บริษัทความปลอดภัย Blockaid เปิดเผยเมื่อวันที่ 21 มิถุนายนว่า บอทโจมตีแบบแซนด์วิชที่มีชื่อเสียงบนเครือข่าย Ethereum คือ JaredFromSubway ถูกผู้โจมตีใช้เวลาหลายสัปดาห์ในการติดตั้งระบบหลอกลวงอย่างแนบเนียนด้วยสัญญาโทเค็นปลอม (mimic) จำนวน 66 สัญญา โดยใช้ตรรกะการไล่กวาดผลกำไรแบบอัตโนมัติของบอทเพื่อหลอกให้อนุมัติสิทธิ์การใช้จ่ายโทเค็นในท้ายที่สุด กระทั่งล้างเอาทรัพย์สินที่เป็นของจริงออกจากกระเป๋าสตางค์ของบอทจนหมดแบบครั้งเดียวจบ
การติดตั้งและตรรกะการโจมตีด้วยสัญญาโทเค็นปลอม 66 สัญญา
การเตรียมการของผู้โจมตีใช้เวลานานหลายสัปดาห์ โดยทยอยติดตั้งสัญญาโทเค็นปลอมจำนวน 66 สัญญา ซึ่งมีหน้าตาเลียนแบบได้อย่างแม่นยำทั้ง Wrapped Ether (WETH), USD Coin (USDC) และ Tether (USDT) ซึ่งเป็นสินทรัพย์ยอดนิยม 3 ประเภท
แก่นของตรรกะของ JaredFromSubway คือการสแกนพูลหน่วยความจำ (mempool) ของ Ethereum อย่างต่อเนื่อง คอยระบุและติดตามเส้นทางเก็งกำไรของโทเค็นที่มีสภาพคล่องสูง สัญญาปลอมเหล่านี้สำหรับมุมมองของบอทแล้วแยกไม่ออกจากเส้นทางจริง มันเหมือนเดิม “ได้กลิ่น” โอกาส จากนั้นจึงอนุมัติการใช้จ่ายโทเค็นให้กับสัญญาเสริมที่ผู้โจมตีควบคุมโดยทันที
Blockaid ระบุว่า: “สัญญาที่ผู้โจมตีเป็นผู้ควบคุมหลอกระบบดำเนินการ MEV แบบอัตโนมัติ ทำให้มันให้สิทธิ์โทเค็น และภายหลังสิทธิ์เหล่านี้ถูกนำไปถอนเงิน” เพียงการอนุมัติแบบครั้งเดียวก็ให้มากกว่า 92 WETH ในที่สุด สัญญาสุดท้ายจะใช้ประโยชน์จากสิทธิ์ที่ถูกเปิดไว้แล้ว กวาดล้างเอาทรัพย์สินที่เป็นของจริงในกระเป๋าสตางค์ของบอทจนหมดในครั้งเดียว การทำธุรกรรมบนเชนสามารถตรวจสอบได้ที่ Etherscan
ผลงานในอดีตของ JaredFromSubway: รายได้รวมสูงสุดกว่า 34,000,000 ดอลลาร์สหรัฐ
JaredFromSubway เคลื่อนไหวมาตั้งแต่ต้นปี 2023 และได้ทำการโจมตีแบบแซนด์วิชไปแล้วหลายแสนครั้ง โดยรายได้รวมช่วงพีคอยู่ที่ประมาณ 34,000,000 ถึง 40,000,000 ดอลลาร์สหรัฐ ช่วงที่ MEV รุนแรงที่สุด ช่วงหนึ่งของแซนด์วิชบนเครือข่าย Ethereum ทั้งหมดราว 70% มาจากบอทตัวนี้
