Dem Ethereum MEV-Bot von Jaredfromsubway.eth wurden über 7,5 Millionen US-Dollar abgezogen, nachdem ein Angreifer die eigene automatisierte Handelslogik des Bots gegen ihn eingesetzt hatte.
Wie der Angriff ausgeführt wurde
Der für Sandwich-Angriffe berüchtigte Bot überwacht normalerweise ausstehende Transaktionen, kauft im Voraus, zwingt das Opfer, zu einem schlechteren Preis zu handeln, und verkauft die Position dann für einen winzigen versteckten Gewinn. Angreifer machten sich dieses Muster zunutze, indem sie Dutzende gefälschter Token-Verträge und künstliche Liquiditätspools einsetzten, die Vermögenswerte wie WETH, USDC und USDT nachahmten.
Als die gefälschten Pools profitabel erschienen, generierte der Bot Genehmigungen für vom Angreifer kontrollierte Hilfsverträge und erteilte ihnen die Erlaubnis, in seinem Namen Token zu verschieben. Diese Genehmigungen wurden sofort ausgeübt, sodass der Gegner das Guthaben des Bots abziehen und die gestohlenen Vermögenswerte zu den vorherrschenden Marktpreisen umtauschen konnte.
Auswirkungen auf den Kryptomarkt
Investoren, die den Vorfall beobachten, bemerken einen starken Anstieg der Gasgebühren und ein erhöhtes Bewusstsein für räuberisches MEV-Verhalten, das dem Blockchain-Ökosystem nicht nützt. Der Verlust von 7,5 Millionen US-Dollar unterstreicht das Risiko, das automatisierte Händler für die Marktstabilität darstellen, und unterstreicht die Notwendigkeit stärkerer Schutzmaßnahmen.
Reaktion und zukünftige Schutzmaßnahmen
Das Sicherheitsunternehmen Blockaid stellte klar, dass sich der Verstoß von typischen Phishing-Angriffen unterschied und nicht auf einen einfachen Vertragsfehler, sondern auf eine gezielte Manipulation der Entscheidungsmaschine des Bots zurückzuführen sei. Von den Entwicklern wird erwartet, dass sie in Zukunft eine strengere Validierung der Token-Quellen einführen und den Genehmigungsbereich einschränken, um sowohl Investoren als auch die breitere Krypto-Infrastruktur zu schützen.