O bot MEV da Ethereum JaredFromSubway sofreu uma perda de US$ 15 milhões depois que um atacante manipulou sua lógica de detecção de oportunidades ao criar falsas oportunidades de negociação de criptomoedas.
A drenagem foi detectada no sábado pela empresa de segurança em blockchain Blockaid, e o JaredFromSubway confirmou que o atacante usou pools e tokens falsos para enganar o bot e levá-lo a aprovar contratos auxiliares.
Segundo a Blockaid, o atacante implantou contratos projetados para parecer oportunidades lucrativas de MEV para o sistema automatizado de execução do JaredFromSubway.
O bot analisava automaticamente rotas e oportunidades de negociação que pareciam financeiramente vantajosas.
Em seguida, gerava as transações necessárias para executá-las, concedendo aprovações de tokens ERC-20 a contratos controlados pelo atacante.
Parece que o ataque foi planejado com cuidado, já que as primeiras transações serviram como testes inofensivos para confirmar as rotinas de ação do bot.
Depois, o threat actor alterou a rota para que a autorização não fosse consumida nem revogada após o bot conceder as aprovações.
O atacante acumulou permissões válidas de gasto sem usá-las de imediato, chegando a até 92,1614 WETH aprovados para um contrato auxiliar sob controle do atacante.
Por fim, o atacante usou as aprovações abertas para retirar WETH, USDC e USDT do contrato do bot MEV JaredFromSubway por meio da função transferFrom.
Bots MEV são sistemas automatizados de negociação ultrarrápidos que monitoram a Ethereum e outras blockchains em busca de oportunidades para lucrar ao explorar a ordem e o momento das transações antes de elas serem incluídas em um bloco.
O JaredFromSubway é uma operação privada de MEV, sem código disponível publicamente, conhecida como uma das operações de bot “sandwich” mais agressivas e visíveis da Ethereum.
Em um ataque sandwich, o bot identifica a negociação pendente de um usuário, coloca uma ordem de compra imediatamente antes dela e, em seguida, vende logo depois, lucrando com a variação de preço causada pela transação da vítima.
A prática é controversa porque muitas vezes gera preços piores para usuários comuns, ao mesmo tempo em que produz lucro para o operador do bot.
Inicialmente, o JaredFromSubway ofereceu uma recompensa de US$ 3 milhões ao atacante pela devolução integral dos fundos roubados, prometendo que nenhuma outra medida seria tomada.
Sem receber resposta, o JaredFromSubway elevou a recompensa para US$ 7,5 milhões pela devolução de apenas 50% do valor roubado, com US$ 1 milhão destinado à comunidade.
O JaredFromSubway também está negociando com “um grupo de hackers white-hat” sobre os US$ 15 milhões roubados, mas ainda não há confirmação de acordo.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...