ในเดือนพฤษภาคม 2026 JaredFromSubway ใช้การโจมตีแบบแซนด์วิชกับการแลกเปลี่ยนโทเค็นของ Vitalik Buterin โดยทุ่ม WETH มากกว่า 1,140,000 ดอลลาร์สหรัฐ เพื่อเข้าจู่โจมเป็นวงล้อม ซึ่งเป็นประเด็นที่ได้รับความสนใจอย่างกว้างขวาง เหตุการณ์ลักษณะ “ล่าบอท MEV” ไม่ใช่ครั้งแรก—ในปี 2023 เคยมีผู้ตรวจสอบข้อมูล (validator) ที่เป็นอันตรายรายหนึ่งใช้ตรรกะเดียวกัน โดยแย่งเอาราว 25,000,000 ดอลลาร์สหรัฐจากบอทโจมตีแซนด์วิชหลายตัว แต่ครั้งนี้มีความละเอียดอ่อนยิ่งขึ้น ด้วยการใช้สัญญาปลอมถึง 66 สัญญาแทนการพุ่งเป้าเจาะจุดเดียว
ตัวเลขความสูญเสีย 2 เวอร์ชัน: 7.5 ล้านดอลลาร์สหรัฐบนเชน vs 15 ล้านดอลลาร์สหรัฐที่ผู้รออกแบบอ้างว่าเสียหาย
การวิเคราะห์บนเชนของ Blockaid และ PeckShield ต่างประเมินความสูญเสียไว้ราว 7.5 ล้านดอลลาร์สหรัฐ โดย JaredFromSubway ผู้ออกแบบอ้างภายหลังว่า หากนับส่วนที่มองไม่เห็นแบบตรงๆ บนเชนด้วย ความสูญเสียรวมจะใกล้เคียง 15 ล้านดอลลาร์สหรัฐ และได้ตั้งรางวัล 1 ล้านดอลลาร์สหรัฐ โดยมีเงื่อนไขให้ผู้โจมตีส่งคืนเงิน
คำถามที่พบบ่อย
ผู้โจมตีทำให้ JaredFromSubway ให้สิทธิ์โทเค็นโดยที่ไม่รู้ตัวได้อย่างไร?
จากการวิเคราะห์ของ Blockaid สัญญาโทเค็นปลอม 66 สัญญาที่ผู้โจมตีติดตั้งมีหน้าตาเลียนแบบสินทรัพย์ที่มีสภาพคล่องสูงจริงอย่างสมบูรณ์ (WETH, USDC, USDT) ซึ่งสำหรับตรรกะการสแกนอัตโนมัติของบอทแล้วไม่ต่างจากเส้นทางจริง เมื่อบอทระบุ “โอกาสในการเก็งกำไร” และอนุมัติการใช้จ่ายโทเค็นแล้ว สัญญาสุดท้ายของผู้โจมตีจะใช้ประโยชน์จากสิทธิ์ที่ถูกเปิดไว้แล้ว เพื่อกวาดล้างเอาสินทรัพย์ที่เป็นของจริงครั้งเดียวจบ แหล่งที่มาของช่องโหว่ไม่ใช่บกพร่องในโค้ด แต่เป็นตรรกะการไล่กวาดผลกำไรของบอทเอง
รางวัล 1 ล้านดอลลาร์สหรัฐของ JaredFromSubway จะสามารถเรียกคืนเงินได้ไหม?
ตามรายงาน แม้ว่า JaredFromSubway ผู้ออกแบบจะตั้งรางวัล 1 ล้านดอลลาร์สหรัฐ แต่จากกรณีในอดีต อัตราการคืนเงินของเหตุการณ์โจมตีลักษณะนี้จะต่ำมาก บทความระบุว่า “โอกาสที่จะเอาเงินก้อนนี้กลับคืนได้ ตอนนี้ยังไม่สูง”
เหตุใดบริษัทความปลอดภัย Blockaid และผู้รออกแบบถึงประเมินความสูญเสียต่างกันมาก (7.5 ล้าน vs 15 ล้านดอลลาร์สหรัฐ)?
ตามรายงาน การวิเคราะห์บนเชนของ Blockaid และ PeckShield สามารถติดตามความสูญเสียของสินทรัพย์บนเชนที่มองเห็นได้โดยตรงเท่านั้น (ราว 7.5 ล้านดอลลาร์สหรัฐ) ขณะที่ JaredFromSubway ผู้ออกแบบอ้างว่า 15 ล้านดอลลาร์สหรัฐรวมส่วนที่มองไม่เห็นแบบตรงๆ บนเชนด้วย แต่ยังไม่เปิดเผยองค์ประกอบที่เฉพาะเจาะจง
