Jaredfromsubway.eth Bot MEV foi drenado em US$ 7,5 milhões em uma contra-ação

De acordo com a Blockaid, Jaredfromsubway.eth, um dos MEV bots mais bem-sucedidos do setor cripto, foi drenado em mais de US$ 7,5 milhões recentemente, depois que um atacante explorou a lógica de execução automatizada do bot. O atacante implantou 66 contratos falsos de tokens que imitavam Wrapped ETH, USDC e USDT, emparelhados com pools de liquidez falsos criados para parecer oportunidades de negociação lucrativas. À medida que o bot interagia com esses contratos, ele concedia aprovações a contratos auxiliares controlados pelo atacante, dando ao atacante acesso ao tesouro do bot.

O CTO da Blockaid, Raz Niv, descreveu o incidente como um ataque do tipo honeypot de contra-MEV que mira a lógica de tomada de decisão com minimização de confiança da qual os MEV bots dependem. O atacante então executou uma única transação chamando todas as 66 portas dos fundos para fazer a varredura de ETH, USDC e USDT dos endereços afetados. Parte dos fundos roubados foi, mais tarde, enviada para a Tornado Cash, um serviço de mistura cripto. O exploit revela que uma automação altamente lucrativa, criada para explorar ineficiências do mercado, pode se tornar vulnerável quando os atacantes entendem os padrões de comportamento do bot e os mecanismos de aprovação.