Le robot commercial Jaredfromsubway a subi un vol de 7,5 millions de dollars samedi, exposant sa logique de base à un acteur malveillant et incitant l'opérateur du robot à offrir une prime pour l'exploit.
Aperçu de l'attaque
L'incident s'est produit lorsqu'un attaquant a inondé le robot de transactions trompeuses, exploitant des jetons contrefaits et des contrats intelligents malveillants. Blockaid, la société de sécurité qui surveille la faille, a signalé que le stratagème permettait à l'auteur de siphonner des fonds légitimes pendant que le robot continuait à rechercher des transactions rentables.
Mécanismes de l'exploit
Jaredfromsubway exécute généralement des attaques sandwich : il passe des ordres avant et après les transactions en attente pour manipuler l'exécution des prix sur les bourses décentralisées. Dans ce cas, le robot a été amené à accorder l'autorisation de déplacer des actifs, une étape nécessaire à sa stratégie automatisée, que l'attaquant a exploitée pour drainer du capital.
Conséquences et impact sur le marché
À la suite de la violation, une partie de la cryptomonnaie volée a été acheminée via Tornado Cash, un mélangeur axé sur la confidentialité sur la blockchain. Les investisseurs qui ont observé l'incident ont noté une surveillance accrue des robots de trading automatisés, tandis que le marché de la cryptographie a absorbé le choc sans changement notable des niveaux globaux de prix.