Le bot MEV bien connu d'Ethereum, JaredFromSubway, a été vidé de ses fonds après qu'un attaquant ait utilisé des contrats qui ont poussé son système de trading automatisé à accorder des approbations de jetons, selon Blockaid.
L'entreprise de sécurité a déclaré que l'incident n'était pas un cas de phishing normal et non un bug direct dans le contrat victime.
« Il ne s'agit pas d'une attaque de phishing classique et non d'une vulnérabilité traditionnelle de contrat intelligent dans le contrat victime », a déclaré Blockaid.
L'entreprise a ajouté que le bot avait approuvé des contrats contrôlés par l'attaquant lors de routes qui semblaient être des transactions MEV rentables.
Blockaid a déclaré que l'attaquant avait d'abord testé des routes où les approbations étaient utilisées immédiatement, ne laissant aucune autorisation ouverte. Plus tard, l'attaquant a modifié la conception de la route de sorte que le bot accorde des approbations qui n'étaient ni dépensées ni révoquées.
Un exemple cité par Blockaid impliquait une approbation d'environ 92,16 WETH à un contrat d'aide de l'attaquant. Les données Etherscan de la transaction ont montré jaredfromsubway.eth interagissant avec son contrat MEV Bot 2 avant le balayage ultérieur. L'enregistrement de la transaction a également montré des mouvements ERC-20 liés à la même route automatisée.
La transaction finale a utilisé les approbations ouvertes pour siphonner du WETH, de l'USDC et de l'USDT du contrat du bot MEV JaredFromSubway via transferFrom. Etherscan a montré des transferts de « jaredfromsubway: MEV Bot 2 » vers le portefeuille de l'attaquant commençant par 0x3e37.
Blockaid a estimé le montant drainé à environ 7,5 millions de dollars. Le compte JaredFromSubway a ensuite déclaré une perte de 15 millions de dollars et a offert une récompense de 1 million de dollars pour le retour intégral des fonds. Cette différence n'a pas été entièrement expliquée dans les publications publiques examinées.
L'attaque semble avoir ciblé le flux de travail de trading du bot lui-même. Les bots MEV surveillent l'activité d'Ethereum et agissent sur les transactions qui semblent rentables. Dans ce cas, les contrats contrôlés par l'attaquant ont rendu la route suffisamment utile pour que le bot approuve les droits de dépense.
L'attaquant a utilisé 66 faux contrats de jetons qui copiaient l'apparence et la fonction du WETH, de l'USDC et de l'USDT. Ces contrats ont été associés à de fausses pools de liquidités. Cette configuration a poussé le bot à accorder des approbations qui sont devenues plus tard le chemin du drainage.
JaredFromSubway est l'un des bots de sandwich les plus surveillés d'Ethereum. Dans une attaque de sandwich, un bot place des transactions avant et après l'échange d'un utilisateur. Cela peut donner à l'utilisateur un prix moins avantageux tandis que le bot capture la différence.
Comme rapporté précédemment par crypto.news, JaredFromSubway a ciblé un petit échange du co-fondateur d'Ethereum, Vitalik Buterin, en avril, utilisant environ 1,14 million de dollars de volume en WETH sur SushiSwap et Uniswap V2. Crypto.news a également rapporté en 2023 que le bot avait utilisé 455 ETH en gaz en 24 heures et représentait environ 7 % de l'utilisation de gaz d'Ethereum pendant cette période.
L'exploit attire désormais l'attention sur les approbations de jetons utilisées par les systèmes automatisés. Ce cas montre comment un système conçu pour agir rapidement sur les données de marché ouvertes peut être orienté vers des permissions dangereuses lorsque les contrôles d'approbation sont faibles. Il ajoute également un nouveau chapitre au débat plus large sur le MEV, les attaques de sandwich et la protection des utilisateurs sur Ethereum.
Pour l'instant, les principaux détails publics restent répartis entre le fil technique de Blockaid, les enregistrements on-chain et les publications du compte JaredFromSubway. Aucune récupération n'avait été confirmée dans les mises à jour examinées.
