Blockaidによると、開発者のJaredFromSubway.ethが運営していたMEVボットが6月21日に侵害され、WETH、USDC、USDTを含む約1500万ドル相当の資産が流出した。
攻撃者は、トークンの不正なラッパーと流動性プールを作成することで、ボットの自動実行メカニズムの欠陥を悪用した。これらの仕組みにより、ボットは攻撃者が管理するコントラクトに対してトークンの承認(approval)を付与するよう誘導された。その後、攻撃者は取り消されていない承認を用いて、transferFrom呼び出しによって資産を移転した。Blockaidは、これは従来型のフィッシング攻撃やスマートコントラクトの脆弱性ではなく、ボットの自動的な認可発行プロセスを悪用したものだと指摘した。
