Ethereums mest berygtede MEV-bot mister 7,5 millioner dollars i on-chain honeypot-fælde

  • JaredFromSubway, Ethereums største sandwich-bot, mistede cirka 7,5 millioner dollars i en fælde.
  • Angriberen brugte 66 falske tokenkontrakter, der efterlignede WETH, USDC og USDT.
  • Blockaid fandt ingen smart contract-fejl, phishing eller private-key-kompromittering.

En hacker tømte cirka 7,5 millioner dollars fra JaredFromSubway MEV-botten, et af Ethereums mest aktive sandwich-angrebssystemer. Det skete, efter at botten blev narret til at godkende token-forbrug, som den aldrig skulle have givet tilladelse til.

Sikkerhedsfirmaet Blockaid, der opdagede hændelsen, sagde, at botten ikke blev ramt af en smart contract-fejl, et phishing-angreb eller et læk af private nøgler. I stedet vendte hackeren bottens egen profit-jagt imod den.

Sådan blev MEV-botten narret

JaredFromSubway MEV-botten kører en automatisk strategi, der scanner Ethereums mempool for indbringende handler. Praksissen kaldes for maximal extractable value.

Botten frontrunner og backrunner andre handler for at indfange kursforskelle, en taktik kendt som sandwich-angreb.

Den blev berygtet i april 2023. På én dag brugte den over 1 million dollars på gas, næsten 8% af al Ethereum gas forbrug.

Hackeren brugte uger på at oprette 66 falske token-contracts. Kopierne efterlignede Wrapped Ether (WETH), USD Coin (USDC) og Tether (USDT).

For botten lignede disse contracts de transaktionsveje, den var bygget til at forfølge. Den tog imod og godkendte forbrug til hacker-kontrollerede hjælpecontracts. Én godkendelse alene gav adgang til over 92 WETH.

En sidste contract brugte derefter de åbne tilladelser til at tømme rigtige midler fra botten.

En omvendt MEV-fælde

Fælden lavede bottens hurtighed og grådighed om til en svaghed. At jagte MEV-bots er ikke nyt. I 2023 tømte en uafhængig validator omkring 25 millioner dollars fra MEV sandwich-bots.

“Hacker-kontrollerede contracts narrede et automatisk MEV-system til at give token-tilladelser, som senere blev brugt til at tømme midler,” skrev Blockaid.

Sandwich-angreb som disse har længe været kritiseret for at fungere som en usynlig skat på almindelige handlende.

Bottens operatør vurderede tabet til tættere på 15 millioner dollars. Han tilbød også en dusør på 1 million dollars for at få midlerne retur. Blockaid og PeckShield vurderede det on-chain tab til omkring 7,5 millioner dollars i WETH, USDC og USDT.

Om operatøren får noget tilbage afhænger nu måske af, om hackeren accepterer tilbuddet.


For at læse den seneste analyse af kryptovalutamarkedet fra BeInCrypto, klik her.

Ansvarsfraskrivelse

Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.