以太坊 MEV 机器人 JaredFromSubway 在漏洞利用中损失 750 万美元

Оператор відомого торгового бота Ethereum jaredfromsubway у суботу втратив $7,5 млн після експлойту, націленого на систему підтвердження (approval) транзакцій бота. Компанія з безпеки Blockaid повідомила, що зловмисник використав підробні токени та шахрайські смартконтракти, щоб вивести легітимні кошти з бота. Експлойт стався проти бота, який здобув скандальну відомість за проведення sandwich-атак — різновиду маніпуляції ринком на децентралізованих біржах, де угоди розміщують навколо очікуваних транзакцій, щоб отримати прибуток за рахунок інших.

Атакувальник використав логіку approval із фальшивими токенами

Blockaid пояснила, що атакувальник підсунув jaredfromsubway оманливі можливості для торгівлі, які згодом дозволили зловмиснику вивести кошти. Бот налаштований безперервно сканувати на предмет прибуткових угод і інколи надає сутностям дозвіл переміщати кошти від його імені для виконання цих угод. За даними Blockaid, деякі транзакції, в яких брав участь jaredfromsubway, скасовували ці дозволи одразу після завершення, тоді як атакувальні транзакції, створені зловмисником, — ні. «Це залишило озброєних spenders, контрольованих атакувальником», — заявила Blockaid у публікації в X. Схема передбачала фальшиві токени та шахрайські смартконтракти, які використали цей механізм approval.

Оператор пропонує винагороду 50% та погрожує судовими діями

У повідомленні в on-chain після атаки в суботу оператор бота запропонував «винагороду 50% white hat» за повернення 2,150 Ethereum, які нині оцінюються приблизно в $3,7 млн, протягом 48 годин. Оператор пригрозив звернутися по юридичні засоби та задіяти правоохоронні органи, якщо кошти не буде повернуто в межах цього терміну.

Викрадені кошти внесені до Tornado Cash

Компанія з безпеки PeckShield у публікації в X зазначила, що атакувальник почав приховувати сліди після експлойту. Після викрадення wrapped Ethereum і стейблкоїнів частина коштів була обміняна та частково внесена в Tornado Cash — поширений ресурс для атакувальників, які намагаються приховати потік незаконно отриманих прибутків.

FAQ

Що сталося з ботом jaredfromsubway у суботу?
Бот jaredfromsubway втратив $7,5 млн у суботу після того, як атакувальник використав логіку підтвердження транзакцій, застосувавши фальшиві токени та шахрайські смартконтракти, за даними компанії з безпеки Blockaid.

Що запропонував оператор jaredfromsubway після експлойту?
Оператор запропонував винагороду 50% white hat за повернення 2,150 Ethereum (приблизно $3,7 млн) протягом 48 годин і пригрозив розпочати судові дії та задіяти правоохоронців, якщо кошти не буде повернуто.