Znany bot MEV Ethereum, JaredFromSubway, został opróżniony po tym, jak atakujący wykorzystał kontrakty, które sprawiły, że jego zautomatyzowany system handlowy udzielił zatwierdzeń tokenów, zgodnie z informacjami od Blockaid.
Firma ochroniarska stwierdziła, że incydent nie był zwykłym przypadkiem phishingu ani bezpośrednim błędem w kontrakcie ofiary.
„To nie jest klasyczny atak phishingowy ani tradycyjna luka w zabezpieczeniach smart kontraktu ofiary” – powiedział Blockaid.
Firma podała, że bot zatwierdził kontrakty kontrolowane przez atakującego podczas realizacji tras, które wydawały się być dochodowymi transakcjami MEV.
Blockaid poinformował, że atakujący najpierw testował trasy, gdzie zatwierdzenia były wykorzystywane natychmiast, nie pozostawiając otwartego limitu. Później atakujący zmienił projekt trasy, tak aby bot udzielał zatwierdzeń, które nie były wykorzystywane ani cofnięte.
Jeden przykład podany przez Blockaid dotyczył zatwierdzenia około 92,16 WETH dla pomocniczego kontraktu atakującego. Dane z Etherscan dla tej transakcji pokazały, że jaredfromsubway.eth wchodził w interakcję ze swoim kontraktem MEV Bot 2 przed późniejszym drenażem. Rekord transakcji pokazał również ruchy tokenów ERC-20 powiązane z tą samą zautomatyzowaną trasą.
Ostateczna transakcja wykorzystała otwarte zatwierdzenia do wypłacenia WETH, USDC i USDT z kontraktu bota MEV JaredFromSubway za pośrednictwem funkcji transferFrom. Etherscan pokazał transfery z „jaredfromsubway: MEV Bot 2” do portfela atakującego zaczynającego się od 0x3e37.
Blockaid oszacował skradzioną kwotę na około 7,5 miliona dolarów. Konto JaredFromSubway później podało stratę w wysokości 15 milionów dolarów i zaoferowało nagrodę w wysokości 1 miliona dolarów za pełny zwrot środków. Ta różnica nie została w pełni wyjaśniona w przeglądanych publicznych wpisach.
Wydaje się, że atak był wymierzony w własny mechanizm handlowy bota. Boty MEV monitorują aktywność Ethereum i działają na transakcjach, które wydają się być zyskowne. W tym przypadku kontrolowane przez atakującego kontrakty sprawiły, że trasa wyglądała na wystarczająco użyteczną, aby bot zatwierdził prawa do wydawania środków.
Atakujący użył 66 fałszywych kontraktów tokenów, które naśladowały wygląd i funkcjonalność WETH, USDC i USDT. Kontrakty te były sparowane z fałszywymi pulami płynności. Ta konfiguracja skłoniła bota do udzielenia zatwierdzeń, które później stały się drogą do drenażu środków.
JaredFromSubway to jeden z najczęściej obserwowanych botów typu sandwich na Ethereum. W ataku sandwich bot umieszcza transakcje przed i po wymianie użytkownika. Może to skutkować gorszą ceną dla użytkownika, podczas gdy bot przechwytuje spread.
Jak wcześniej informowało crypto.news, JaredFromSubway w kwietniu celował w małą wymianę dokonaną przez współzałożyciela Ethereum, Vitalika Buterina, wykorzystując około 1,14 miliona dolarów wolumenu WETH na SushiSwap i Uniswap V2. Crypto.news donosiło również w 2023 roku, że bot zużył 455 ETH na opłaty za gaz w ciągu 24 godzin i odpowiadał za około 7% zużycia gazu Ethereum w tym okresie.
Exploit ten zwraca teraz uwagę na zatwierdzenia tokenów używane przez zautomatyzowane systemy. Przypadek ten pokazuje, jak system stworzony do szybkiego działania na podstawie otwartych danych rynkowych może zostać skierowany do niebezpiecznych uprawnień, gdy kontrola nad zatwierdzeniami jest słaba. Dodaje to również nowy rozdział do szerszej debaty na temat MEV, transakcji typu sandwich i ochrony użytkowników na Ethereum.
Na razie kluczowe publiczne szczegóły pozostają rozdzielone między techniczną analizę Blockaid, zapisy on-chain i wpisy z konta JaredFromSubway. W przeglądanych aktualizacjach nie potwierdzono odzyskania środków.
