Le bot Ethereum MEV de Jaredfromsubway.eth a été détourné de plus de 7,5 millions de dollars après qu'un attaquant ait réutilisé la propre logique de trading automatisée du bot contre lui.
Comment l'attaque a été exécutée
Le robot, connu pour ses attaques sandwich, surveille généralement les transactions en attente, achète avant elles, force la victime à négocier à un prix inférieur, puis revend la position pour un minuscule profit caché. Les attaquants ont exploité ce modèle en déployant des dizaines de contrats de jetons contrefaits et de pools de liquidités artificiels imitant des actifs tels que WETH, USDC et USDT.
Lorsque les faux pools semblaient rentables, le robot générait des approbations pour des contrats d'assistance contrôlés par les attaquants, leur accordant ainsi la permission de déplacer des jetons en son nom. Ces approbations ont été immédiatement exercées, permettant à l'adversaire de drainer les soldes du robot et de convertir les actifs volés aux prix en vigueur sur le marché.
Impact sur le marché de la cryptographie
Les investisseurs qui observent l'incident remarquent une forte augmentation des frais de gaz et une prise de conscience accrue du comportement prédateur des MEV qui ne profite pas à l'écosystème blockchain. La perte de 7,5 millions de dollars souligne le risque que les traders automatisés font peser sur la stabilité du marché et souligne la nécessité de mesures de protection plus strictes.
Réponse et mesures de protection futures
La société de sécurité Blockaid a précisé que la violation différait des attaques de phishing classiques et ne provenait pas d'un simple bug de contrat, mais d'une manipulation ciblée du moteur de décision du robot. À l'avenir, les développeurs devraient intégrer une validation plus stricte des sources de jetons et limiter les portées d'approbation pour protéger à la fois les investisseurs et l'infrastructure cryptographique plus large.