Bot MEV Jaredfromsubway na Ethereum opróżniony po zatwierdzeniu własnej kradzieży 7,5 mln USD

Bot MEV Jaredfromsubway, powiązany z około 70% ataków kanapkowych na Ethereum, stracił ponad 7,5 miliona dolarów w wyniku wyczerpania limitu po tym, jak jego zautomatyzowany system autoryzował kontrolowane przez atakującego kontrakty do wydawania jego tokenów.

Bot, znany jako Jaredfromsubway.eth, zatwierdził serię transakcji, które wyglądały na część zyskownych tras handlowych. Te uprawnienia pozostały aktywne, umożliwiając atakującemu usunięcie wrapped ether oraz dwóch głównych stablecoinów z kontraktów powiązanych z operacją.

Incydent faktycznie spowodował, że jeden z największych systemów transakcji ekstrakcyjnych Ethereum zatwierdził własną kradzież. Podkreśla to również podatność zautomatyzowanych traderów, którzy muszą oceniać rynki, autoryzować kontrakty i realizować transakcje w ciągu sekund.

Firma zajmująca się bezpieczeństwem onchain, Blockaid, stwierdziła, że atakujący nie skompromitował kluczy prywatnych bota ani nie wykorzystał luki w powszechnie używanym protokole zdecentralizowanych finansów. Zamiast tego operacja celowała w reguły, których bot używał do identyfikowania i realizowania potencjalnych zysków.

Jak Jaredfromsubway.eth został opróżniony

Według Blockaid atakujący spędził kilka tygodni na wdrażaniu imitacyjnych tokenów, pul płynności i wspierających kontraktów, które przypominały rynki, przeciwko którym bot normalnie mógłby handlować.

Fałszywe aktywa obejmowały wersje wrapped Ethereum, USDC i USDT, sparowane poprzez trasy handlowe zaprojektowane tak, aby generować sygnały wyglądające na zyskowne. Jaredfromsubway.eth wykrył te trasy i postępował zgodnie ze swoim zwykłym procesem zezwalania kontraktom pomocniczym na przenoszenie tokenów w ramach oczekiwanych transakcji.

Niektóre wczesne transakcje korzystały z uprawnień zgodnie z oczekiwaniami, pomagając ustalić wzorzec, który system bota nadal akceptował. Późniejsze transakcje pozostawiały zatwierdzenia niewykorzystane.

Ta różnica dała atakującemu możliwość działania poprzez zatwierdzenia ERC-20, które pozwalają innemu adresowi lub inteligentnemu kontraktowi na wydanie określonej ilości tokenów należących do zatwierdzającego konta.

Uprawnienie może pozostać dostępne po pierwotnej transakcji, chyba że zostanie wyczerpane, zmniejszone lub odwołane.

Gdy atakujący zgromadził wystarczającą liczbę niewykorzystanych limitów, kontrakty użyły funkcji ERC-20 transferFrom do przeniesienia prawdziwych WETH, USDC i USDT z kont bota.

Zapisy onchain pokazują wielokrotne transfery łącznie około 92 WETH, 143 000 USD w USDC i 149 000 USD w USDT z kontraktu powiązanego z botem. Środki zostały skierowane na adres kontrolowany przez atakującego.

Deweloper Yearn Finance, Banteg, opisał finalną operację jako wyczerpanie limitu, a nie konwencjonalną zamianę tokenów. Koordynujący kontrakt wywołał funkcję wypłaty w dziesiątkach podrzędnych kontraktów, które sprawdziły salda bota i pozostałe uprawnienia przed przeniesieniem dostępnych tokenów.

Część wpływów została następnie wysłana przez Tornado Cash, usługę mieszania kryptowalut, która może utrudnić śledzenie środków.

Dominujący operator kanapkowy staje się celem

Jaredfromsubway.eth działa od 2023 roku i stał się jednym z najbardziej prominentnych uczestników rynku maksymalnej ekstrakcji wartości (MEV) na Ethereum.

MEV odnosi się do przychodów generowanych poprzez zmianę kolejności przetwarzania transakcji blockchain. W ataku kanapkowym bot identyfikuje oczekującą transakcję i jako pierwszy kupuje aktywo, podnosząc jego cenę. Transakcja użytkownika jest następnie realizowana po mniej korzystnej cenie, zanim bot sprzeda, przechwytując różnicę.

To sprawiło, że Jaredfromsubway.eth stał się jednym z najbardziej widocznych botów ataku kanapkowego na Ethereum, zanim ta sama automatyzacja stała się drogą do jego własnych funduszy.

Strata dla każdego indywidualnego tradera może być niewielka. Jednak w dziesiątkach tysięcy transakcji strategia może generować znaczące przychody, jednocześnie zwiększając koszty handlu i opłaty sieciowe.

Według raportów ataki te nałożyły szacunkowo 60 milionów dolarów rocznych kosztów na traderów, przy czym około 70% było powiązanych z jednym operatorem zidentyfikowanym jako Jaredfromsubway.eth.

Wpis Bot MEV Jaredfromsubway Ethereum opróżniony po zatwierdzeniu własnej kradzieży na kwotę 7,5 mln USD pojawił się po raz pierwszy na CryptoSlate.