Бот Ethereum MEV JaredFromSubway потерял 7,5 млн долларов из-за взлома

Оператор бота для торговли на Ethereum jaredfromsubway, известного торгового бота, в субботу лишился 7,5 миллиона долларов после взлома, нацеленного на систему подтверждения (approval) транзакций бота. Фирма по безопасности Blockaid сообщила, что злоумышленник использовал поддельные токены и мошеннические смарт-контракты, чтобы вывести легитимные средства из бота. Взлом произошёл против бота, который приобрёл скандальную известность за проведение sandwich-атак — формы манипулирования рынком на децентрализованных биржах, при которой сделки размещаются до и после ожидающей транзакции, чтобы получать прибыль за счёт других.

Злоумышленник использовал логику approval с поддельными токенами

Blockaid пояснила, что атакующий представил jaredfromsubway вводящие в заблуждение торговые возможности, которые позже позволили злоумышленнику вывести средства. Бот настроен непрерывно сканировать рынок в поисках прибыльных сделок и иногда даёт сущностям разрешение перемещать средства от его имени, чтобы выполнять эти сделки. По данным Blockaid, некоторые транзакции, в которых участвовал jaredfromsubway, отменяли эти разрешения сразу после завершения, тогда как транзакции, составленные атакующим, — нет. «Это оставило активированными spenders, контролируемые атакующим», — говорится в публикации Blockaid в X. Схема включала поддельные токены и мошеннические смарт-контракты, которые использовали этот механизм approval.

Оператор предлагает награду 50% и угрожает судебными действиями

В сообщении в ончейне после атаки в субботу оператор бота предложил «белошляпную награду в размере 50%» за возврат 2 150 Ethereum, которые в настоящее время оцениваются примерно в 3,7 миллиона долларов, в течение 48 часов. Оператор пригрозил добиваться судебной защиты и привлечь правоохранительные органы, если средства не будут возвращены в указанный срок.

Украденные средства размещены в Tornado Cash

Фирма по безопасности PeckShield отметила в публикации в X, что атакующий начал заметать следы после взлома. После кражи wrapped Ethereum и стейблкоинов часть средств была обналичена и частично депонирована в Tornado Cash — распространённый ресурс для атакующих, пытающихся скрыть поток незаконно полученной прибыли.

FAQ

Что произошло с ботом jaredfromsubway в субботу?
Бот jaredfromsubway потерял 7,5 миллиона долларов в субботу после того, как атакующий использовал его логику подтверждения (approval) транзакций с помощью поддельных токенов и мошеннических смарт-контрактов, как сообщила фирма по безопасности Blockaid.

Что предложил оператор jaredfromsubway после взлома?
Оператор предложил награду для возврата 2 150 Ethereum (примерно 3,7 миллиона долларов) в течение 48 часов в размере 50% и пригрозил предпринять юридические действия и привлечь правоохранительные органы, если средства не будут возвращены.