
بر اساس گزارش بلاکاید (Blockaid)، ربات شناختهشده MEV اتریوم به نام جرد فرام سابوی (JaredFromSubway) پس از آنکه یک مهاجم از قراردادهایی استفاده کرد که سیستم معاملاتی خودکار آن را وادار به اعطای مجوزهای توکن (token approvals) کرد، تخلیه شد.
شرکت امنیتی اعلام کرد که این حادثه یک مورد فیشینگ عادی یا یک باگ مستقیم در قرارداد قربانی نبوده است.
بلاکاید گفت: «این یک حمله فیشینگ کلاسیک و یک آسیبپذیری سنتی قرارداد هوشمند در قرارداد قربانی نیست.»
این شرکت گفت که ربات، قراردادهای تحت کنترل مهاجم را در مسیرهایی که به نظر معاملات سودآور MEV میآمدند، تأیید کرده است.
بلاکاید اعلام کرد که مهاجم ابتدا مسیرهایی را آزمایش کرده است که در آنها مجوزها فوراً استفاده شده و هیچ اجازه مصرف بازی باقی نمانده است. بعداً، مهاجم طراحی مسیر را تغییر داد تا ربات مجوزهایی را اعطا کند که مصرف یا لغو نشده بودند.
یکی از نمونههای ذکر شده توسط بلاکاید شامل تأیید حدود ۹۲.۱۶ WETH به یک قرارداد کمکی مهاجم بود. دادههای اتراسکن (Etherscan) برای این تراکنش نشان داد که jaredfromsubway.eth با قرارداد MEV Bot 2 خود پیش از تخلیه نهایی تعامل داشته است. رکورد تراکنش همچنین حرکات ERC-20 مرتبط با همین مسیر خودکار را نشان میداد.
تراکنش نهایی از مجوزهای باز برای بیرون کشیدن WETH، USDC و USDT از قرارداد ربات MEV جرد فرام سابوی از طریق transferFrom استفاده کرد. اتراسکن نقل و انتقالاتی را از "jaredfromsubway: MEV Bot 2" به کیف پول مهاجم با پیشوند 0x3e37 نشان داد.
بلاکاید مبلغ تخلیه شده را حدود ۷.۵ میلیون دلار برآورد کرد. حساب جرد فرام سابوی بعداً ادعا کرد که ضرر ۱۵ میلیون دلار بوده و پاداشی یک میلیون دلاری برای بازگرداندن کامل وجوه ارائه داد. این اختلاف در پستهای عمومی بررسی شده به طور کامل توضیح داده نشده است.
به نظر میرسد این حمله جریان کاری معاملات خود ربات را هدف قرار داده است. رباتهای MEV فعالیت اتریوم را رصد میکنند و بر روی تراکنشهایی که سودآور به نظر میرسند، اقدام میکنند. در این مورد، قراردادهای تحت کنترل مهاجم، مسیر را به اندازهای مفید جلوه دادند که ربات حقوق خرج کردن (spending rights) را تأیید کند.
مهاجم از ۶۶ قرارداد توکن جعلی استفاده کرد که ظاهر و عملکرد WETH، USDC و USDT را کپی کرده بودند. این قراردادها با استخرهای نقدینگی جعلی جفت شدند. این تنظیمات، ربات را به سمت تأییدهایی سوق داد که بعداً به مسیری برای تخلیه وجوه تبدیل شد.
جرد فرام سابوی یکی از پربینندهترین رباتهای ساندویچ اتریوم است. در یک حمله ساندویچ (sandwich attack)، ربات معاملات را قبل و بعد از سواپ یک کاربر قرار میدهد. این کار میتواند قیمت بدتری به کاربر بدهد در حالی که ربات اسپرد (spread) را به دست میآورد.
همانطور که قبلاً توسط crypto.news گزارش شده بود، جرد فرام سابوی یک سواپ کوچک توسط ویتالیک بوترین، همبنیانگذار اتریوم، را در آوریل هدف قرار داد و حدود ۱.۱۴ میلیون دلار حجم WETH را در سوشیسواپ (SushiSwap) و یونیسواپ نسخه ۲ (Uniswap V2) استفاده کرد. Crypto.news همچنین در سال ۲۰۲۳ گزارش داد که این ربات ۴۵۵ ETH گس را در ۲۴ ساعت مصرف کرده و حدود ۷ درصد از مصرف گس اتریوم در آن دوره را به خود اختصاص داده است.
این اکسپلویت اکنون توجه را به مجوزهای توکن مورد استفاده سیستمهای خودکار جلب میکند. این مورد نشان میدهد که چگونه سیستمی که برای اقدام سریع بر روی دادههای بازار باز ساخته شده است، میتواند به مجوزهای ناامن هدایت شود، هنگامی که کنترلها بر روی تأییدیهها ضعیف باشند. همچنین فصل جدیدی را به بحث گستردهتر در مورد MEV، معاملات ساندویچ و حفاظت از کاربران در اتریوم اضافه میکند.
در حال حاضر، جزئیات عمومی اصلی بین رشته فنی بلاکاید، سوابق روی زنجیره و پستهای حساب جرد فرام سابوی تقسیم شده است. هیچ بازیابی در بهروزرسانیهای بررسی شده تأیید نشده است.