根據Blockaid的說法,以太坊知名MEV機器人JaredFromSubway的資產被盜取,原因是一名攻擊者利用合約使其自動交易系統授予代幣授權。
該安全公司表示,此事件並非一般的網路釣魚案例,也不是受害合約的直接漏洞。
Blockaid表示:「這不是一次典型的網路釣魚攻擊,也不是受害合約中的傳統智能合約漏洞。」
該公司表示,該機器人在看似有利可圖的MEV交易路線中批准了攻擊者控制的合約。
Blockaid表示,攻擊者最初測試的路線中,授權會立即使用,不留下任何開放的限額。隨後,攻擊者改變了路線設計,使得機器人授予了未被使用或撤銷的授權。
Blockaid引用的一個例子是,批准了大約92.16個WETH給一個攻擊者協助合約。該交易的Etherscan數據顯示,jaredfromsubway.eth在隨後的清空前與其MEV Bot 2合約進行了互動。交易記錄也顯示了與同一自動路線相關的ERC-20代幣流動。
最終交易利用開放的授權,通過transferFrom從JaredFromSubway MEV機器人合約中提取了WETH、USDC和USDT。Etherscan顯示資金從「jaredfromsubway: MEV Bot 2」轉移到以0x3e37開頭的攻擊者錢包。
Blockaid估計被盜金額約為750萬美元。JaredFromSubway帳戶隨後聲稱損失了1500萬美元,並懸賞100萬美元,希望全額追回資金。這筆金額差異在已審查的公開貼文中尚未得到充分解釋。
這次攻擊似乎是針對機器人自身的交易流程。MEV機器人監控以太坊活動,並對看似有利可圖的交易採取行動。在本案例中,攻擊者控制的合約使該路線看起來足夠有用,以致於機器人批准了花費權限。
攻擊者使用了66個模仿WETH、USDC和USDT外觀和功能的假代幣合約。這些合約與假的流動性池配對。這種設置促使機器人授予了授權,這些授權隨後成為資產被盜的途徑。
JaredFromSubway是以太坊上最受關注的「三明治機器人」之一。在三明治攻擊中,機器人會在用戶交換前後下單。這可能會導致用戶獲得更差的價格,而機器人則從中獲取差價。
正如crypto.news先前報導,JaredFromSubway在四月份曾針對以太坊聯合創始人Vitalik Buterin的一筆小額交換進行攻擊,利用SushiSwap和Uniswap V2約114萬美元的WETH交易量。Crypto.news還報導稱,2023年該機器人在24小時內使用了455 ETH的Gas費,佔該時期以太坊Gas費總量的約7%。
這次漏洞利用再次將人們的注意力集中在自動化系統使用的代幣授權上。此案例顯示,一個旨在根據公開市場數據快速行動的系統,在授權控制薄弱時,可能被引導至不安全的權限。它也為關於以太坊上的MEV、三明治交易和用戶保護的更廣泛討論增添了新的篇章。
目前,關鍵的公開細節仍分散在Blockaid的技術線索、鏈上記錄以及JaredFromSubway帳戶的貼文之間。在審查的更新中,尚未證實有任何資金被追回。
