知名的以太坊交易機器人 jaredfromsubway 的營運方,上週六因遭到利用該機器人的交易授權系統的攻擊而損失 750 萬美元。安全公司 Blockaid 表示,攻擊者使用假代幣與詐欺式智慧合約,將機器人中的合法資金洗走。此次攻擊針對的是一款因執行「夾擊交易(sandwich attacks)」而臭名昭著的機器人——這是一種在去中心化交易所進行的市場操縱手法,會把交易下在待處理交易的前後,以他人之損為代價獲利。
攻擊者用假代幣利用授權邏輯
Blockaid 指出,攻擊者向 jaredfromsubway 提供了具誤導性的交易機會,隨後才得以讓惡意行為者抽走資金。該機器人被設計為會持續掃描具獲利性的交易,並偶爾授予實體在其名義下移動資金的權限,以執行那些交易。依 Blockaid 所述,jaredfromsubway 進行的一些交易在完成後會立刻撤銷這些權限,但攻擊者量身打造的交易則不會。「這讓攻擊者控制的花費者(spenders)全副武裝待命,」Blockaid 在一則 X 貼文中表示。該手法涉及假代幣與詐欺式智慧合約,利用了這個授權機制。
營運方提供 50% 懸賞並威脅採取法律行動
在上週六攻擊之後,該機器人的營運方在鏈上訊息中表示,若能在 48 小時內歸還 2,150 顆以太坊(目前價值約 370 萬美元),他將提供「50% 白帽懸賞」。營運方威脅,若資金未在該期限內歸還,將尋求法律救濟並動用執法單位。
竊得資金存入 Tornado Cash
安全公司 PeckShield 在一則 X 貼文中指出,攻擊者在利用該漏洞後開始掩蓋行蹤。在竊取包裝以太坊(wrapped Ethereum)與穩定幣之後,部分資金被交換並部分存入 Tornado Cash——這是一種常見的供攻擊者用來模糊不法所得資金流向的資源。
FAQ
上週六 jaredfromsubway 機器人發生了什麼?
依安全公司 Blockaid 表示,上週六 jaredfromsubway 機器人損失 750 萬美元。原因是攻擊者利用該機器人的交易授權邏輯,透過假代幣與詐欺式智慧合約進行攻擊。
在此次攻擊之後,jaredfromsubway 營運方提供了什麼?
營運方提出以 50% 白帽懸賞,要求在 48 小時內歸還 2,150 顆以太坊(約 370 萬美元),並威脅若資金未歸還,將提起法律行動並動用執法單位。
