MEV-бот Jaredfromsubway в блокчейне Ethereum опустошён после одобрения собственной кражи на $7,5 млн

MEV-бот Jaredfromsubway, связанный примерно с 70% сэндвич-атак на блокчейне Ethereum, потерял более 7,5 млн $ в результате утечки разрешений после того, как его автоматизированная система авторизовала контролируемые злоумышленником контракты на расходование его токенов.

Бот, известный как Jaredfromsubway.eth, одобрил серию транзакций, которые казались частью прибыльных торговых маршрутов. Эти разрешения оставались активными, что позволило злоумышленнику вывести wrapped ether и два крупных стейблкоина из контрактов, связанных с операцией.

Инцидент фактически заставил одну из крупнейших систем извлекающей торговли на Ethereum одобрить собственную кражу. Он также выявил уязвимость, с которой сталкиваются автоматизированные трейдеры, вынужденные оценивать рынки, авторизовывать контракты и исполнять транзакции за считанные секунды.

Онлайн-компания по безопасности Blockaid сообщила, что злоумышленник не скомпрометировал приватные ключи бота и не использовал уязвимость широко применяемого протокола децентрализованных финансов. Вместо этого операция была направлена против правил, которые бот использовал для выявления и использования потенциальной прибыли.

Как был опустошён Jaredfromsubway.eth

По данным Blockaid, злоумышленник провёл несколько недель, разворачивая имитационные токены, пулы ликвидности и вспомогательные контракты, напоминавшие рынки, на которых бот обычно мог торговать.

Поддельные активы включали версии wrapped Ethereum, USDC и USDT, объединённые через торговые маршруты, разработанные для генерации сигналов, выглядящих прибыльно. Jaredfromsubway.eth обнаружил эти маршруты и следовал своему обычному процессу предоставления вспомогательным контрактам разрешений на перемещение токенов в рамках ожидаемых сделок.

Ряд ранних транзакций использовал разрешения в соответствии с ожиданиями, помогая сформировать паттерн, который система бота продолжала принимать. Более поздние транзакции оставили одобрения неиспользованными.

Это различие открыло злоумышленнику возможность через одобрения ERC-20, которые позволяют другому адресу или смарт-контракту тратить указанное количество токенов, принадлежащих одобряющему аккаунту.

Разрешение может оставаться доступным после исходной транзакции, если оно не исчерпано, не уменьшено или не отозвано.

Когда злоумышленник накопил достаточно неиспользованных разрешений, контракты воспользовались функцией ERC-20 transferFrom для перемещения реальных WETH, USDC и USDT со счетов бота.

Ончейн-записи показывают повторяющиеся переводы на общую сумму около 92 WETH, 143 000 $ USDC и 149 000 $ USDT из контракта, связанного с ботом. Средства были направлены на адрес, контролируемый злоумышленником.

Разработчик Yearn Finance Banteg охарактеризовал финальную операцию как утечку разрешений, а не обычный своп токенов. Координирующий контракт вызвал функцию вывода средств в десятках дочерних контрактов, которые проверяли балансы бота и оставшиеся разрешения перед переводом доступных токенов.

Часть вырученных средств впоследствии была отправлена через Tornado Cash — сервис криптомиксинга, который затрудняет отслеживание средств.

Доминирующий сэндвич-оператор становится мишенью

Jaredfromsubway.eth работает с 2023 года и стал одним из наиболее заметных участников рынка максимально извлекаемой стоимости (MEV) на Ethereum.

MEV — это доход, генерируемый путём изменения порядка обработки транзакций в блокчейне. При сэндвич-атаке бот выявляет ожидающую исполнения сделку и первым покупает актив, повышая его цену. Затем транзакция пользователя исполняется по менее выгодной цене, после чего бот продаёт актив, фиксируя разницу.

Это сделало Jaredfromsubway.eth одним из наиболее заметных сэндвич-атак ботов на Ethereum, прежде чем та же автоматизация стала путём к его собственным средствам.

Потери отдельного трейдера могут быть невелики. Однако в масштабе десятков тысяч транзакций стратегия способна приносить значительный доход, одновременно увеличивая торговые издержки и комиссии сети.

По имеющимся данным, эти атаки ежегодно обходились трейдерам примерно в 60 млн $, при этом около 70% из них были связаны с единственным оператором — Jaredfromsubway.eth.

The post Ethereum's Jaredfromsubway MEV bot drained after approving its own $7.5M theft appeared first on CryptoSlate.