Jaredfromsubway.eth, le robot MEV connu pour ses transactions de pointe, a subi une perte de 7,7 millions de dollars après un exploit samedi, effaçant plus de 7,5 millions de dollars de ses avoirs.
Présentation des exploits
Blockaid a confirmé que l'attaquant avait vidé la trésorerie du robot en siphonnant 1 583,5 ETH (environ 2,75 millions de dollars), 2,87 millions d'USDC et 2,09 millions d'USDT. L'acteur malveillant a rapidement échangé la totalité du butin contre 4 427 ETH, valorisant les actifs volés à environ 7,7 millions de dollars.
Mécaniques d'attaque
L'auteur a déployé 66 contrats de jetons contrefaits imitant WrappedETH, USDC et USDT, en les associant chacun à des pools de liquidités fabriqués pour attirer le robot. En accordant à ces faux contrats l'autorisation d'accéder à sa trésorerie, le robot a involontairement ouvert une porte dérobée que l'attaquant a déclenchée lors d'une seule transaction blockchain, vidant ainsi ses soldes sur ETH, USDC et USDT.
Conséquences et impact sur le marché
Environ 1 000 ETH provenant du pool volé ont déjà été acheminés vers TornadoCash, ce qui indique une tentative de blanchir les bénéfices. Les investisseurs qui surveillent le marché de la cryptographie considèrent désormais l'incident comme un avertissement concernant les stratégies automatisées, tandis que le prix de l'ETH oscillait autour de 1 735 $ lors de la brèche.