el incidente no fue un caso de phishing normal ni un error directo en el contrato víctima.
“No se trata de un ataque de phishing clásico ni de una vulnerabilidad tradicional de contrato inteligente en el contrato víctima”, afirmó Blockaid.
La firma dijo que el bot aprobó contratos controlados por el atacante durante rutas que parecían ser operaciones MEV rentables.
Blockaid dijo que el atacante primero probó rutas donde las aprobaciones se usaban de inmediato, sin dejar ninguna asignación abierta. Más tarde, el atacante cambió el diseño de la ruta para que el bot diera aprobaciones que no fueron gastadas ni revocadas.
Un ejemplo citado por Blockaid involucró una aprobación de aproximadamente 92.16 WETH a un contrato auxiliar del atacante. Los datos de Etherscan para la transacción mostraron a jaredfromsubway.eth interactuando con su contrato MEV Bot 2 antes del posterior barrido. El registro de la transacción también mostró movimientos ERC-20 vinculados a la misma ruta automatizada.
La transacción final utilizó las aprobaciones abiertas para extraer WETH, USDC y USDT del contrato del bot MEV de JaredFromSubway a través de transferFrom. Etherscan mostró transferencias de “jaredfromsubway: MEV Bot 2” a la billetera del atacante que comenzaba con 0x3e37.
Blockaid estimó la cantidad drenada en aproximadamente $7.5 millones. La cuenta de JaredFromSubway afirmó más tarde que la pérdida fue de $15 millones y ofreció una recompensa de $1 millón por la devolución completa de los fondos. Esa diferencia no ha sido completamente explicada en las publicaciones públicas revisadas.
El ataque parece haber tenido como objetivo el propio flujo de trabajo de trading del bot. Los bots MEV vigilan la actividad de Ethereum y actúan sobre transacciones que parecen rentables. En este caso, contratos controlados por el atacante hicieron que la ruta pareciera lo suficientemente útil para que el bot aprobara derechos de gasto.
El atacante utilizó 66 contratos de tokens falsos que copiaban la apariencia y función de WETH, USDC y USDT. Estos contratos se emparejaron con pools de liquidez falsos. La configuración empujó al bot hacia aprobaciones que luego se convirtieron en el camino para el drenaje.
JaredFromSubway es uno de los bots de sándwich más vigilados de Ethereum. En un ataque de sándwich, un bot realiza operaciones antes y después del intercambio de un usuario. Esto puede dar al usuario un precio peor mientras el bot captura el diferencial.
Como informó previamente crypto.news, JaredFromSubway apuntó a un pequeño intercambio realizado por el cofundador de Ethereum, Vitalik Buterin, en abril, utilizando aproximadamente $1.14 millones en volumen de WETH a través de SushiSwap y Uniswap V2. Crypto.news también informó en 2023 que el bot utilizó 455 ETH en gas en 24 horas y representó aproximadamente el 7% del uso de gas de Ethereum durante ese período.
El exploit ahora pone el foco en las aprobaciones de tokens utilizadas por sistemas automatizados. El caso muestra cómo un sistema construido para actuar rápidamente sobre datos de mercado abiertos puede ser dirigido hacia permisos inseguros cuando los controles sobre las aprobaciones son débiles. También añade un nuevo capítulo al debate más amplio sobre MEV, operaciones de sándwich y protección del usuario en Ethereum.
Por ahora, los detalles públicos clave permanecen divididos entre el hilo técnico de Blockaid, los registros en cadena y las publicaciones de la cuenta de JaredFromSubway. No se había confirmado ninguna recuperación en las actualizaciones revisadas.
