Бот Ethereum MEV компании Jaredfromsubway.eth был украден более 7,5 миллионов долларов после того, как злоумышленник перенаправил против него собственную логику автоматической торговли бота.
Как была осуществлена атака
Бот, известный своими сэндвич-атаками, обычно отслеживает ожидающие транзакции, покупает заранее, заставляет жертву торговать по худшей цене, а затем продает позицию за небольшую скрытую прибыль. Злоумышленники воспользовались этой схемой, развернув десятки поддельных контрактов токенов и искусственных пулов ликвидности, имитирующих такие активы, как WETH, USDC и USDT.
Когда фиктивные пулы оказались прибыльными, бот выдал разрешения на вспомогательные контракты, контролируемые злоумышленниками, предоставив им разрешение перемещать токены от его имени. Эти разрешения были немедленно реализованы, что позволило злоумышленнику опустошить баланс бота и конвертировать украденные активы по преобладающим рыночным ценам.
Влияние на рынок криптовалют
Инвесторы, наблюдающие за инцидентом, отмечают резкий рост платы за газ и повышенную осведомленность о хищническом поведении MEV, которое не приносит пользы экосистеме блокчейна. Убыток в 7,5 миллионов долларов подчеркивает риск, который автоматизированные трейдеры представляют для стабильности рынка, и подчеркивает необходимость более строгих мер защиты.
Реагирование и будущие меры безопасности
Охранная фирма Blockaid пояснила, что взлом отличается от типичных фишинговых атак и вызван не простой ошибкой в контракте, а целенаправленным манипулированием механизмом принятия решений бота. Ожидается, что в дальнейшем разработчики введут более строгую проверку источников токенов и ограничат объем одобрения, чтобы защитить как инвесторов, так и более широкую криптоинфраструктуру.